Intrusion Prevention in Netzwerken - decus.de · PDF fileIT-Symposium 2005 1 Intrusion...
Transcript of Intrusion Prevention in Netzwerken - decus.de · PDF fileIT-Symposium 2005 1 Intrusion...
IT-Symposium 2005
www.decus.de 1
Intrusion Prevention in NetzwerkenOliver Karow - ETAM05.04.2005
Agenda
Symantec Network Security 7100 & 4.0
Definition NIDS/NIPS
Notwendigkeit eines NIDS/NIPS
Funktionsweisen NIDS/NIPS
Klassische Herausforderungen
1
2
3
4
5
IT-Symposium 2005
www.decus.de 2
Symantec Network Security
Vorweg ein wenig Marketing......
Network Intrusion Detection & Prevention
System zur aktiven (IPS) und/oder passiven (IDS) Analyse des Netzwerkverkehrs
Protokollierung von Angriffen
Abwehr von Angriffen
Veranlassung weiterer Aktionen (Responses)
Netzwerk IDS/IPS?
– Mail/Trap/Pager
– Blacklisting
– Custom Responses
– Usw.
IT-Symposium 2005
www.decus.de 3
Network Intrusion Detection
IDS Sensor im Netzwerk (z.B. Monitoring port)Erkennung/Protokollierung von Angriffen
Response Aktionen
Abwehr von Angriffen:
Hacker
Internet
IDS
RouterServers
Clients
Firewall
Switch
– TCP-RST
Network Intrusion Prevention
IPS Device als aktive Netzwerkkomponente (Layer2 Bridge)
Blocken der erkannten Angriffe „on the wire“
Protokollierung und Responses wie bei IDS
IT-Symposium 2005
www.decus.de 4
Network Intrusion Prevention
Intrusion Prevention ist nur im INLINE Modus effektiv möglich!
One Step back.....
Warum eigentlich ein IPS?
IT-Symposium 2005
www.decus.de 5
Notwendigkeit eines NIDS/NIPS- Grundlage für neue Angriffe
10
2530
50 5360
0
10
20
30
40
50
60
70
1999 2000 2001 2002 2003 2004
Entdeckte Schwachstellen pro Woche
Securityfocus
Notwendigkeit eines NIDS/NIPS- Verfügbarkeit von Exploits
Tim
e to
aut
omat
ed e
xplo
it
1992 June 2004
4 mos.
3 mos.
2 mos.
1 mos.
Weeks Witty WormSasser
Code Red
File Virus
Blaster
Zero Day
IT-Symposium 2005
www.decus.de 6
Notwendigkeit eines NIDS/NIPS- Benötigtes Wissen
Ausführbarkeit von Angriffen immer einfacher
Notwendigkeit eines NIDS/NIPS
….. aber wir haben doch eine Firewall…..
Internet
Router
Firewall
Switch
IT-Symposium 2005
www.decus.de 7
Notwendigkeit eines NIDS/NIPS
Firewalls regeln zulässige Verbindungen zwischen Netzen, aber:Eingeschränkte Sicherheitsprüfungen in zulässigen Verbindungen:
– Packetfilter: Src./Dst. IP, Src./Dst. Port, Header-Flags, State-Table
– Proxy: Zusätzlich Content – Aber eingeschränkt
Notwendigkeit eines NIDS/NIPS
Klassisches Beispiel einer „sicher“ konfigurierten FW:
– Firewall genehmigt Verbindungen aus dem Internet auf Port 80/TCP des Webservers im Firmennetz/DMZ
– Alle anderen Ports/Protokolle werden blockiert
– Firewall blockt „gefährliche“ HTTP PUT und DELETE sowie GET-Requests > 1024 Byte (Application Layer Security)
– Firewall blockt alle ausgehende Verbindungsanfragen des Webservers (Verhindert Reverse-Shells und Outbreaks)
IT-Symposium 2005
www.decus.de 8
Notwendigkeit eines NIDS/NIPS
Klassisches Beispiel zur Umgehung einer „sicher“konfigurierten FW:
1 Connect auf Port 80 des Webservers
2 GET /cgi-bin/buggyscript?[Shellcode<=256] HTTP/1.0
3 Shellcode beendet Webserver und erstellt Listener auf Port 80
Fazit:
• Kein Verstoß gegen Accessliste der FW
• Kein Verstoß gegen Appl.Layer.Regel (PUT/DEL/Size)
• Keine Reverse Shell ( ausgehende Connection)
Notwendigkeit eines NIDS/NIPS
Oft keine Firewall zwischen internen Netzen!
Weil:
Netzwerkperformance
Komplexe Protokolle
Änderungen am IP-Range evtl. notwendig
Vertrauen ☺
IT-Symposium 2005
www.decus.de 9
Funktionsweisen NIDS/NIPS
Wie können Angriffe erkannt werden?
Funktionsweisen NIDS
Signaturbasierte Erkennung– Klassisches Patternmatching
Signature
DB
GET /cgi-bin/phf?
GET /etc/passwd HTTP/1.0
GET /cgi-bin/dontexist/../phf?
HEAD /etc/passwd HTTP/1.0
GET /cgi-bin/././././phf?GET /admin.pwd
GET %2Fadmin%2Epwd
Normalisierung nicht vergessen!
IT-Symposium 2005
www.decus.de 10
Funktionsweisen NIDS
Signaturbasierte Erkennung
Pros:
• Einfache Anpassung der Signaturen
• Schnelle Signaturen von der Community
Cons:
• Viele Methoden zur Umgehung der Erkennung
• Erkennungsrate stark abhängig von Aktualität der Signaturen
• Performanzprobleme ( bsp.: Backtracking von Regex)
Funktionsweisen NIDS
Protokoll Anomaly basierte Erkennung (PAD)
Protokolldefinition für HTTP-Request
0.99999HTT;/Ax[2000]ASDF
1.0HTTP/index.htmGET
0.91.01.1
HTTP/.{0,1024}GETHEADPOSTPUTUsw.
VersionProtokollResourceOption
IT-Symposium 2005
www.decus.de 11
Funktionsweisen NIDS
Protokoll Anomaly basierte Erkennung (PAD)
S: 220 FTP Server ready.C: User hacker
S: Password required for hacker
C:\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\xeb\x35\x5e\x80\x46\x01\x30\x80\x46\x02\x30\x80\x46\x03\x30\x80\x46\x05\x30\x80\x46\x06\x30\x89\xf0\x89\x46\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xc6\xff\xff\xff\x2f\x32\x39\x3e\x2f\x43\x38\x90\x90\x90\x90\x90
S:/bin/sh#
Funktionsweisen NIDS
Protokoll Anomaly basierte Erkennung (PAD)
Pros:
- Erkennung unbekannter Angriffe (Zero-Day-Exploits)- Kein Update (zwingend) notwendig wie bei Signaturen- Hohe Performanz- Schwer zu Umgehen
Cons:
- Meist nur geringer Einblick/Einfluss in/auf die „hardgecodeten“ PAD-Mechanismen
IT-Symposium 2005
www.decus.de 12
Funktionsweisen NIDS
Statistische Traffic Auswertungen 55
2520
0
10
20
30
40
50
60
TCP UDP ICMP
Funktionsweisen NIDS
Statistische Traffic Auswertungen
Pros:
- Erkennung von Flooding Attacken - Wenn keine Signatur im Payload/Header bsp. UDP-Flood- Syn-Flood Attacken: Missverhältnis von nicht Acknowledgten
Ack-Packeten
Cons:
- IDS muss regelmässig Netzwerkumgebung „messen“- Ausnahmen für Backup und sonstige Peeks müssen definiert werden
IT-Symposium 2005
www.decus.de 13
Funktionsweisen NIDS
Network Flow Policy
BlockANYVorstand Universe
AllowANYUniverseVorstand
Block!SMB/HTTP/FPT/NOTES
Server-LanUser-LanBlock!SSH/SSLDMZ1Admin-LanBlockSMTP/IRCInternetUser-LanAllowHTTP/FTPInternetUser-LanAktionProtokollZielQuelle
Funktionsweisen NIDS
Network Flow Policy
Pros:
- Hohe Erkennungsrate z.B. bei IRC/SMPT basierten Würmern- Bereits Verbindungs-Versuche werden erkannt
Cons:
- Keine Erkennung von Angriffen in erlaubter Kommunikation- Hoher Aufwand zur Erstellung des Regelwerks
IT-Symposium 2005
www.decus.de 14
Funktionsweisen NIDS
Abweichungen vom Benutzer Verhalten
UeberstundenWEB/MAIL14:00 – 18:00Karow
DefaultWEB/MAIL11:00 – 12:00KarowUrlaubN/A01.04-20.04MuellerMittagspauseN/A12:01 – 13:30Schmidt
DefaultMAIL/WEB8:30 – 12:0013:31 – 18:00
SchmidtKommentarApplikationZeitBenutzer
Funktionsweisen NIDS
Abweichungen vom Benutzer Verhalten
Pros:
- Im Idealfall hohe Erkennungsrate bei Angriffen
Cons:
- Interaktion von IDS, Directory Services u. HR-Daten notwendig- Hoher Aufwand zur Erstellung des Regelwerks- Datenschutzbedenken wg. mangelnder Anonymisierungsmöglichkeiten- Also Out-Of-The-Box product nicht erhältlich
IT-Symposium 2005
www.decus.de 15
Funktionsweisen NIDS
Welche ist die
beste
Erkennungsmethode?
Network Intrusion Prevention
Noch Zeit?
IT-Symposium 2005
www.decus.de 16
NIPS – Klassische Herausforderungen
Stark geswitchte Umgebungen erschweren Platzierung des IDS im Netzwerk!
Zentraler Zugriffspunkt
– Monitoring Port des Switches– Network Taps
NIPS – Klassische Herausforderungen
Bei DoS-Angriffen „liegt“ Datenlast auf der Leitung. Das kann selbst ein IPS nicht verhindern!
Schutz vor Denial Of Service Attacken
– Bandbreitenlimitierung am IPS
– QoS-Rekonfiguration des Routers als Response-Rule
– Ist Blacklisting sinnvoll? SYN/UDP-Flood!
IT-Symposium 2005
www.decus.de 17
NIPS – Klassische Herausforderungen
Angriffserkennung in verschlüsselten Verbindungen nicht möglich (Bsp.: SSL/TLS)
Verschlüsselte Verbindungen
Internet
Router
Firewall Reverse Proxy
SS
LIDS
AV
URL
– Server-Zertifikate auf IDS/IPS hinterlegen– Verwendung eines Reverse-Proxy (Netzdesign)
NIPS – Klassische Herausforderungen
Ein- und ausgehende Packete benutzen unterschiedliche Strecken
Asymmetrischer Traffic
InternetRouter – ISP 1Router – ISP 2
Clients
HSRP
IDS
IT-Symposium 2005
www.decus.de 18
NIPS - Grenzen
Analyse innerhalb von verschlüsselten Protokollen
Prüfung von Attachments (ZIP,UPX)
Analyse unbekannter Protokolle (Karow-RPC)
Blockierung von DoS-Angriffen
Network Intrusion Prevention
Immer noch Zeit?
IT-Symposium 2005
www.decus.de 19
Klassische Angriffsszenarien
Mac-Spoofing/ Arp-FloodingAusnutzung von Konfigurationsfehlern
– Beschreibbare/Ausführbare Webverzeichnisse– Exportierte User-Verzeichnisse– Schwache Passwörter
Ausnutzung von Programmierfehlern– Stack Overflows– Format String Angriffe– Schwache Session-ID‘s
Ausnutzung von Logik-Fehlern– admin=true
Denial Of Service (Syn/UDP Floods, smurfing, etc)
Intrusion Prevention in Netzwerken
Zusammenfassung
IT-Symposium 2005
www.decus.de 20
Intrusion Prevention in Netzwerken
IDS/IPS ist eine sinnvolle Ergänzung der Netzwerksicherheit
IDS/IPS sollte möglichst mehrere Erkennungsmechanismen in Kombination bieten
IDS/IPS ist kein Ersatz für– Starke Filterung mittels Firewalls– Anti-Virensysteme– Anti-Spam Systeme
NIPS sollte möglichst in Kombination mit HIDS eingesetzt werden.
Vielen DankOliver Karow