Security-Planet.de » IPS

Cisco IPS 6.1

Karsten — Thu, 01 May 2008 08:51:43 +0000

Gerade hat Cisco die neue Version 6.1 der IPS-Software veröffentlicht (zusätzlich zur neuen Management-Software Cisco IPS Manager Express). Das Readme bestätigt leider, was früher schon angekündigt wurde. Der “kleine” IPS-Sensor 4215 (dessen EOS auch kürzlich angekündigt wurde) und die alten Dell-basierten Systeme sind nicht mehr unterstützt:

The following platforms are no longer supported:

– IDS 4210 Series Appliance Sensor
– IDS 4215 Series Appliance Sensor
– IDS-4235 Series Appliance Sensor
– IDS-4250 Series Appliance Sensor
– NM-CIDS for Cisco 26xx, 3660, and 37xx Router Families

Cisco IPS 4215 EOL/EOS angekündigt

Karsten — Wed, 30 Jan 2008 12:02:08 +0000

Das Arbeiten mit dem IPS-Sensor 4215 hat mit der aktuellen Software 6.0 wirklich schon keinen Spaß mehr gemacht. Die Büchse ist einfach zu lahm. Jetzt hat Cisco das EOL/EOS dieses Sensors angekündigt. Interessant ist der angegebene Migrationspfad:

Product Migration Options
Customers are encouraged to migrate to the Cisco ASA 5510 Adaptive Security Appliance Intrusion Prevention Services (IPS) solution with Advanced Inspection and Prevention Security Services Module AIP-SSM-10.

Nachtrag: Warum ich das interessant finde? Die ASA ist eine Firewall. Und wenn man z.B. “nur” IDS will, um z.B. ein paar Netze zu monitoren bringt einem diese Migration genau nichts. Das IPS-Modul kann zwar promiscous benutzt werden, aber die ASA sitzt immer inline.

IntruPro IPS – ein neues Intrusion Prevention System

Karsten — Tue, 29 May 2007 21:58:41 +0000

Die Firma Intoto war bisher für UTM-Software bekannt, die an Hersteller von Router oder Firewalls lizenziert wurde. Jetzt hat Intoto angekündigt, innerhalb von 30 Tagen unter www.openintoto.com eine freie IPS-Lösung herauszubringen. Diese Software – die unter Linux laufen wird – ist zwar kostenlos, die Signaurupdates werden mit $1000 pro Jahr bezahlt werden müssen.

Verwundbarkeiten im IOS-IPS

Karsten — Wed, 14 Feb 2007 08:21:33 +0000

Da habe ich erstmal einen guten Schreck bekommen: “Cisco Security Advisory: Multiple IOS IPS Vulnerabilities“.
Zwei heftige Bugs befinden sich im IOS-IPS (welches bei mir auch in Betrieb ist). Eine Lücke, die IDS-Evasion ermöglicht und eine DOS-Lücke in der Verarbeitung von Regular Expressions in der Atomic.TCP-Engine.
Erstaunlicherweise ist diese Lücke schon in IOS-Versionen geschlossen, die seit ca. einem Jahr herausgegeben werden. Da wurde wohl in einer der vielen internen Überarbeitungen des IOS-IPS automatisch der Fehler behoben, ohne dass es Cisco gemerkt hat.

Cisco IPS4210-Sensor inline betreiben

Karsten — Sun, 25 Jun 2006 02:03:09 +0000

Da der IPS4210-Sensor nur zwei Interfaces (einmal Command und Control, einmal Monitoring) hat, habe ich diesen Sensor nach dem Update auf die IPS-Software 5.0 schon abgeschrieben, da er mit nur einem Monitoring-Interface nicht den doch recht interessanten Inline-Mode beherrschte.In der Software-Version 5.1 ist jetzt aber die Möglichkeit dazu gekommen, auch mit einem Interface mit Hilfe von VLAN-Pairs den Inline-Mode zu konfigurieren. Für dieses Beispiel wird folgender physikalischer Aufbau verwendet:

In den älteren Software-Versionen war hier der 4210 nur im Promiscuous-Mode zu verwenden, indem mit Hilfe eines SPAN-Ports der Server-Traffic zum Sensor gespiegelt wird.

Life of an ICMP-Packet – Wie funktioniert der Inline-VLAN-Pair-Betrieb

Obwohl sich die zwei kommunizierenden PCs in einem gemeinsamen IP-Subnetz befinden, müssen sie denoch in zwei unterschiedliche VLANs konfiguriert werden. Der Sensor wird mit einem Trunk angeschlossen.

1) Der ICMP Echo-Request kommt im VLAN101 am Switch an und wird über den Trunk mit einer VLAN-ID von 101 zum Sensor gesendet.

2) Der Sensor empfängt das Paket, untersucht es, und schickt es über den Trunk zurück sofern es nicht aufgrund einer Inline-Deny-Aktion verworfen wird. Dabei schreibt der Sensor den 802.1q-Header um und ersetzt die VLAN-ID 101 mit der 102 (die VLANs sind natürlich konfiguriert). Damit verlässt der Echo-Request den Sensor über den selben Trunk und wird dem Ziel-PC zugesendet.

3) Der Ziel-PC antwortet mit einem Echo-Reply der auf dem Trunk zum Sensor mit einer VLAN-ID von 102 zu sehen ist.

4) Der Sensor schreibt den Header wieder um und sendet das Paket mit einer VLAN-ID von 101 über den Trunk zurück.

Vorgehensweise und Konfiguration

1) Sensor auf Version 5.1 updaten

Der Sensor muß natürlich die Version 5.1 ausführen, weil erst in dieser Version die VLAN-Paare dazugekommen sind.

2) Interfaces auf dem Switch konfigurieren

Im Promiscous-Betrieb war der PC auf dem Interface Fa0/1 und der Server auf Fa0/2 in einem VLAN da sie sich direkt erreichen müssen. Der Port Fa0/3 war der Zielport einer SPAN-Sitzung.

Die Switch-Konfiguration für den Inline-Betrieb ist recht übersichtlich. Der PC und der Server müssen in unterschiedliche VLANs konfiguriert werden, da der Traffic jetzt nicht mehr direkt fließen darf, sondern immer den Umweg über den Sensor nehmen muss. Auf dem Trunk ist es nicht absolut nötig die “allowed VLANs” zu konfigurieren, ich halte dies aber für eine “Standard-Konfig” auf einem Trunk.

vlan 101-102
!
interface FastEthernet0/1
 switchport access vlan 101
 switchport mode access
!
interface FastEthernet0/2
 switchport access vlan 102
 switchport mode access
!
interface FastEthernet0/3
 switchport trunk allowed vlan 101,102
 switchport mode trunk

Damit dieser Inline-Mode funktioniert muss der Switch mehrere CAM-Tabellen unterstützt, das macht z.B. der Cisco Catalyst 3750 mit einer neueren IOS-Version.

3) Interfaces und VLANs auf dem Sensor konfigurieren

Die Konfiguration des Sonsors geschieht an zwei Stellen: Zum einen muß unter “Interface Configuration” das Monitoring-Interface für den Inline-Mode konfiguriert werden, zum anderen die “Analysis Engine” angepaßt werden.

3.1) Unter “Interface Configuration -> Summary” ist zu sehen, daß das Monitoring-Interface noch keinem virtuellem Sensor zugeordnet wurde.

3.2) Es ist noch kein VLAN-Pair vorhanden,

3.3) über “Add” wird ein neues angelegt. In diesem Fall werden über das Subinterface 100 die VLANs 101 und 102 im Inline-Mode verbunden.

3.4) Stanardmäßig ist dieses keinem virtuellen Sensor zugeordnet.

3.5) Über “Edit” wird die Zuordnung vorgenommen

3.6) Weiterhin muß das Interface eingeschaltet werden

Zusätzlich wurde für eine FTP-Signatur eine Inline-Deny-Aktion konfiguriert. Aufgrund der doch sehr trägen Oberfläche auf dem 4210 habe ich das auf dem CLI gemacht wobei folgende Konfig rausgekommen ist:


signatures 6250 0
 engine string-tcp
  event-action deny-attacker-inline
  exit

Überprüfung

Ein “Angriff” wird gestartet:

C:Documents and SettingsAdministrator>ftp 172.26.26.50
Connected to 172.26.26.50.
220 ca Microsoft FTP Service (Version 5.0).
User (172.26.26.50:(none)): sdfdsa
331 Password required for sdfdsa.
Password:
530 User sdfdsa cannot log in.
Login failed.
ftp> user dfdsf
331 Password required for dfdsf.
Password:
530 User dfdsf cannot log in.
Login failed.
ftp> user dfdsf
331 Password required for dfdsf.
Password:
530 User dfdsf cannot log in.
Login failed.
ftp>

“show events” zeigt, daß die konfigurierte Inline-Aktion ausgeführt wird:

evStatus: eventId=1150240014237161088 vendor=Cisco
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 328
time: 2006/06/16 15:14:12 2006/06/16 15:14:12 UTC
denyAttackerStarted:
description: denyAttackerStarted for address: 172.26.26.170
address: 172.26.26.170

Der Angreifer ist als “denied” im Sensor eingetragen:

sensor# sh statistics denied-attackers
Denied Attackers and hit count for each.
172.26.26.170 = 18
Statistics for Virtual Sensor vs0
Denied Attackers with percent denied and hit count for each.
Attacker Address   Victim Address   Port   Protocol   Requested Percentage
172.26.26.170                                                   100

Actual Percentage   Hit Count
100                       18

sensor#

Weitere Konfigurationen

Erst nachdem das Monitoring-Interface auf 10MBit/s und Fullduplex konfiguriert wurde hat der Betrieb problemlos funktioniert. Wenn das Interface auf 100MBit/s steht wird der 4210-Sensor anscheinend so schnell überlastet, daß selbst im Testbetrieb etliche Sessions abgebrochen sind, die normal hätten durchlaufen sollen.

Cisco IPS, CSIDS, HIPS

Karsten — Sun, 11 Dec 2005 17:06:25 +0000

weitergehende Informationen zu den obigen Cisco Security-Kursen (updated 06-05-31)

Hier ein paar Links, zu den Cisco-Kursen
CSIDS – Cisco Secure Intrusion Detection System
IPS – Intrusion Prevention System
HIPS – Host Intrusion Prevention System

Cisco Links:

Cisco IPS 4200 Series Sensors White Papers
~~SAFE: IDS Deployment, Tuning, and Logging in Depth~~
Cisco IOS IPS Deployment Guide
Cisco Wireless and Network IDS/IPS Integration
Active Update Notifications (Newsletter)
Search Signature Reports
Cisco IPS 4200 Series Sensors – Technical Support & documentation
Cisco Security Agent White Papers
Cisco Security Agent Design Guides (teils stark veraltet)
Cisco Security Agent Design TechNotes

Securityfocus:

IDS Evasion Techniques and Tactics
IDS Evasion with Unicode

Auf securityfocus.com gibt es auch eine Mailingliste zum Thema IDS.

Kategorie Sonstiges:

Metasploit Project – Informationen und Exploits für IDS und Penetration Testing
Scapy – Packet-Generator (Linux/Unix)
Tcpreplay – pcap-Dateien editieren und wieder abspielen (Linux/Unix)
CORE FORCE – freies Host-IPS für Windows 2000/XP
OSSEC HIDS – Open Source HIDS
Prelude-IDS – Hybrid Intrusion Detection System
IP Tools – Werkzeuge für diverse IP-Dienste
Passives OS Fingerprinting mit P0f

Buchempfehlungen:

The TAO of Network Security Monitoring – Beyond Intrusion Detection
Eines der besten Bücher über Intrusion Detection und alles was es um das Thema herum gibt und darüber hinaus geht. Hier wird auch sehr gut darauf eingegangen wie man bei der Analyse weitermachen kann wenn z.B. der Sensor Unmengen von Daten geliefert hat. Absolut lesenswert!

Cisco Security Agent, Cisco Press
Eine relativ ausführliche Beschreibung zum CSA. Von der Installation, über Anpassungen bis zu den Application Deployment Investigation hat dieses Buch zu jedem Thema Erklärungen parat. Sehr gut geeignet um nach dem Kurs den Stoff nochmal nachzuarbeiten.

Cisco Network Security Troubleshooting Handbook, Cisco Press
Dieses Buch hat auch ein paar Kapitel zum Themenkomplex IDS/IPS, sowohl Hostbasiert, als auch Netzwerkbasiert mit Sensor oder IDSM und NM-CIDS. Es ist zwar teuer, aber auf jeden Fall immer wieder eine gute Hilfe bei Problemen.

Intrusion Prevention Fundamentals, Cisco Press
Dieses Buch gibt eine ganz gute Übersicht über das Thema IPS. Es ist aber eher zum Einstieg geeignet, da es doch sehr an der Oberfläche bleibt.

Wenn ihr im Bereich TCP/IP ein wenig nachlegen wollt gibt es drei Spitzen-Bücher:

Douglas E. Comer: Internetworking with TCP/IP, Vol.1: Principles, Protocols, and Architectures
englisches Original
deutsche Übersetzung

R. Stevens: TCP/IP Illustrated, Vol.1 : The Protocols
englisches Original
deutsche Übersetzung

Die Qualität der deutschen Übersetzungen kenne ich nicht, aber die englischen Versionen sind spitze. Der “Comer” ist insgesamt sehr gut geschrieben, der Stevens glänzt durch sehr gute Protokoll-Analysen. Insgesamt finde ich den Comer aber etwas besser.

Sehr aktuell und gut ist auch “The TCP/IP Guide”.

Von Ralf Spenneberg gibt es zwei seiner Snort/IDS-Bücher zum kostenlosen download. Zum einen das etwas ältere “Intrusion Detection für Linux-Server” und das neuere “Intrusion Detection und Prevention mit Snort & Co.”