1 cisco s ystems ciscoystems s ciscosystems upper power lower power normal xlab lehrerfortbildung...
TRANSCRIPT
1
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL
XLABLehrerfortbildung 2011XLABLehrerfortbildung 2011
Andreas Ißleiber
Netzwerk: Physikalische Verbindungen
• BNC für RG-58 Koaxialkabel
• RJ45 für Twisted Pair Kabel
• ST Stecker (LWL)
• SC Stecker (LWL)
• Funk (WLAN), Blue-Tooth
OSI-Referenzmodell(7 Schichten)
Anwendungen: http(www), eMail(SMTP), FTP, SSH, Telnet etc.
IP-Adressen
Protokolle: TCP, UDP, ICMP etc.
Netzwerkkabel, Anschlüsse4
Kommunikation im OSI-Referenzmodell
Kommunikation erfolgt in gleichen Schichten (horizontal), bei gleichen Protokollen5
MAC-Adressen-Media Access Control (auch Ethernetadresse genannt)-Ist eine 48 bit „große“ Adresse (6 Bytes)-248 = 2^16 * 2^16 * 2^16 = 65536*65536*65536 = 2,8^E14 Adressen-MAC-Adresse ist (weltweit) eindeutig,-MAC-Adresse ist direkt an die Hardware ( z.B. Ethernetkarte) gebunden
Format & Schreibweisen:
00-CF-A7-34-0B-13 (oder 00:CF:A7:34:0B:13)
Besondere MAC-Adressen:
FF-FF-FF-FF-FF-FF (Broadcast)
6
PC2 PC3 PC4 PC5
PC1
HUB (Layer 1)
Netzwerkpakete werden immer an alle Ports(Anschlüssen) übertragen
PC2 PC3 PC4 PC5
PC1
Switch (Layer 2)
Netzwerkpakete werden nur! zwischen den kommunizierenden Ports(Rechnern)
übertragen
Aktive NetzwerkgeräteHUB & Switch
Unterschiede: Layer 1 und Layer 2
7
Aktive Netzwerkkomponenten im OSI-Modell
Layer
123
4-7
, HUB
}
8
Byte 1 Byte 2 Byte 3 Byte 4
10000110 01001100 00001010 00101111
134. 76. 10. 47
Klasse IP-Adresse 1.Byte Netz Hosts
A 1-126 0xxxxxxx 126 16777214
B 128-191 10xxxxxx 16383 65534
C 192-223 110xxxxx 2097151 254
Jeder Rechner in einem TCP/IP-Netzwerk benötigt eine eindeutige IP-Adresse. Eine IP-Adresse besteht aus 4-Bytes (Bsp: 134.76.10.47), die sich aus zwei Teilen, dem Netzwerk- und dem Host-Anteil, zusammensetzt. Insgesamt lassen sich so 2³² = 4.294.967.296 Adressen im Internet darstellen.
IP-Adressen sind in Klassen unterteilt (definiert durch erste 3 Bits des ersten Bytes einer IP-Adresse)
IP-Adressen
9
IP-Adressen: Klassen
10
Besondere IP-Adressen
• 127.x.x.xLocalhost (oft: 127.0.0.1)
• 255 (im Host Teil) (Bsp: 134.76.10.255)Broadcast-Adresse
• 255.255.255.255Broadcast
• 0 (im Netz-Teil)Netzwerk-Adresse (Bsp: 134.76.10.0)
11
IP-Adressen & Subnetzmasken
12
Berechnung der Subnetze(Hostanteil, Netzanteil)
dezimal binär
IP-Adresse 134.76.10.47 10000110 . 01001100 . 00001010 . 00101111
Subnetzmaske 255.255.255.0 11111111 . 11111111 . 11111111 . 00000000
Netz(Anteil) 134.76.10.0 10000110 . 01001100 . 00001010 . 00000000
Host(Anteil) 0.0.0.255 00000000 . 00000000 . 00000000 . 11111111
Berechung des Netz-Anteils durch bitweises, logisches UND zwischen IP-Adresse und Subnetzmaske
13
Internet Protocol (IP)
IP/ICMPARP
TCP / UDP
TelnetFTP
SMTP
Ver-kabelun
g
14
Address Resolution Protocol (ARP)
IP/ICMPARP
TCP / UDP
TelnetFTP
SMTP
Ver-kabelun
g
15
Address Resolution Protocol (ARP)
16
Höhere Schichten (Protokolle) (TCP) = Transmission Control Protocol
• setzt direkt auf dem Internet Protokoll (IP) auf (TCP/IP)
• garantiert eine
– fehlergesicherte,
– zuverlässige Transportverbindung
– zwischen zwei Rechnersystemen
(Ende zu Ende Kontrolle)
• Verbindungsmanagement (3way-Handshake)
17
TCP Header
IP/ICMPARP
TCP / UDP
TelnetFTP
SMTP
Ver-kabelun
g
18
Wichtige (well known) TCP-Ports
• 20/21 FTP (Filetransfer)
• 23 Telnet
• 25 SMTP (e-mail)
• 80 HTTP (World Wide Web)
• 443 HTTPs(Secure HTTP)
• 161/162 SNMP (Netzwerkmanagement)
19
(UDP)=User Datagram Protocol
• setzt direkt auf dem Internet Protokoll (IP) auf• Datagram Service zwischen Rechnern
(keine virtuelle Verbindung)• Im Gegensatz zu TCP:
Transport Protokoll ohne “End to End” Kontrolle kein Verbindungsmanagement
(keine aktiven Verbindungen!) keine Flußkontrolle kein Multiplexmechanismus keine Zeitüberwachung keine Fehlerbehandlung
20
UDP Header
IP/ICMPARP
TCP / UDP
TelnetFTP
SMTP
Ver-kabelun
g
21
Vergleich TCP und UDP
22
MAC-Adresse=00:CF:A7:34:0B:13
Computer- Hardware
- physical link
Betriebssystem- Protokolle:TCP,UDP
- IP-Stack- Netzwerktreiber
Anwendungen-Software
IP-Adresse=134.76.10.47Subnetzmaske=255.255.0.0Gateway=134.76.10.254
TCP-Port=80TCP-Port=25
…
http
Zusammenspiel der Komponenten
23
24
TCP-Session
Webserver: 134.76.10.47Client: 134.76.20.1
Nr. Source Port Destination1.) 134.76.20.1 80 134.76.10.472.) 134.76.10.47 (>1024) 134.76.20.1
Source Port=1025, Dest-Port=80
Source Port=80, Des.Port=1025
25
UDP-Session
DNS-Server: 134.76.10.46Client: 134.76.20.1
Nr. Source Port Destination1.) 134.76.20.1 53 134.76.10.462.) 134.76.10.46 (>1024) 134.76.20.1
Source Port=1030, Dest-Port=53
Source Port=53, Des.Port=1030
Komprommittierung im Netzwerk
ARP Flooding
MAC-Address Port timeout-----------------------------------------------00:F2:EA:67:08:23 1 12s00:4F:D7:A3:89:10 2 8s00:47:12:E5:D8:9E 3 22s
Switch forwarding database
MAC:00:F2:EA:67:08:23 MAC:00:4F:D7:A3:89:10
MAC:00:47:12:E5:D8:9E
00:47:12:E5:D8:9E12:43:DF:EA:80:9000:45:DF:F2:34:87… u.v.m.
Fluten der Switch forwarding database mit Einer Vielzahl vom MAC-Adressen
26
Übungen:
27
1.) Wie viele IP-Adressen können im Netz (157.210.100.0) mit der Subnetzmaske (255.255.255.0) vergeben werden ? ______________
2.) Wie lautet die (Bit)Schreibweise einer IP-Adresse aus dem Netzwerk in Übung 1.) (157.210.100.10/bit) ?________________________
3.) Ist die folgende IP Adresse (146.289.120.19) gültig ? [Ja] [nein]
Begründung ? _____________________________________________________________________________
_________________________________________________________________________________________
4.) Wie lautet die Subnetzmaske der IP-Adresse (123.87.10.0/22) ?__________________________________
5.) Zwei Rechner (Rechner A: 177.203.190.1/26, Rechner B: 177.203.190.80/26) sind direkt über einen Ethernet-Switch miteinander verbunden. Können die Rechner direkt über den Switch miteinander über das IP-Protokoll kommunizieren, wenn keine weitere aktive Netzwerkkomponenten wie z.B. ein Router im Netzwerk angeschlossen ist ? [ja] [nein]
Begründung ? _________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
Übungen:
28
6.) Ihnen steht das Netzwerk (155.201.190.128/28) zur Verfügung. Teilen Sie dieses Netz in zwei gleich große Subnetsbereiche auf. Wie lauten die beiden Netzwerke ?
________________________________________________________________________________________
________________________________________________________________________________________
Füllen Sie die fehlenden Daten, basierend aus Aufg.6 aus:
Netz1 (Bit-Schreibweise):155.201.290.____/____
Netz2 (Bit-Schreibweise):155.201.290.____/____
Subnetzmaske Netz1: 255.255.____._____
Subnetzmaske Netz2: 255.255.____._____
Netz 1: Erste IP-Adresse: 155.201.290._____, Letzte IP-Adresse: 155.201.290._______
Netz 2: Erste IP-Adresse: 155.201.290._____, Letzte IP-Adresse: 155.201.290._______
Wieviele IP-Adressen können in jedem der beiden Netze vergeben werden ? __________________________
Lösung Aufg 6)
155.201.190.128/29
Subnet , Valid Hosts , Broadcast 155.201.190.128 , 155.201.190.129 to 155.201.190.142, 155.201.190.143
155.201.190.128 , 155.201.190.129 to 155.201.190.134, 155.201.190.135 155.201.190.136 , 155.201.190.137 to 155.201.190.142, 155.201.190.143
29
30
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL
SchutzmechanismenSchutzmechanismen
31
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
10/2000Andreas Ißleiber
LAN
Einsatz von FirewallsInternet
Firewall
Router134.76.10.254
134.76.10.253
DMZ
Öffentliche ServerWeb,Mail,DNS, etc.
IP: 134.76.10.2GW: 134.76.10.254
IP: 134.76.10.1GW: 134.76.10.254
•Transparente FW:Vorteil: Die bisherige Netzstruktur kann beibehalten bleibenEine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen
•FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-AdresseNachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich
•NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich.
192.168.1.254
IP: 192.168.1.1GW: 192.168.1.254
NAT NAT& IP Umsetung
Lokaler Server: IP: 134.76.10.3GW: 134.76.10.254
Lokaler Server: IP: 192.168.1.2GW: 192.168.1.254
Server ist vom Internet erreichbarIP: 192.168.1.2Externe IP: 134.76.10.3GW: 192.168.1.254
•DMZDie FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung)
Sicherheit in NetzenDPZ 11/2003
32
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
DMZ LAN
internes Netz
Firewall
Aufteilung der internen- und öffentlichen Dienste
Internet
öffentliche ServerWeb,Mail,DNS, etc.
!
Firewall
Grundregeln auf der FW:
Quelle Dienst allow / reject ZielDMZ alle InternetLAN alle InternetLAN alle DMZInternet alle LANInternet alle/einige DMZDMZ alle LAN
Grundregeln auf der FW:
Quelle Dienst allow / reject ZielDMZ alle InternetLAN alle InternetLAN alle DMZInternet alle LANInternet alle/einige DMZDMZ alle LAN
10/2000Andreas Ißleiber
1) Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen
2) File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen
3) Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich-> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden
4) RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz
5) Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt.
6) Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden
7) DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt
Sicherheit in NetzenDPZ 11/2003
33
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Typisches Scenario
DMZ
InternesLAN
Internet
Mailserver und PDC derDomäne A
Firewall
Übergeordneter DNS
1
23
4
Erforderliche Regeln auf der FW:
Quelle Dienst allow / reject Ziel BemerkungInternet SMTP(25) (1) Mailgateway(6) DNS(53) (2) Zonentransfer (TCP & UDP)Internet http(80) (2) WebzugriffLAN alle InternetDMZ alle InternetLAN alle DMZInternet alle LANInternet alle DMZDMZ alle LAN
Erforderliche Regeln auf der FW:
Quelle Dienst allow / reject Ziel BemerkungInternet SMTP(25) (1) Mailgateway(6) DNS(53) (2) Zonentransfer (TCP & UDP)Internet http(80) (2) WebzugriffLAN alle InternetDMZ alle InternetLAN alle DMZInternet alle LANInternet alle DMZDMZ alle LAN
DNS und Webserver
5
RAS-Server alsMitglied der Domäne A
RAS-Server greift auf diePaßwörter des PDC (1) zurück
Zentraler PDC derDomäne B
1
2
3
4
5
Mailserver (PDC) in DMZ
DNS & Webserver in DMZ
PDC im LAN (geschützt)
Clients im LAN (geschützt)
RAS-Server in DMZ
Zentraler Terminalserver
10/2000Andreas Ißleiber
Sicherheit in NetzenDPZ 11/2003
34
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Mehr Sicherheit durch VPN
DMZ LAN
RAS, Einwahl-Server, CHAP Internes Netz
VPN-fähige Firewall
VPN Clients über ein Einwahlserver
VPN Clients aus dem Internet oderFremd-Provider
Internet-router
VPN-Tunnel
VPN-Tunnel
10/2000Andreas Ißleiber
1) VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen
2) IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken
3) Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway)
4) Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden
5) Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung
6) Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server
Sicherheit in NetzenDPZ 11/2003
35
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)
EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)
3/2003, Andreas Ißleiber
- 802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs)
- 802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS)
- Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am „Eingang“ des Netzwerkes)
- Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.)
- EAP-TLS & 802.1x oft als Kombination eingesetzt
- nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen)
- Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben)
10/2003
Andreas Ißleiber
802.1x Standard: http://standards.ieee.org/getieee802/802.1.html
SPAM & Sicherheit in Netzen
36
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)
802.1X Prinzip
3/2003, Andreas Ißleiber
10/2003
Andreas Ißleiber
RADIUS-Server
802.1x fähigerL2 Switch
Supplicant oder Bittsteller
Authenticator
Authentication Server Proxy-Server
Client fragt nicht direkt den RADIUS Server Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“
Netz
SPAM & Sicherheit in Netzen
37
3/2003, Andreas Ißleiber
+ Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr
+ Layer 2 Technik, daher Multiprotokollfähig
+ Auf modernen Switches nahezu überall verfügbar
- Komplexe Struktur
- Aufwendige und arbeitsintensive Integration
- VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich)
10/2003
Andreas Ißleiber
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)
VLAN: (Virtual LAN)
SPAM & Sicherheit in Netzen
38
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMALGefahr im Funk-LANGefahr im Funk-LAN
39
Die Gefahren im Funk-LAN:• Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der
Hardware entwendet)
• Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab
• FunkLAN hinter einer Firewall betrieben, öffnet das Netz
• Funk-Reichweite der Accesspoints wird unterschätzt
• Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in Kombination mit GPS Empfängern spüren WLANs aufWardriving ForumWardriverWardriver (heise)
• Zugriff durch unzureichende Verschlüsselung (WEP,WEP+ und nicht WPA)
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
40
FunkLAN Client sicher machen Absicherung der Funk Clients
• Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner „sicher“ zu machen
Trennen der LAN-Manager Dienste (Bindungen)• Um den Zugriff im internen VLAN (vor der Authentifizierung)
Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll
Personal Firewall auf Client• Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll
(Achtung: für IPSec FW öffnen).
Laufwerksfreigaben im FunkLAN vermeiden• Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder
auf den eigenen Client
10/2003
Andreas Ißleiber
SPAM & Sicherheit in Netzen
41
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL
Schutz im Netzwerk DurchIPS (Intrusion Prevention System)
Schutz im Netzwerk DurchIPS (Intrusion Prevention System)
42
Was ist ein IPS ?
• Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!)
• Aktion: ggf. Senden von TCP-„Reset“ an die Quelle• Transparenter Modus (inline mode),
keine Änderungen der Daten• Erkennung in L2-L7• Erkennung muß genau und
schnell sein, sonst wirdlegaler Traffic blockiert (selbstgebautes DoS)
• Hohe Bandbreite erforderlich (kein Engpass im Netz)
Internet
Loggingund ggf. Auswertung
IPS
L2-Bridge
Firewall
LAN
„block“ beiAttacken
43
IPS System von Tippingpoint
• Gerät: TippingPoint 2400• Kombination Hard- & Softwarelösung• Signatur, Ereignis, verhaltensbasierte Erkennung• Kurzfristige automatische Signaturupdates• Verschiedene Eventkategorien (Critical ... Minor)• Feintuning der Events möglich
Aktionen: Block, Inform, Reduce …• Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF,
HTML, Grafik)• Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports
(GBit/s)
IPS System von Tippingpoint (3COM)• TippingPoint 2400, 2 Wochen im Test bei der GWDG am
- WIN Zugang (1GBit/s)- WLAN Übergang (100MBit/s)
Internet
GÖNET
1GBit/s
Netzwerkanbindung des IPS
45
IPS in der GWDG
Penetrationstest
Opfer: PC mit debian (Knoppix) honeydAngreifer: Laptop mit Windows XP und whoppix(whax) unter
VMWARE, sowie Nessus
PC (Debian: Knoppix „iWhax“,Nessus, nmap)
Honeypot, Knoppix (mit Honeyd)Bzw. Windows 98 in VMWARE
100MBit/s
100MBit/s
192.168.1.1 … 192.168.1.30
192.168.10.100
46
IPS in der GWDG
Name Category Src. PortDst. Addr. Dst. PortSeverity7001: UDP: Port Scan Reconnaissance 0 192.168.1.4 0 Low2350: MS-RPC: DCOM IRemoteActivation RequestSecurity Policy 60965 192.168.1.2 135 Critical3643: HTTP: Nikto HTTP Request Attacks - Exploits57509 192.168.1.3 80 Major7000: TCP: Port Scan Reconnaissance 0 192.168.1.1 0 Low0292: Invalid TCP Traffic: Possible nmap Scan (No Flags)Reconnaissance64043 192.168.1.1 22 Minor2350: MS-RPC: DCOM IRemoteActivation RequestSecurity Policy 54310 192.168.1.3 135 Critical1576: Backdoor: Back Orifice Communications Attacks - Exploits32866 192.168.1.3 31337 Critical0292: Invalid TCP Traffic: Possible nmap Scan (No Flags)Reconnaissance 22 192.168.1.1 22 Minor0087: ICMP: Modem Hangup (+++ATH) Echo RequestAttacks - Vulnerabilities0 192.168.1.3 0 Minor7000: TCP: Port Scan Reconnaissance 0 192.168.1.1 0 Low0290: Invalid TCP Traffic: Possible Recon Scan (SYN FIN)Reconnaissance10004 192.168.1.1 22 Minor1576: Backdoor: Back Orifice Communications Attacks - Exploits33271 192.168.1.1 31337 Critical0560: DNS: Version Request (udp) Reconnaissance32861 192.168.1.3 53 Minor3642: HTTP: Nessus HTTP Request Attacks - Exploits53075 192.168.1.3 80 Major0121: Stacheldraht: Agent Finder Gag Scanner (General)Reconnaissance 0 192.168.1.3 0 Minor0292: Invalid TCP Traffic: Possible nmap Scan (No Flags)Reconnaissance 143 192.168.1.3 143 Minor2350: MS-RPC: DCOM IRemoteActivation RequestSecurity Policy 54319 192.168.1.3 135 Critical
Nikto web scan
nmap
nmapnmapnessusnessus
Ping mit „Inhalt“
Stacheldraht
Attacke:IPS Logfile
Event ID
Penetration: kleiner Ausschnitt der Ergebnisse
47
IPS in der GWDG
Penetrationstest Fazit:
• Die meisten provozierten Attacken wurden erkannt
• Nicht erkannt wurden:
- SQL Injection- SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)
48
IPS in der GWDG
Ergebnisse der Testphase: Erkennung & Reports
• No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet)
• Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt)
• Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)
49
IPS in der GWDG
Ergebnisse der Testphase: Erkennung & Reports
• Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert
• Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer)Event ID # HitsOhne SQL Slammer
50
Falscher Alarm (False Positive)
• „Schwer zu beurteilen“, während derTestphase gab es keinerlei Beschwerden bzgl. Störungen
• Tests innerhalb der GWDG bestätigten keine „falsch positiv“ Erkennungen (Dennoch werden diese vermutlich existieren)
51
IPS in der GWDG
Ergebnisse der Testphase: TrafficShaping
• Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen)
• In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s)
• Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren)
MBits/s
Σ alle Tauschbörsen
Events bei Überschreitung d.Limits
52
IPS in der GWDG Tippingpoint Screenshots Dashboard
53
IPS in der GWDG Tippingpoint Screenshots
54
IPS in der GWDG Tippingpoint Screenshots
55
IPS in der GWDG Tippingpoint Screenshots
56
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL… Fragen… Fragenund Diskussionen …und Diskussionen …
??Diese und andere Folien finden Sie auch unter:
http://www.gwdg.de/~aisslei