1

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL

XLABLehrerfortbildung 2011XLABLehrerfortbildung 2011

Andreas Ißleiber

Netzwerk Grundlagen

10/2009

Andreas Ißleiber (aisslei@gwdg.de)

http://www.gwdg.de/~aisslei

2

Netzwerk: Physikalische Verbindungen

• BNC für RG-58 Koaxialkabel

• RJ45 für Twisted Pair Kabel

• ST Stecker (LWL)

• SC Stecker (LWL)

• Funk (WLAN), Blue-Tooth

OSI-Referenzmodell(7 Schichten)

Anwendungen: http(www), eMail(SMTP), FTP, SSH, Telnet etc.

IP-Adressen

Protokolle: TCP, UDP, ICMP etc.

Netzwerkkabel, Anschlüsse4

Kommunikation im OSI-Referenzmodell

Kommunikation erfolgt in gleichen Schichten (horizontal), bei gleichen Protokollen5

MAC-Adressen-Media Access Control (auch Ethernetadresse genannt)-Ist eine 48 bit „große“ Adresse (6 Bytes)-248 = 2^16 * 2^16 * 2^16 = 65536*65536*65536 = 2,8^E14 Adressen-MAC-Adresse ist (weltweit) eindeutig,-MAC-Adresse ist direkt an die Hardware ( z.B. Ethernetkarte) gebunden

Format & Schreibweisen:

00-CF-A7-34-0B-13 (oder 00:CF:A7:34:0B:13)

Besondere MAC-Adressen:

FF-FF-FF-FF-FF-FF (Broadcast)

6

PC2 PC3 PC4 PC5

PC1

HUB (Layer 1)

Netzwerkpakete werden immer an alle Ports(Anschlüssen) übertragen

PC2 PC3 PC4 PC5

PC1

Switch (Layer 2)

Netzwerkpakete werden nur! zwischen den kommunizierenden Ports(Rechnern)

übertragen

Aktive NetzwerkgeräteHUB & Switch

Unterschiede: Layer 1 und Layer 2

7

Aktive Netzwerkkomponenten im OSI-Modell

Layer

123

4-7

, HUB

}

8

Byte 1 Byte 2 Byte 3 Byte 4

10000110 01001100 00001010 00101111

134. 76. 10. 47

Klasse IP-Adresse 1.Byte Netz Hosts

A 1-126 0xxxxxxx 126 16777214

B 128-191 10xxxxxx 16383 65534

C 192-223 110xxxxx 2097151 254

Jeder Rechner in einem TCP/IP-Netzwerk benötigt eine eindeutige IP-Adresse. Eine IP-Adresse besteht aus 4-Bytes (Bsp: 134.76.10.47), die sich aus zwei Teilen, dem Netzwerk- und dem Host-Anteil, zusammensetzt. Insgesamt lassen sich so 2³² = 4.294.967.296 Adressen im Internet darstellen.

IP-Adressen sind in Klassen unterteilt (definiert durch erste 3 Bits des ersten Bytes einer IP-Adresse)

IP-Adressen

9

IP-Adressen: Klassen

10

Besondere IP-Adressen

• 127.x.x.xLocalhost (oft: 127.0.0.1)

• 255 (im Host Teil) (Bsp: 134.76.10.255)Broadcast-Adresse

• 255.255.255.255Broadcast

• 0 (im Netz-Teil)Netzwerk-Adresse (Bsp: 134.76.10.0)

11

IP-Adressen & Subnetzmasken

12

Berechnung der Subnetze(Hostanteil, Netzanteil)

dezimal binär

IP-Adresse 134.76.10.47 10000110 . 01001100 . 00001010 . 00101111

Subnetzmaske 255.255.255.0 11111111 . 11111111 . 11111111 . 00000000

Netz(Anteil) 134.76.10.0 10000110 . 01001100 . 00001010 . 00000000

Host(Anteil) 0.0.0.255 00000000 . 00000000 . 00000000 . 11111111

Berechung des Netz-Anteils durch bitweises, logisches UND zwischen IP-Adresse und Subnetzmaske

13

Internet Protocol (IP)

IP/ICMPARP

TCP / UDP

TelnetFTP

SMTP

Ver-kabelun

g

14

Address Resolution Protocol (ARP)

IP/ICMPARP

TCP / UDP

TelnetFTP

SMTP

Ver-kabelun

g

15

Address Resolution Protocol (ARP)

16

Höhere Schichten (Protokolle) (TCP) = Transmission Control Protocol

• setzt direkt auf dem Internet Protokoll (IP) auf (TCP/IP)

• garantiert eine

– fehlergesicherte,

– zuverlässige Transportverbindung

– zwischen zwei Rechnersystemen

(Ende zu Ende Kontrolle)

• Verbindungsmanagement (3way-Handshake)

17

TCP Header

IP/ICMPARP

TCP / UDP

TelnetFTP

SMTP

Ver-kabelun

g

18

Wichtige (well known) TCP-Ports

• 20/21 FTP (Filetransfer)

• 23 Telnet

• 25 SMTP (e-mail)

• 80 HTTP (World Wide Web)

• 443 HTTPs(Secure HTTP)

• 161/162 SNMP (Netzwerkmanagement)

19

(UDP)=User Datagram Protocol

• setzt direkt auf dem Internet Protokoll (IP) auf• Datagram Service zwischen Rechnern

(keine virtuelle Verbindung)• Im Gegensatz zu TCP:

Transport Protokoll ohne “End to End” Kontrolle kein Verbindungsmanagement

(keine aktiven Verbindungen!) keine Flußkontrolle kein Multiplexmechanismus keine Zeitüberwachung keine Fehlerbehandlung

20

UDP Header

IP/ICMPARP

TCP / UDP

TelnetFTP

SMTP

Ver-kabelun

g

21

Vergleich TCP und UDP

22

MAC-Adresse=00:CF:A7:34:0B:13

Computer- Hardware

- physical link

Betriebssystem- Protokolle:TCP,UDP

- IP-Stack- Netzwerktreiber

Anwendungen-Software

IP-Adresse=134.76.10.47Subnetzmaske=255.255.0.0Gateway=134.76.10.254

TCP-Port=80TCP-Port=25

…

eMail

http

Zusammenspiel der Komponenten

23

24

TCP-Session

Webserver: 134.76.10.47Client: 134.76.20.1

Nr. Source Port Destination1.) 134.76.20.1 80 134.76.10.472.) 134.76.10.47 (>1024) 134.76.20.1

Source Port=1025, Dest-Port=80

Source Port=80, Des.Port=1025

25

UDP-Session

DNS-Server: 134.76.10.46Client: 134.76.20.1

Nr. Source Port Destination1.) 134.76.20.1 53 134.76.10.462.) 134.76.10.46 (>1024) 134.76.20.1

Source Port=1030, Dest-Port=53

Source Port=53, Des.Port=1030

Komprommittierung im Netzwerk

ARP Flooding

MAC-Address Port timeout-----------------------------------------------00:F2:EA:67:08:23 1 12s00:4F:D7:A3:89:10 2 8s00:47:12:E5:D8:9E 3 22s

Switch forwarding database

MAC:00:F2:EA:67:08:23 MAC:00:4F:D7:A3:89:10

MAC:00:47:12:E5:D8:9E

00:47:12:E5:D8:9E12:43:DF:EA:80:9000:45:DF:F2:34:87… u.v.m.

Fluten der Switch forwarding database mit Einer Vielzahl vom MAC-Adressen

26

Übungen:

27

1.) Wie viele IP-Adressen können im Netz (157.210.100.0) mit der Subnetzmaske (255.255.255.0) vergeben werden ? ______________

2.) Wie lautet die (Bit)Schreibweise einer IP-Adresse aus dem Netzwerk in Übung 1.) (157.210.100.10/bit) ?________________________

3.) Ist die folgende IP Adresse (146.289.120.19) gültig ? [Ja] [nein]

Begründung ? _____________________________________________________________________________

_________________________________________________________________________________________

4.) Wie lautet die Subnetzmaske der IP-Adresse (123.87.10.0/22) ?__________________________________

5.) Zwei Rechner (Rechner A: 177.203.190.1/26, Rechner B: 177.203.190.80/26) sind direkt über einen Ethernet-Switch miteinander verbunden. Können die Rechner direkt über den Switch miteinander über das IP-Protokoll kommunizieren, wenn keine weitere aktive Netzwerkkomponenten wie z.B. ein Router im Netzwerk angeschlossen ist ? [ja] [nein]

Begründung ? _________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

Übungen:

28

6.) Ihnen steht das Netzwerk (155.201.190.128/28) zur Verfügung. Teilen Sie dieses Netz in zwei gleich große Subnetsbereiche auf. Wie lauten die beiden Netzwerke ?

________________________________________________________________________________________

________________________________________________________________________________________

Füllen Sie die fehlenden Daten, basierend aus Aufg.6 aus:

Netz1 (Bit-Schreibweise):155.201.290.____/____

Netz2 (Bit-Schreibweise):155.201.290.____/____

Subnetzmaske Netz1: 255.255.____._____

Subnetzmaske Netz2: 255.255.____._____

Netz 1: Erste IP-Adresse: 155.201.290._____, Letzte IP-Adresse: 155.201.290._______

Netz 2: Erste IP-Adresse: 155.201.290._____, Letzte IP-Adresse: 155.201.290._______

Wieviele IP-Adressen können in jedem der beiden Netze vergeben werden ? __________________________

Lösung Aufg 6)

155.201.190.128/29

Subnet , Valid Hosts , Broadcast 155.201.190.128 , 155.201.190.129 to 155.201.190.142, 155.201.190.143

155.201.190.128 , 155.201.190.129 to 155.201.190.134, 155.201.190.135 155.201.190.136 , 155.201.190.137 to 155.201.190.142, 155.201.190.143

29

30

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL

SchutzmechanismenSchutzmechanismen

31

Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen

10/2000Andreas Ißleiber

LAN

Einsatz von FirewallsInternet

Firewall

Router134.76.10.254

134.76.10.253

DMZ

Öffentliche ServerWeb,Mail,DNS, etc.

IP: 134.76.10.2GW: 134.76.10.254

IP: 134.76.10.1GW: 134.76.10.254

•Transparente FW:Vorteil: Die bisherige Netzstruktur kann beibehalten bleibenEine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen

•FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-AdresseNachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich

•NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich.

192.168.1.254

IP: 192.168.1.1GW: 192.168.1.254

NAT NAT& IP Umsetung

Lokaler Server: IP: 134.76.10.3GW: 134.76.10.254

Lokaler Server: IP: 192.168.1.2GW: 192.168.1.254

Server ist vom Internet erreichbarIP: 192.168.1.2Externe IP: 134.76.10.3GW: 192.168.1.254

•DMZDie FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung)

Sicherheit in NetzenDPZ 11/2003

32

Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen

DMZ LAN

internes Netz

Firewall

Aufteilung der internen- und öffentlichen Dienste

Internet

öffentliche ServerWeb,Mail,DNS, etc.

!

Firewall

Grundregeln auf der FW:

Quelle Dienst allow / reject ZielDMZ alle InternetLAN alle InternetLAN alle DMZInternet alle LANInternet alle/einige DMZDMZ alle LAN

Grundregeln auf der FW:

Quelle Dienst allow / reject ZielDMZ alle InternetLAN alle InternetLAN alle DMZInternet alle LANInternet alle/einige DMZDMZ alle LAN

10/2000Andreas Ißleiber

1) Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen

2) File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen

3) Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich-> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden

4) RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz

5) Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt.

6) Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden

7) DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt

Sicherheit in NetzenDPZ 11/2003

33

Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen

Typisches Scenario

DMZ

InternesLAN

Internet

Mailserver und PDC derDomäne A

Firewall

Übergeordneter DNS

1

23

4

Erforderliche Regeln auf der FW:

Quelle Dienst allow / reject Ziel BemerkungInternet SMTP(25) (1) Mailgateway(6) DNS(53) (2) Zonentransfer (TCP & UDP)Internet http(80) (2) WebzugriffLAN alle InternetDMZ alle InternetLAN alle DMZInternet alle LANInternet alle DMZDMZ alle LAN

Erforderliche Regeln auf der FW:

Quelle Dienst allow / reject Ziel BemerkungInternet SMTP(25) (1) Mailgateway(6) DNS(53) (2) Zonentransfer (TCP & UDP)Internet http(80) (2) WebzugriffLAN alle InternetDMZ alle InternetLAN alle DMZInternet alle LANInternet alle DMZDMZ alle LAN

DNS und Webserver

5

RAS-Server alsMitglied der Domäne A

RAS-Server greift auf diePaßwörter des PDC (1) zurück

Zentraler PDC derDomäne B

1

2

3

4

5

Mailserver (PDC) in DMZ

DNS & Webserver in DMZ

PDC im LAN (geschützt)

Clients im LAN (geschützt)

RAS-Server in DMZ

Zentraler Terminalserver

10/2000Andreas Ißleiber

Sicherheit in NetzenDPZ 11/2003

34

Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen

Mehr Sicherheit durch VPN

DMZ LAN

RAS, Einwahl-Server, CHAP Internes Netz

VPN-fähige Firewall

VPN Clients über ein Einwahlserver

VPN Clients aus dem Internet oderFremd-Provider

Internet-router

VPN-Tunnel

VPN-Tunnel

10/2000Andreas Ißleiber

1) VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen

2) IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken

3) Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway)

4) Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden

5) Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung

6) Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server

Sicherheit in NetzenDPZ 11/2003

35

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)

3/2003, Andreas Ißleiber

- 802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs)

- 802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS)

- Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am „Eingang“ des Netzwerkes)

- Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.)

- EAP-TLS & 802.1x oft als Kombination eingesetzt

- nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen)

- Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben)

10/2003

Andreas Ißleiber

802.1x Standard: http://standards.ieee.org/getieee802/802.1.html

SPAM & Sicherheit in Netzen

36

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

802.1X Prinzip

3/2003, Andreas Ißleiber

10/2003

Andreas Ißleiber

RADIUS-Server

802.1x fähigerL2 Switch

Supplicant oder Bittsteller

Authenticator

Authentication Server Proxy-Server

Client fragt nicht direkt den RADIUS Server Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“

Netz

SPAM & Sicherheit in Netzen

37

3/2003, Andreas Ißleiber

+ Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr

+ Layer 2 Technik, daher Multiprotokollfähig

+ Auf modernen Switches nahezu überall verfügbar

- Komplexe Struktur

- Aufwendige und arbeitsintensive Integration

- VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich)

10/2003

Andreas Ißleiber

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

VLAN: (Virtual LAN)

SPAM & Sicherheit in Netzen

38

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMALGefahr im Funk-LANGefahr im Funk-LAN

39

Die Gefahren im Funk-LAN:• Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der

Hardware entwendet)

• Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab

• FunkLAN hinter einer Firewall betrieben, öffnet das Netz

• Funk-Reichweite der Accesspoints wird unterschätzt

• Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in Kombination mit GPS Empfängern spüren WLANs aufWardriving ForumWardriverWardriver (heise)

• Zugriff durch unzureichende Verschlüsselung (WEP,WEP+ und nicht WPA)

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

40

FunkLAN Client sicher machen Absicherung der Funk Clients

• Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner „sicher“ zu machen

Trennen der LAN-Manager Dienste (Bindungen)• Um den Zugriff im internen VLAN (vor der Authentifizierung)

Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll

Personal Firewall auf Client• Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll

(Achtung: für IPSec FW öffnen).

Laufwerksfreigaben im FunkLAN vermeiden• Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder

auf den eigenen Client

10/2003

Andreas Ißleiber

SPAM & Sicherheit in Netzen

41

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL

Schutz im Netzwerk DurchIPS (Intrusion Prevention System)

Schutz im Netzwerk DurchIPS (Intrusion Prevention System)

42

Was ist ein IPS ?

• Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!)

• Aktion: ggf. Senden von TCP-„Reset“ an die Quelle• Transparenter Modus (inline mode),

keine Änderungen der Daten• Erkennung in L2-L7• Erkennung muß genau und

schnell sein, sonst wirdlegaler Traffic blockiert (selbstgebautes DoS)

• Hohe Bandbreite erforderlich (kein Engpass im Netz)

Internet

Loggingund ggf. Auswertung

IPS

L2-Bridge

Firewall

LAN

„block“ beiAttacken

43

IPS System von Tippingpoint

• Gerät: TippingPoint 2400• Kombination Hard- & Softwarelösung• Signatur, Ereignis, verhaltensbasierte Erkennung• Kurzfristige automatische Signaturupdates• Verschiedene Eventkategorien (Critical ... Minor)• Feintuning der Events möglich

Aktionen: Block, Inform, Reduce …• Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF,

HTML, Grafik)• Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports

(GBit/s)

IPS System von Tippingpoint (3COM)• TippingPoint 2400, 2 Wochen im Test bei der GWDG am

- WIN Zugang (1GBit/s)- WLAN Übergang (100MBit/s)

Internet

GÖNET

1GBit/s

Netzwerkanbindung des IPS

45

IPS in der GWDG

Penetrationstest

Opfer: PC mit debian (Knoppix) honeydAngreifer: Laptop mit Windows XP und whoppix(whax) unter

VMWARE, sowie Nessus

PC (Debian: Knoppix „iWhax“,Nessus, nmap)

Honeypot, Knoppix (mit Honeyd)Bzw. Windows 98 in VMWARE

100MBit/s

100MBit/s

192.168.1.1 … 192.168.1.30

192.168.10.100

46

IPS in der GWDG

Name Category Src. PortDst. Addr. Dst. PortSeverity7001: UDP: Port Scan Reconnaissance 0 192.168.1.4 0 Low2350: MS-RPC: DCOM IRemoteActivation RequestSecurity Policy 60965 192.168.1.2 135 Critical3643: HTTP: Nikto HTTP Request Attacks - Exploits57509 192.168.1.3 80 Major7000: TCP: Port Scan Reconnaissance 0 192.168.1.1 0 Low0292: Invalid TCP Traffic: Possible nmap Scan (No Flags)Reconnaissance64043 192.168.1.1 22 Minor2350: MS-RPC: DCOM IRemoteActivation RequestSecurity Policy 54310 192.168.1.3 135 Critical1576: Backdoor: Back Orifice Communications Attacks - Exploits32866 192.168.1.3 31337 Critical0292: Invalid TCP Traffic: Possible nmap Scan (No Flags)Reconnaissance 22 192.168.1.1 22 Minor0087: ICMP: Modem Hangup (+++ATH) Echo RequestAttacks - Vulnerabilities0 192.168.1.3 0 Minor7000: TCP: Port Scan Reconnaissance 0 192.168.1.1 0 Low0290: Invalid TCP Traffic: Possible Recon Scan (SYN FIN)Reconnaissance10004 192.168.1.1 22 Minor1576: Backdoor: Back Orifice Communications Attacks - Exploits33271 192.168.1.1 31337 Critical0560: DNS: Version Request (udp) Reconnaissance32861 192.168.1.3 53 Minor3642: HTTP: Nessus HTTP Request Attacks - Exploits53075 192.168.1.3 80 Major0121: Stacheldraht: Agent Finder Gag Scanner (General)Reconnaissance 0 192.168.1.3 0 Minor0292: Invalid TCP Traffic: Possible nmap Scan (No Flags)Reconnaissance 143 192.168.1.3 143 Minor2350: MS-RPC: DCOM IRemoteActivation RequestSecurity Policy 54319 192.168.1.3 135 Critical

Nikto web scan

nmap

nmapnmapnessusnessus

Ping mit „Inhalt“

Stacheldraht

Attacke:IPS Logfile

Event ID

Penetration: kleiner Ausschnitt der Ergebnisse

47

IPS in der GWDG

Penetrationstest Fazit:

• Die meisten provozierten Attacken wurden erkannt

• Nicht erkannt wurden:

- SQL Injection- SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)

48

IPS in der GWDG

Ergebnisse der Testphase: Erkennung & Reports

• No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet)

• Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt)

• Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)

49

IPS in der GWDG

Ergebnisse der Testphase: Erkennung & Reports

• Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert

• Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer)Event ID # HitsOhne SQL Slammer

50

Falscher Alarm (False Positive)

• „Schwer zu beurteilen“, während derTestphase gab es keinerlei Beschwerden bzgl. Störungen

• Tests innerhalb der GWDG bestätigten keine „falsch positiv“ Erkennungen (Dennoch werden diese vermutlich existieren)

51

IPS in der GWDG

Ergebnisse der Testphase: TrafficShaping

• Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen)

• In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s)

• Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren)

MBits/s

Σ alle Tauschbörsen

Events bei Überschreitung d.Limits

52

IPS in der GWDG Tippingpoint Screenshots Dashboard

53

IPS in der GWDG Tippingpoint Screenshots

54

IPS in der GWDG Tippingpoint Screenshots

55

IPS in der GWDG Tippingpoint Screenshots

56

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL… Fragen… Fragenund Diskussionen …und Diskussionen …

??Diese und andere Folien finden Sie auch unter:

http://www.gwdg.de/~aisslei