IT-Symposium 2005

www.decus.de 1

Intrusion Prevention in NetzwerkenOliver Karow - ETAM05.04.2005

Agenda

Symantec Network Security 7100 & 4.0

Definition NIDS/NIPS

Notwendigkeit eines NIDS/NIPS

Funktionsweisen NIDS/NIPS

Klassische Herausforderungen

1

2

3

4

5

IT-Symposium 2005

www.decus.de 2

Symantec Network Security

Vorweg ein wenig Marketing......

Network Intrusion Detection & Prevention

System zur aktiven (IPS) und/oder passiven (IDS) Analyse des Netzwerkverkehrs

Protokollierung von Angriffen

Abwehr von Angriffen

Veranlassung weiterer Aktionen (Responses)

Netzwerk IDS/IPS?

– Mail/Trap/Pager

– Blacklisting

– Custom Responses

– Usw.

IT-Symposium 2005

www.decus.de 3

Network Intrusion Detection

IDS Sensor im Netzwerk (z.B. Monitoring port)Erkennung/Protokollierung von Angriffen

Response Aktionen

Abwehr von Angriffen:

Hacker

Internet

IDS

RouterServers

Clients

Firewall

Switch

– TCP-RST

Network Intrusion Prevention

IPS Device als aktive Netzwerkkomponente (Layer2 Bridge)

Blocken der erkannten Angriffe „on the wire“

Protokollierung und Responses wie bei IDS

IT-Symposium 2005

www.decus.de 4

Network Intrusion Prevention

Intrusion Prevention ist nur im INLINE Modus effektiv möglich!

One Step back.....

Warum eigentlich ein IPS?

IT-Symposium 2005

www.decus.de 5

Notwendigkeit eines NIDS/NIPS- Grundlage für neue Angriffe

10

2530

50 5360

0

10

20

30

40

50

60

70

1999 2000 2001 2002 2003 2004

Entdeckte Schwachstellen pro Woche

Securityfocus

Notwendigkeit eines NIDS/NIPS- Verfügbarkeit von Exploits

Tim

e to

aut

omat

ed e

xplo

it

1992 June 2004

4 mos.

3 mos.

2 mos.

1 mos.

Weeks Witty WormSasser

Code Red

File Virus

Blaster

Zero Day

IT-Symposium 2005

www.decus.de 6

Notwendigkeit eines NIDS/NIPS- Benötigtes Wissen

Ausführbarkeit von Angriffen immer einfacher

Notwendigkeit eines NIDS/NIPS

….. aber wir haben doch eine Firewall…..

Internet

Router

Firewall

Switch

IT-Symposium 2005

www.decus.de 7

Notwendigkeit eines NIDS/NIPS

Firewalls regeln zulässige Verbindungen zwischen Netzen, aber:Eingeschränkte Sicherheitsprüfungen in zulässigen Verbindungen:

– Packetfilter: Src./Dst. IP, Src./Dst. Port, Header-Flags, State-Table

– Proxy: Zusätzlich Content – Aber eingeschränkt

Notwendigkeit eines NIDS/NIPS

Klassisches Beispiel einer „sicher“ konfigurierten FW:

– Firewall genehmigt Verbindungen aus dem Internet auf Port 80/TCP des Webservers im Firmennetz/DMZ

– Alle anderen Ports/Protokolle werden blockiert

– Firewall blockt „gefährliche“ HTTP PUT und DELETE sowie GET-Requests > 1024 Byte (Application Layer Security)

– Firewall blockt alle ausgehende Verbindungsanfragen des Webservers (Verhindert Reverse-Shells und Outbreaks)

IT-Symposium 2005

www.decus.de 8

Notwendigkeit eines NIDS/NIPS

Klassisches Beispiel zur Umgehung einer „sicher“konfigurierten FW:

1 Connect auf Port 80 des Webservers

2 GET /cgi-bin/buggyscript?[Shellcode<=256] HTTP/1.0

3 Shellcode beendet Webserver und erstellt Listener auf Port 80

Fazit:

• Kein Verstoß gegen Accessliste der FW

• Kein Verstoß gegen Appl.Layer.Regel (PUT/DEL/Size)

• Keine Reverse Shell ( ausgehende Connection)

Notwendigkeit eines NIDS/NIPS

Oft keine Firewall zwischen internen Netzen!

Weil:

Netzwerkperformance

Komplexe Protokolle

Änderungen am IP-Range evtl. notwendig

Vertrauen ☺

IT-Symposium 2005

www.decus.de 9

Funktionsweisen NIDS/NIPS

Wie können Angriffe erkannt werden?

Funktionsweisen NIDS

Signaturbasierte Erkennung– Klassisches Patternmatching

Signature

DB

GET /cgi-bin/phf?

GET /etc/passwd HTTP/1.0

GET /cgi-bin/dontexist/../phf?

HEAD /etc/passwd HTTP/1.0

GET /cgi-bin/././././phf?GET /admin.pwd

GET %2Fadmin%2Epwd

Normalisierung nicht vergessen!

IT-Symposium 2005

www.decus.de 10

Funktionsweisen NIDS

Signaturbasierte Erkennung

Pros:

• Einfache Anpassung der Signaturen

• Schnelle Signaturen von der Community

Cons:

• Viele Methoden zur Umgehung der Erkennung

• Erkennungsrate stark abhängig von Aktualität der Signaturen

• Performanzprobleme ( bsp.: Backtracking von Regex)

Funktionsweisen NIDS

Protokoll Anomaly basierte Erkennung (PAD)

Protokolldefinition für HTTP-Request

0.99999HTT;/Ax[2000]ASDF

1.0HTTP/index.htmGET

0.91.01.1

HTTP/.{0,1024}GETHEADPOSTPUTUsw.

VersionProtokollResourceOption

IT-Symposium 2005

www.decus.de 11

Funktionsweisen NIDS

Protokoll Anomaly basierte Erkennung (PAD)

S: 220 FTP Server ready.C: User hacker

S: Password required for hacker

C:\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\xeb\x35\x5e\x80\x46\x01\x30\x80\x46\x02\x30\x80\x46\x03\x30\x80\x46\x05\x30\x80\x46\x06\x30\x89\xf0\x89\x46\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xc6\xff\xff\xff\x2f\x32\x39\x3e\x2f\x43\x38\x90\x90\x90\x90\x90

S:/bin/sh#

Funktionsweisen NIDS

Protokoll Anomaly basierte Erkennung (PAD)

Pros:

- Erkennung unbekannter Angriffe (Zero-Day-Exploits)- Kein Update (zwingend) notwendig wie bei Signaturen- Hohe Performanz- Schwer zu Umgehen

Cons:

- Meist nur geringer Einblick/Einfluss in/auf die „hardgecodeten“ PAD-Mechanismen

IT-Symposium 2005

www.decus.de 12

Funktionsweisen NIDS

Statistische Traffic Auswertungen 55

2520

0

10

20

30

40

50

60

TCP UDP ICMP

Funktionsweisen NIDS

Statistische Traffic Auswertungen

Pros:

- Erkennung von Flooding Attacken - Wenn keine Signatur im Payload/Header bsp. UDP-Flood- Syn-Flood Attacken: Missverhältnis von nicht Acknowledgten

Ack-Packeten

Cons:

- IDS muss regelmässig Netzwerkumgebung „messen“- Ausnahmen für Backup und sonstige Peeks müssen definiert werden

IT-Symposium 2005

www.decus.de 13

Funktionsweisen NIDS

Network Flow Policy

BlockANYVorstand Universe

AllowANYUniverseVorstand

Block!SMB/HTTP/FPT/NOTES

Server-LanUser-LanBlock!SSH/SSLDMZ1Admin-LanBlockSMTP/IRCInternetUser-LanAllowHTTP/FTPInternetUser-LanAktionProtokollZielQuelle

Funktionsweisen NIDS

Network Flow Policy

Pros:

- Hohe Erkennungsrate z.B. bei IRC/SMPT basierten Würmern- Bereits Verbindungs-Versuche werden erkannt

Cons:

- Keine Erkennung von Angriffen in erlaubter Kommunikation- Hoher Aufwand zur Erstellung des Regelwerks

IT-Symposium 2005

www.decus.de 14

Funktionsweisen NIDS

Abweichungen vom Benutzer Verhalten

UeberstundenWEB/MAIL14:00 – 18:00Karow

DefaultWEB/MAIL11:00 – 12:00KarowUrlaubN/A01.04-20.04MuellerMittagspauseN/A12:01 – 13:30Schmidt

DefaultMAIL/WEB8:30 – 12:0013:31 – 18:00

SchmidtKommentarApplikationZeitBenutzer

Funktionsweisen NIDS

Abweichungen vom Benutzer Verhalten

Pros:

- Im Idealfall hohe Erkennungsrate bei Angriffen

Cons:

- Interaktion von IDS, Directory Services u. HR-Daten notwendig- Hoher Aufwand zur Erstellung des Regelwerks- Datenschutzbedenken wg. mangelnder Anonymisierungsmöglichkeiten- Also Out-Of-The-Box product nicht erhältlich

IT-Symposium 2005

www.decus.de 15

Funktionsweisen NIDS

Welche ist die

beste

Erkennungsmethode?

Network Intrusion Prevention

Noch Zeit?

IT-Symposium 2005

www.decus.de 16

NIPS – Klassische Herausforderungen

Stark geswitchte Umgebungen erschweren Platzierung des IDS im Netzwerk!

Zentraler Zugriffspunkt

– Monitoring Port des Switches– Network Taps

NIPS – Klassische Herausforderungen

Bei DoS-Angriffen „liegt“ Datenlast auf der Leitung. Das kann selbst ein IPS nicht verhindern!

Schutz vor Denial Of Service Attacken

– Bandbreitenlimitierung am IPS

– QoS-Rekonfiguration des Routers als Response-Rule

– Ist Blacklisting sinnvoll? SYN/UDP-Flood!

IT-Symposium 2005

www.decus.de 17

NIPS – Klassische Herausforderungen

Angriffserkennung in verschlüsselten Verbindungen nicht möglich (Bsp.: SSL/TLS)

Verschlüsselte Verbindungen

Internet

Router

Firewall Reverse Proxy

SS

LIDS

AV

URL

– Server-Zertifikate auf IDS/IPS hinterlegen– Verwendung eines Reverse-Proxy (Netzdesign)

NIPS – Klassische Herausforderungen

Ein- und ausgehende Packete benutzen unterschiedliche Strecken

Asymmetrischer Traffic

InternetRouter – ISP 1Router – ISP 2

Clients

HSRP

IDS

IT-Symposium 2005

www.decus.de 18

NIPS - Grenzen

Analyse innerhalb von verschlüsselten Protokollen

Prüfung von Attachments (ZIP,UPX)

Analyse unbekannter Protokolle (Karow-RPC)

Blockierung von DoS-Angriffen

Network Intrusion Prevention

Immer noch Zeit?

IT-Symposium 2005

www.decus.de 19

Klassische Angriffsszenarien

Mac-Spoofing/ Arp-FloodingAusnutzung von Konfigurationsfehlern

– Beschreibbare/Ausführbare Webverzeichnisse– Exportierte User-Verzeichnisse– Schwache Passwörter

Ausnutzung von Programmierfehlern– Stack Overflows– Format String Angriffe– Schwache Session-ID‘s

Ausnutzung von Logik-Fehlern– admin=true

Denial Of Service (Syn/UDP Floods, smurfing, etc)

Intrusion Prevention in Netzwerken

Zusammenfassung

IT-Symposium 2005

www.decus.de 20

Intrusion Prevention in Netzwerken

IDS/IPS ist eine sinnvolle Ergänzung der Netzwerksicherheit

IDS/IPS sollte möglichst mehrere Erkennungsmechanismen in Kombination bieten

IDS/IPS ist kein Ersatz für– Starke Filterung mittels Firewalls– Anti-Virensysteme– Anti-Spam Systeme

NIPS sollte möglichst in Kombination mit HIDS eingesetzt werden.

Vielen DankOliver Karow