Firewalls en IDS door Dieter Handschoewerker
Firewalls en IDS
Pagina 1/80
Inhoudstabel Introductie
4
Deel 1 : Firewalls
5
Definitie van een firewall Kenmerken van een firewall Waartegen een firewall je niet beschermt Het belang van een firewall Taken van een firewall NAT Monitoring en logging Data caching of load balancing Authenticatie en encryptie SSL IPSec VPN Firewall methodiek Stateless Packet filtering Stateful Packet filtering Circuit-level Gateways Application Proxy Hybride firewalls Algemene strategie: Allow-All of Deny-All Firewall architecturen No-Box oplossing: de ISP firewall service Single-Box oplossingen Screening router Dual-Homed firewall Screened Host architectuur Screened Subnet architecturen Architecturen met Meerdere Screened Subnets Split-screened Subnet Independent Screened Subnets Variaties op de algemene firewall architecturen Wat je moet weten over aanvallers Soorten hackers Aanvalstechniek Hun motivatie Soorten aanvallen Firewalls in een Security Policy Aanschaf van een firewall Enkele belangrijke tools en websites Protocol en poortlijsten
Firewalls en IDS
5 5 6 7 8 10 14 15 17 17 18 19 21 21 23 25 25 28 28 30 30 30 30 31 32 33 35 35 37 38 44 44 45 46 46 47 48 49 51
Pagina 2/80
Deel 2 : Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS) IDS Types IDS Network-Based IDS Host-Based IDS Hybrid IDS Het basisproces van een IDS IPS Het basisproces van een IPS IDS vs IPS Waarom is IDS en IPS belangrijk IDS en IPS analyse schema’s De anatomie van intrusion analyses Rule-Based Detection (Misuse Detection) Profile-Based Detection (Anomaly Detection) Target Monitoring Stealth Probes Heuristics Hybrid Approach IDS en IPS architectuur Architectuur types Single-Tiered Architectuur Multi-Tiered Architectuur Peer-to-Peer Architectuur IDS en IPS componenten Sensors Sensor functies Overwegingen bij het plaatsen Veiligheidsoverwegingen Agents Agent functies Overwegingen bij het plaatsen Veiligheidsoverwegingen Manager Component Manager functies Overwegingen bij het plaatsten Veiligheidsoverwegingen Security en IDS Management Data Correlatie Data Correlatie definities Waarom is data correlatie nodig Soorten data correlatie Honeypots Incident Response Response types Automated Responses Manual Responses Hybrid Responses Incident-Response Team Incident-Response Methodology IDS en IPS Response Phases Voorbeelden van IDS en IPS systemen
52 52 53 53 53 53 55 55 56 57 57 58 59 59 59 60 60 60 61 61 61 61 61 63 63 63 63 63 65 66 66 66 67 68 68 69 69 70 70 70 71 71 71 72 73 73 73 73 74 74 76 78
Referenties
79
Firewalls en IDS
Pagina 3/80
Introductie Een IDS is verschillend van een firewall, maar beiden hebben betrekking tot het beveiligen van uw netwerk. Een firewall zoekt naar intrusions opdat ze niet meer zouden gebeuren. Hij controleert op intrusions tussen netwerken en houdt aanvallen tegen. Een IDS kijkt naar aanvallen nadat ze hebben plaatsgevonden en alarmeert als er een aanval ontdekt is. Dit omvat ook aanvallen van binnenuit. Intrusion Detection Systemen of IDS zijn passieve systemen dat enkel problemen detecteren en misschien iemand alarmeren. Zij blokkeren geen netwerkverkeer. Zij ondernemen ook geen actieve maatregelen om de aanval te stoppen. Een goed geconfigureerde firewall laat enkel toegelaten netwerkverkeer door, en beschermt zo ook het netwerk tegen kwaadaardige activiteiten. Intrusion Prevention Systemen of IPS kunnen wel actief reageren op bepaalde aanvallen. Zo kunnen ze een commando sturen naar de firewall om een bepaalde connectie te blokkeren, bij het ontdekken van een aanval. Veel IDS’en kunnen gebeurtenissen correleren over tijd en iemand inlichten over een aanval die bezig is. Firewalls bekijken elk pakket afzonderlijk zonder voorgaande gebeurtenissen te raadplegen. Een firewall kan een aanval stoppen. Een IDS kan enkel een aanval detecteren en iemand inlichten van het gebeurde feit. Een IPS is een geavanceerde IDS die de firewall kan sturen om een bepaalde aanval te stoppen.
Firewalls en IDS
Pagina 4/80
Deel 1 : Firewalls Definitie firewall De term firewall komt uit de bouw. In gebouwen is een firewall een muur bestaande uit een hitte en vuurbestendig materiaal zoals beton, die bedoeld is om de spreiding naar andere delen van het gebouw tegen te gaan. De netwerk firewall probeert op dezelfde wijze ongeoorloofd toegang tussen netwerken tegen te gaan. Het gaat hier niet over één bepaalde dreiging, maar over verschillende soorten vormen dreigingen, zoals virussen, worms, denial-of-service attacks (DoS), hacking, cracking, inbraak, spoofing, enz.. De firewall is een stuk software of hardware dat de communicatie tussen uw computer, thuisnetwerk, bedrijfsnetwerk en het internet filtert en controleert. Meestal wordt een firewall geïmplementeerd tussen betrouwbare en onbetrouwbare netwerken, zoals het Internet. Maar deze kan ook binnen het interne netwerk plaatsvinden, om bepaalde delen van elkaar af te schermen. Iedereen die het Internet gebruikt heeft nood aan een firewall. In het verleden was het gebruikelijk dat bedrijven verbonden met het Internet geen firewall hadden en puur op de veiligheid van hun hosts vertrouwden om hun data te beveiligen. Naarmate netwerken groter werden, werd het onmogelijk om iedere host met voldoende zorg te beveiligen. En naarmate het belang van het Internet toenam, werd de dreiging van hackers groter. Het plaatsen van een firewall werd een normale keuze omdat deze als centrale controle de onderneming veel veiliger maakt en ook veel geld bespaart. Kenmerken van een firewall Firewalls hebben de volgende kenmerken :
Verbinden van verschillende netwerken over één punt. VPN: mogelijkheid om veilig over het internet deel uit te maken van het privénetwerk. Filteren van communicatie: welke data mag tussen verschillende netwerken uitgewisseld worden. Alle binnenkomend en buitengaand wordt gecontroleerd en eventueel geblokkeerd. Rapportage: netwerkverkeer wordt gerapporteerd. Het is belangrijk om te weten wie wat doet. Security Policy of beveiligingsbeleid: de firewall implementatie is gebaseerd op een Security Policy en moet alle pakketten tegenhouden die niet aan deze Security Policy voldoen. De Security Policy wordt later nog aangehaald. De firewall moet zelf immuun zijn tegenover security attacks of beveiligingsaanvallen.
Firewalls en IDS
Pagina 5/80
Fig.1 Situatie zonder firewall
Fig. 2: Situatie met firewall
We bekijken even het risico voor aanvallen tussen een privénetwerk en het Internet met en zonder firewall. Door Fig. 1, de situatie zonder firewall, zien we dat elk toestel dat toegang heeft tot het Internet risico loopt voor aanvallen. Door Fig. 2, de situatie met firewall, zien we dat de risicozone herleid is tot één punt. Er kan maar één toestel aangevallen worden namelijk de firewall zelf. Grote voorwaarden voor het veilig stellen van het interne betrouwbare netwerk tegen het onbetrouwbare Internet is het immuun zijn van de firewall zelf tegen aanvallen én dat er een goede filtering gebeurt van het verkeer tussen beide netwerken. Waartegen een firewall je niet beschermt Er vanuit gaan dat de aanwezigheid van een firewall je privénetwerk volledig veiligstelt, dan heb je een verkeerd standpunt ingenomen. Aanvallen waartegen een firewall je niet kan tegen beschermen: -
Interne aanvallen: Gebruikers die zich reeds in het interne netwerk bevinden, hoeven de firewall niet te meer te passeren. Een firewall kan dus geen interne intrusions en diefstal tegenhouden. Andere beveiligingsmaatregelen kunnen hier wel bij helpen. Zoals het instellen van toegangsrechten op werkstations en servers én auditing van netwerktoegang Je kan ook interne firewalls instellen om verkeer te regelen tussen bepaalde delen van het bedrijf of
Firewalls en IDS
Pagina 6/80
tussen servers en je gebruikers. -
Social engineering: Hackers trachten soms informatie te vergaren via de telefoon. Ze doen zich bijvoorbeeld voor als iemand van de helpdesk die bepaalde routine controles aan het uitvoeren zijn. Hierbij vragen ze naar cruciale informatie, zoals namen van servers, IP adressen en paswoorden. Alle werknemers zouden deze methode moeten kennen en zouden nooit mogen gevoelige informatie vrijgeven.
-
Virussen en Trojan Horses: Firewalls trachten virussen uit het netwerkverkeer te filteren, maar deze programma’s veranderen continu. Bijvoorbeeld e-mailverkeer wordt standaard doorgelaten, deze mails kunnen bijlagen bevatten met bijvoorbeeld een virus. Een firewall kan geen onderscheid maken tussen goede en kwade mail. Trojan Horses zijn misschien nog moeilijker op te merken, deze programma’s proberen zich niet te verspreiden naar andere bestanden of computers zoals virussen. Een geactiveerd Trojan Horse programma kan een back- door, een achterdeur, openen naar een bepaalde computer. Een voorbeeld is het uitzenden van alle verzamelde ingeduwde toetsen bij inlogschermen eenmaal per week.
-
Slecht opgeleide firewall beheerders: De goede configuratie van een firewall hangt af van de instellingen die door de beheerder zijn ingegeven. Het is de beheerder die bepaalt welk verkeer er mag worden doorgelaten en welke er moet worden tegengehouden. Nieuwe netwerk protocollen en services worden geïntroduceerd en software bugs worden regelmatig ontdekt. Het beheren van een firewall is niet een eenmalige taak. De beheerder moet alert blijven en de firewall regels onderhouden. Hij moet de updates en patches installeren die ter beschikking gesteld worden door de firewall verkopers. Ook moet hij regelmatig de firewall logs bekijken.
Behalve de standaard internetverbinding zijn er nog een aantal media waarlangs data het bedrijf kan verlaten, dit zijn zogenaamde back-doors: - diskettes - magnetische tapes (back-ups) - USB sticks - Memory cards - Portable met Wi-Fi - Smart Phone met internet en Bluetooth - Fax - Telefoon: vb. via Social engineering Het belang van een firewall De beste manier om de waarde van een firewall te bepalen is de mogelijke kosten in te schatten die zich zouden kunnen voordoen indien er een aanval gebeurt en er geen firewall is geplaatst. Beschouw het volgende: -
Gegevensverlies: Hoe belangrijk is data voor uw bedrijf. Wat als bepaalde data zou verdwijnen, bijvoorbeeld uw klantenlijst. Hopelijk kan je nog alles terugzetten via uw back-ups. Indien niet, kan het voortbestaan van uw bedrijf in het gevaar komen.
-
Personeelskosten:
Firewalls en IDS
Pagina 7/80
Na een succesvolle aanval, moet het probleem geanalyseerd en een goede oplossing gevonden worden. De kwetsbaarheid moet gedicht worden en de schade moet worden hersteld. Het kan zijn dat ieder getroffen toestel afzonderlijk moet bekeken worden. Het ontdekken van het probleem en een goede oplossing vinden, kan heel wat tijd in beslag nemen. De schade wordt omvangrijker als het om dataverlies gaat. Dan moeten alle resterende gegevens worden gecontroleerd en de ontbrekende terug ingegeven, indien nog mogelijk. -
Tijdsverlies of downtime: Wanneer het netwerk niet meer toegankelijk is kan dit enorme gevolgen hebben. Niet enkel voor de werknemers, omdat ze belemmerd zijn te werken. Maar het kan zijn dat bijvoorbeeld die dag geen enkele bestelling meer kan opgenomen worden. De waarde van de bestellingen van een dag kunnen de kosten van een firewall overtreffen.
-
Vertrouwelijke gegevens: wat als er ingebroken wordt op het netwerk en er bepaalde vertrouwelijke informatie wordt gestolen, bvb klantengegevens met hun betaalgegevens, plannen van een nieuw ontwikkelde machine, enz.. De kans dat die verkocht worden of gebruikt worden door derden is groot, waardoor het bijvoorbeeld mogelijk is dat er geld van klanten hun rekening gaat. Of dat een andere onderneming met uw ideeën wegloopt. Dit kan klantenverlies als gevolg hebben en daling van de waarde van uw aandelen.
-
Gekaapte computers: Een hacker kan de controle nemen over computers van uw netwerk en deze gebruiken voor eigen doeleinden. Bijvoorbeeld voor gestolen software te hosten. Wat als de gerechtelijke instanties dit te weten komen? De eigenaar van het toestel is namelijk verantwoordelijk voor de inhoud.
-
Reputatie: De organisatie kan heel wat potentiële schade oplopen als die vermeld wordt in de media, als slachtoffer van een hacker.
Taken van een firewall Algemeen wordt aangenomen dat een firewall volgende 4 taken uitvoert :
Packet filtering: De firewall inspecteert de headers van alle netwerkpakketten en neemt daarna een beslissing of het pakket doorgelaten of geblokkeerd wordt. Dit wordt ook IP en port filtering genoemd. De firewall kan op basis van een bepaald IP adres of poort een bepaalde connectie toelaten of weigeren. Packet filtering kan redelijk complex worden omdat je rekening moet houden met de bron en bestemming van een pakket, dit op IP adres en poort niveau.
Network Address Translation (NAT): De buitenwereld op het internet ziet in de meeste gevallen maar 1 of enkele publieke IPadressen, namelijk die van de firewall. Het interne netwerk kan elk willekeurig IP-adres gebruiken in een bepaald range van privé adressen. De bron- en bestemmingsadressen van de netwerkpakketten worden door de firewall vertaald. Maar in feite is NAT geen vereiste van een firewall.
Application proxy: De firewall kan meer dan alleen maar de headers van de netwerkpakketten inspecteren. Voor deze voorziening moet de firewall het specifieke applicatie protocol kennen.
Firewalls en IDS
Pagina 8/80
Monitoring en logging: Zelfs al er een degelijke verzameling regels is opgesteld, is het zeer belangrijk dat er logbestanden gemaakt worden van alle activiteiten ter hoogte van de firewall. Hierdoor is het bijvoorbeeld mogelijk om een inbraakpoging te analyseren en informatie in te winnen over de performantie en de huidige filtering van de firewall.
Een firewall is een uitstekende plaats om ook andere beveiligingstaken uit te voeren, omdat ze het punt is waar alle netwerkverkeer passeert. Deze extra mogelijkheden worden niet door alle firewalls ondersteund.
Data caching: Omdat dezelfde data of inhoud van dezelfde website regelmatig opgevraagd wordt door verscheidene gebruikers, kan de firewall die data in een cache geheugen steken. Hierdoor kan de data veel vlugger terug opgevraagd worden, dan telkens opnieuw die data van het Internet te moeten halen.
Content filtering: Met firewall regels kan je de toegang beperken tot bepaalde websites aan de hand van hun URL, of met bepaalde trefwoorden of inhoudstypes; bijvoorbeeld websites met video, of e-mail met uitvoerbare bijlagen. Deze worden ook proxy georiënteerde firewalls genoemd.
Intrusion Detection en Intrusion Prevention: Bepaalde patronen in het netwerkverkeer kunnen een poging tot inbraak, intrusion, aantonen. In plaats van enkel de verdachte pakketten te weigeren en te blokkeren, kan de firewall alle toegang van een bepaalde bron, het verdachte IP adres, blokkeren om de intrusion te stoppen en eventueel de systeembeheerder op de hoogte brengen via email of sms.
Load balancing: Vanuit beveiligingsoogpunt is deze enige doorgang van netwerkverkeer een goed idee. Voor de beschikbaarheid is dit een minder goed idee. Best wordt het inkomende en uitgaande netwerkverkeer over verscheidene samenwerkende firewalls verspreid. De meeste firewalls ondersteunen deze load balancing.
Netwerk differentiatie : Een firewall wordt veelal aanzien als een grens tussen uw betrouwbare netwerk en de andere betrouwbare netwerken, zoals het Internet. Een firewall maakt een ideaal onderscheid tussen netwerken en helpt bij het controleren van de communicatie tussen deze netwerken. Dankzij deze voordelen worden firewalls ook intern geplaatst om zo bepaalde onderdelen van het bedrijf te scheiden, bijvoorbeeld het scheiden van de boekhouding van de rest van het interne netwerk.
Packet redirection: Soms is het nodig om bepaalde trafiek naar een andere poort of host door te sturen. Een goed voorbeeld is de aanwezigheid van een Proxy Server op een andere host dan die van de firewall. Het is dan vanzelfsprekend dat alle verkeer automatisch met bestemming poort 80 of 443, de standaardpoorten voor http en HTTPS, doorgezonden worden naar de Proxy Server voor verdere verwerking.
Versterkte authenticatie en encryptie: Een firewall kan gebruikers authenticeren en kan verbindingen met een andere firewall of netwerk encrypteren.
Firewalls en IDS
Pagina 9/80
Network Address Translation (NAT) NAT is één van de korte termijn oplossingen voor het schaars worden van het aantal publieke IPadressen door de groei van het Internet. Andere oplossingen die zijn ontworpen zijn het gebruik van subnet en klasseloze adressering. Deze techniek maakt het mogelijk dat meerdere computers in een site eenzelfde geldig publiek IP adres kunnen gebruiken. De uiteindelijke oplossing van de beschikbaarheid is IPv6. Meestal wordt NAT in devices, zoals routers en firewalls, geïmplementeerd. Natuurlijk moet elke computer in een netwerk een uniek IP adres bezitten. Als twee computers eenzelfde IP adres bezitten, zullen er conflicten ontstaan, omdat er bij een ARP request meerdere computers zullen antwoorden. NAT lost dit op door het gebruik van twee types adressen. De NAT device bezit een publiek IP adres en iedere computer in het netwerk bezit een uniek privé adres, ook niet routeerbaar adres genoemd. Er zijn 3 IP-ranges die voor privé-netwerken gebruikt kunnen worden.
10.0.0.0 - 10.255.255.255 of 10.0.0.0/8 172.2.16.0.0 - 172.31.255.255 of 172.16.0.0/12 192.168.0.0 - 192.168.255.255 of 192.168.0.0/16
Fig.: Architectuur met NAT Als een host op het interne netwerk naar het Internet wenst te gaan, dan is zijn privé adres niet geldig op het Internet, waardoor ook de benaming niet routeerbaar. Een NAT device zorgt voor de vertaling van een privé adres naar een publiek IP adres. Ook voor inkomend verkeer moet deze vertaling gebeuren. De meest eenvoudigste vorm van NAT vertaalt het bron IP adres van een datagram wanneer het gaat van het interne netwerk naar het Internet en het doel IP adres als een datagram gaat van het Internet naar het interne netwerk.
Firewalls en IDS
Pagina 10/80
Beschouw het volgende voorbeeld waarbij een firewall een publiek IP adres bezit 23.1.8.3, en aanschouw de vertaling die er gebeurt van een host met privé adres 10.65.1.7 die een datagram verzendt naar het Internet en een antwoord ontvangt.
Fig.: Voorbeeld van een basic NAT of Network Address Translation Richting UIT IN
Veld IP bron IP bestemming IP bron IP bestemming
Oude waarde 10.65.1.7 39.5.1.40 39.5.1.40 23.1.8.3
Nieuwe waarde 23.1.8.3 -- geen verandering --- geen verandering -10.65.1.7
Fig.: Voorbeeld van een NAT translation table of NAT vertalingstabel Meestal wordt er neen NAT vertalingstabel gebruikt om de informatie bij te houden, die nodig is voor het herschrijven van de IP adressen, dit wordt ook address mapping genoemd. Meestal gebeurt het plaatsen van deze informatie dynamisch. In ons voorbeeld gebeurt het volgende: NAT plaatst de informatie van de uitgaande connectie in de tabel. Als de computer op het Internet antwoord, weet NAT, dankzij de tabel dat het antwoord bestemd is voor het IP adres 10.65.1.7, terwijl de computer op het Internet geen weet heeft van dit privé adres. Deze basic NAT voldoet niet in volgende situaties: - Wat als 2 hosts willen praten met de server op het Internet? - Wat als 2 of meer toepassingen willen communiceren met het Internet? De meest gebruikte variatie op NAT, Network Address and Port Translation, NAPT, biedt een oplossing voor beide problemen. Dit mechanisme is zo populair dat de meeste IT professionals aannemen dat NAT, NAPT betekent. Er bestaan nog andere variaties van NAT, zoals Twice NAT en bi-directional NAT, maar ik laat deze buiten beschouwing. De basis van NAPT is het gebruik van TCP/UDP protocol poortnummers om verschillende services van elkaar te onderscheiden. NAPT gebruikt deze om datagrammen te kunnen associëren met een bepaalde TCP of UDP flow. Waar de basis NAT stopt op de IP-laag, gebruikt NAPT de transport laag headers. Als gevolg hiervan ziet een NAPT translation table er iets anders uit. Richting UIT
Firewalls en IDS
Veld IP bron : TCP bron IP doel : TCP doel
Oude waarde 10.65.1.7:3000 10.65.1.8:3000
Nieuwe waarde 23.1.8.3:4001 23.1.8.3:4002 Pagina 11/80
IP bron : TCP bron IP doel : TCP doel
IN
23.1.8.3:4001 23.1.8.3:4002
10.65.1.7:3000 10.65.1.8:3000
Fig.: Voorbeeld van een NAPT translation table Beschouw het volgende voorbeeld waarbij 2 computers, met adressen 10.65.1.7 en 10.65.1.8, elk met een lokale poort 3000, met hun browser een TCP connectie vormen naar dezelfde webserver die op poort 80 luistert, en een NAPT device met het publieke IP adres 23.1.8.3. Om een confict te vermijden zorgt de NAPT device voor twee verschillende bron poorten voor beide TCP connecties, namelijk 4001 en 4002. Voordelen -
-
-
Verzegelt de interne netwerkconfiguratie door IP masquerading : afschermen van het internet netwerk door het gerbuik van NAT. NAT vertaalt privé adressen naar publiek adressen en omgekeerd. Hierdoor heeft een computer op het Internet, een mogelijke hacker geen weet van de IP adressen van het interne netwerk, welke machines het zijn enz.. Wel beschermt NAT niet echt tegen aanvallen vanuit het Internet. Packet filtering blijft zeker nodig. Dit is ook de reden waarom dat een firewall veelal samengaat met de NAT-functie. Vergroot beschikbaarheid van het aantal publieke IP adressen NAT dwingt firewall controle af voor uitgaande connecties: dit omdat privé adressen niet routeerbaar zijn op het Internet en NAT nodig hebben. NAT helpt de inkomende connecties te beperken: dit kan vergeleken worden met de dynamische packet filtering, maar werkt nog strikter door de vertaling van de IP adressen. Als de hacker te lang wacht, kan een de adres vertaling reeds vervallen zijn. Dit is niet altijd het geval, een voorbeeld hiervan is statische NAT.
Nadelen: -
-
-
-
Belemmert de logging van netwerkverkeer door IP masquerading NAT doet aan legale IP spoofing, waardoor er in de logs het IP adres van de firewall verschijnt. Er moet een correlatie gebeuren tussen de logs van de firewall en het NAT systeem, om mogelijke echte aanvallen te ontdekken. NAT vertaalt niet alle adresgegevens van alle protocollen: Bij sommige protocollen bevatten pakketten ook echte adresgegevens buiten de headers. Voor bepaalde protocollen gebeurt vertaling in het datagedeelte toch, zoals bij FTP en ICMP. En voor andere protocollen kunnen IP routines geïnstalleerd worden door middel van NAT editors. Maar als er geen IP routines bestaan, gebeurt er geen vertaling van de adresgegevens, en kunnen hackers adresgegevens terugvinden in het datagedeelte. Belemmert sommige encryptie en authenticatie systemen: Encryptie wordt gebruikt om de integriteit van een pakket te garanderen, zodat men weet dat het pakket niet veranderd is gedurende de communicatie. Als de headers niet geëncrypteerd worden, zal NAT zijn functie kunnen doen, maar als een bepaald protocol zoals IPsec, gans het pakket beveiligd, dan zal NAT niet mogelijk zijn. Dynamische NAT benodigd status informatie die niet altijd aanwezig is: Bij een TCP connectie is het eenvoudig na te gaan wanneer die beëindigd is. Bij een UDP pakket is dit niet mogelijk. Dit betekent dat bij UDP-pakketten de vertaling onthouden wordt voor een bepaalde tijd. Na deze gegokte tijd zal de vertaling verdwijnen, waardoor er antwoorden verloren kunnen gaan of geleverd worden aan verkeerde computers.
Firewalls en IDS
Pagina 12/80
Tot nu toe hebben we vooral connecties besproken die starten vanaf het interne netwerk, waarbij vooral dynamische NAT gebruikt wordt. Er zijn twee situaties waarin NAT address mappings statisch zouden moeten zijn: - Static IP address assignment: Als je meerdere publieke IP adressen hebt voor je firewall, kan je bepaalde publieke adressen mappen met bepaalde privé adressen. Deze statische vertaling kan zowel voor inkomend als voor uitgaand netwerkverkeer gebruikt worden. - Static inbound translation of port forwarding of server publishing: wanneer je een bepaalde server met een privé adres toegankelijk wil maken voor het Internet, moet je in de firewall instellen dat inkomend verkeer op bepaalde poorten van het publiek IP adres van de firewall doorgestuurd moet worden naar de server in het interne netwerk. a)
Static IP address assignment
Beschouw dit voorbeeld waarbij je van je ISP de publieke IP adressen 23.1.4.8 tot 23.1.4.15 verkrijgt. Met dynamische NAT zou enkel het publieke IP adres 23.1.4.8 gebruikt worden. Dit omdat één publiek IP adres 65535 poorten heeft, en zo ook duizende connecties kan opzetten. Voor sommige programma’s wens je toch een apart publiek IP adres te gebruiken, zoals Internet games of voor het loggen van bepaalde interne delen van het netwerk. Om bepaalde privé adressen te mappen met bepaalde publieke adressen, moet je een static address mapping instellen op je firewall. In dit voorbeeld hebben we ingesteld dat alle netwerkverkeer van het privé adres 10.1.65.7 gemapped moet worden met het publieke adres 23.1.4.12
Fig.: Voorbeeld van static address mapping Statische IP address mapping kan gebruikt worden voor uitgaand netwerk verkeer opgezet door de interne computer 10.1.65.7, of het kan ingesteld worden om het verkeer toe te laten komende van het Internet In dat geval zal al het netwerkverkeer, die toekomt op 23.1.4.12 op eender welke poort, doorgestuurd worden naar 10.1.65.7 Hou er wel rekening mee dat wel de packet filters bepalen of de pakketten effectief doorgestuurd worden.
b)
Static inbound translation
In plaats van het statische mappen van alle poorten van een publiek IP adres aan een bepaald intern privé adres, laten de meeste firewalls je toe bepaalde poorten van het publieke IP adres te mappen met een bepaald privé adres. Dit wordt veelal port forwarding of server publishing genoemd. Omdat je een bepaalde poort kan mappen met bepaald interne IP adressen, kan hetzelfde publieke IP adres gebruikt worden om verschillende interne services aan te bieden door het gebruik van verschillende port-forwarding regels.
Firewalls en IDS
Pagina 13/80
Beschouw het voorbeeld waarbij inkomend verkeerd op poort 80 (HTTP protocol), poort 25 (SMTP mail protocol), en poort 119 (NNTP protocol) doorgestuurd worden naar verschillende interne servers In de onderstaande tabel worden enkel de inkomende connecties besproken. Het corresponderende uitgaande verkeer wordt dynamisch geregeld door NAT. Sommige firewalls laten het mappen van verschillende poorten toe. Bijvoorbeeld poort 8030 met poort 80 van de webserver, dit wordt ook “secret ports” genoemd.
Fig. Static Inbound Translation
Fig. Voorbeeld van Static Inbound Port Translation Monitoring en logging Tot nu toe hebben we gezien hoe je met packet filters en NAT je interne netwerk kan beveiligen. Hier zijn 4 goede redenen waarom ook monitoring en logging belangrijk zijn : -
rapportage:
Firewalls en IDS
Pagina 14/80
op basis van de logs kan je de performantie en het gebruik opvolgen van je firewall en statistieken genereren - intrusion detection: op basis van logs kan je bepaalde patronen ontdekken, die aanduiden dat er ingebroken is op je netwerk. - aanvalsmethodes ontdekken; nadat je ontdekt hebt dat er ingebroken is op je netwerk, kan je via het onderzoeken van je logs, nagaan hoe deze inbraak mogelijk is geweest. Om zo te maken dat de huidige en toekomstige aanvallen wordt gestopt. - wettelijk bewijs: goede log files kunnen dienen als bewijs. Ze tonen namelijk aan, wanneer de dief voor het eerst heeft ingebroken, en welke acties hij heeft ondernomen. Je kan ook de audit functies gebruiken van je OS. Er bestaat software die helpt bij het analyseren van de log files. Vermijd het verwijderen van software en maak steeds goede back-ups, anders kan je niks meer achterhalen van wat er, wanneer is gebeurd op je netwerk. Veelal is dit het eerste wat een hacker tracht te doen, het verwijderen of het veranderen van de log files om zo zijn sporen te wissen.
Data caching of load balancing a) Web caching Een web proxy service die intern de webaanvragen behandeld, kan de resultaten lokaal op zijn schijf bewaren. Bij veelvuldige webaanvragen naar dezelfde inhoud, kan de lokaal opgeslagen kopie naar de aanvragers gestuurd worden, in plaats van de inhoud telkens van het Internet te halen. Dit heeft een performantievoordeel en een lagere connectiekost als gevolg. Een HTTP-pagina kan een bepaalde vervaldatum bevatten alsook meta tags die bepalen of een pagina kan gecached worden of niet. Geëncrypteerde pagina’s, bvb HTTPS, en pagina’s met authenticatie worden niet gecached. Veel firewalls gebruiken geavanceerde technieken voor het cachen van webaanvragen. Sommige van deze technieken zijn de volgende: - Actieve caching: Bij weinig activiteit zal de caching service zelf zijn cache verversen voor data die binnenkort komt te vervallen. De data die automatisch ververst wordt, kan afhankelijk zijn van het aantal keren dat bepaalde objecten zijn opgevraagd. - Prefetch cache contents: In plaats van af te wachten dat gebruikers bepaalde webpagina’s opvragen van het Internet, zal de caching services bepaalde veel opgevraagde websites reeds cachen. De beheerder bepaalt welke websites er worden opgeslagen in het cache geheugen. - Hiërarchische caching: Verscheidene caching servers kunnen een bepaalde hiërarchie vormen met een bepaalde centrale firewall met een supercache. Een veel voorkomend geval is die van dochterondernemingen met elk een caching server. Als een lokale cache van een dochteronderneming niet kan voldoen aan een webaanvraag, wordt die aanvraag doorgespeeld naar de centrale firewall, die toegang heeft tot het Internet. Firewalls en IDS
Pagina 15/80
De resultaten worden opgeslaan op de centrale firewall, alsook in de lokale cache van de caching server van de dochteronderneming. - Gedistribueerde caching: Hier spelen alle deelnemende firewalls eenzelfde rol, maar hebben niet hetzelfde cachevermogen. Twee bekende methodes zijn: Internet Cache Protocol (ICP) Bij het ICP mechanisme werkt elke cache server onafhankelijk. Wanneer een webaanvraag bij een bepaald cache server aankomt, probeert hij eerst aan de aanvraag te voldoen met zijn eigen cache. Indien dit niet lukt, gaat hij de aanvraag doorspelen aan al de andere cache servers in de groep. Als zij kunnen voldoen met hun cache, zenden ze het resultaat naar de oorspronkelijke cache server, die het resultaat teruggeeft naar de aanvrager, en het resultaat ook zelf cached. Indien de andere cache servers in de groep de aanvraag niet kunnen voldoen, wordt de aanvraag door de oorspronkelijke caching server doorgespeeld naar een hoger gelegen centrale caching server of wordt het resultaat rechtstreeks opgevraagd van het Internet. In beide situaties wordt het resultaat terug gecached bij de oorspronkelijke cache server. Het verschil tussen de cache servers in de groep en de centrale caching server, ligt in het feit dat de centrale caching server de enige is die resultaten van het Internet kan halen. Cache Array Routing Protocol (CARP) De oorspronkelijke cache server bepaald op basis van een wiskundige berekening op de aangevraagde URL welke cache server er zal gecontacteerd worden om de aanvraag te behandelen. Het resultaat wordt door de behandelende cache server teruggestuurd naar de oorspronkelijke cache server, die het resultaat doorstuurt naar de aanvrager. Het cachen van het resultaat gebeurt door de behandelende cache server. Elk object kan maar éénmaal voorkomen in de totale cache. Het caching principe kan ook uitgevoerd worden voor webaanvragen vanuit het Internet naar een webserver, die zich achter de firewall bevindt, dit noemt men reverse caching. b) Load balancing
Een andere methode die de performantie verhoogt van een firewall is het gebruik van meerdere firewalls in een groep, die samenwerken om het aantal van webaanvragen onder mekaar te verdelen. Door het groeperen van firewalls wordt ook redundantie mogelijk. ICP en CARP zijn methodes om de caching web aanvragen te verdelen onder een groep caching servers. Andere methoden om het aantal aanvragen te verdelen zijn de volgende: - DNS round robin Een DNS server kan voor eenzelfde DNS naam verschillende IP adressen registreren. Telkens als een computer vraagt aan de DNS server om een DNS naam te resolven naar een IP adres, zal de DNS server cyclisch door de lijst van IP adressen gaan, en zal telkens met een ander IP adres antwoorden. Ieder IP adres moet behoren tot de firewall. Het totaal aantal connecties naar de DNS naam wordt evenredig verspreid over het aantal IP adressen. Er wordt wel rekening gehouden met het feit of een firewall beschikbaar is of niet.
Firewalls en IDS
Pagina 16/80
- Software load balancing Hierbij wordt er software geïnstalleerd op de firewalls zelf of op de router juist voor de groep firewalls. De software weet hoe druk een bepaalde firewall het heeft op een bepaald moment, en op basis van deze informatie, verdeelt de software de aanvragen over de verschillende firewalls. Als twee of meer firewalls gegroepeerd worden, moeten deze automatisch de connecties onder elkaar verdelen en ze moeten op dezelfde manier geconfigureerd worden. Dit kan manueel gebeuren, maar beter is dat de configuraties gesynchroniseerd worden.
Authenticatie en encryptie Encryptie technieken zorgen voor de beveiliging van de netwerkpakketten tijdens de communicatie over het netwerk. Encryptie technieken kunnen volgende functies hebben: -
data confidentiality / vertrouwelijkheid van gegevens: dit komt overeen met het klassieke gebruik van encryptie. De data wordt versleuteld. Enkel de mensen die een welbepaalde sleutel bezitten, kunnen de data terug leesbaar maken.
-
authenticiteit van de zender: bij deze techniek wordt de oorsprong gegarandeerd
-
data integrity / integriteit van de gegevens: deze techniek verzekert dat de data die je ontvangt, niet veranderd is door een derde partij. Een goed voorbeeld is digitale handtekeningen op software, die je downloadt van het Internet.
De verschillende encryptie protocollen die gebruikt worden om deze functies uit te voeren, kunnen volgende invloed hebben op je firewall: - je kan de data niet meer controleren - NAT kan niet meer uitgevoerd worden - je firewall kan een begin –of eindpunt bieden voor een VPN Authenticatie protocollen worden gebruikt om gebruikers te identificeren aan de firewall. Als er geen authenticatie wordt gedaan, connecteert de gebruiker anoniem. Authenticatie is nodig als je firewall regels wil instellen die op bepaalde gebruikers of groepen moeten van toepassing zijn. Encryptie technieken worden hier terug gebruikt om deze authenticatiegegevens te beveiligen. Er bestaan verschillende authenticatie protocollen, zoals Basic authenticatie, die gebruik maakt van het HTTP protocol en Kerberos. Bij Secure Socket Layer (SSL), IPSec en VPN’s wordt ook het data gedeelte versleuteld van de pakketten. A) Secure Socket Layer (SSL) Beveiligde connecties met het Internet kunnen gebruik maken van Secute Socket Layer (SSL) of het gelijkaardige Transport Layer Security (TLS). Dit is een encryptie applicatie level netwerk protocol die kan gecombineerd worden met veel gebruikelijke netwerk protocollen. Een goed voorbeeld hiervan is SSL voor HTTP, wat resulteert in https in de web browser. Enkel de data van de pakketten worden versleuteld, waardoor NAT geen probleem is, maar inspectie op de inhoud en het cachen van de data zijn onmogelijk. Firewalls en IDS
Pagina 17/80
B) IP Security (IPSec) IPSec of Internet Protocol Security is een standaard voor het beveiligen van IP-communicatie door middel van encryptie en authenticatie van het netwerkverkeer. IPSec ondersteunt beveiliging vanaf de netwerklaag. Met IPSec kunnen alle toepassingen beveiligd worden. Deze protocollen kunnen werken in netwerkapparaten of rechtstreeks op werkstations en servers. IPSec kan transparant werken voor gebruikers als die toegepast wordt op netwerkapparaten. IPSec is een verzameling van cryptografische protocollen die zorgt voor de beveiliging van de pakketstroom en uitwisseling van sleutels. IPSec bestaat uit volgende protocollen: - Authentication Header (AH) voegt een checksum toe aan het IP pakket om zo te zorgen voor authenticiteit en data integriteit. Beveiligt de payload én alle header velden, behalve deze die kunnen veranderd worden bij routering, zoals TTL. Een authenticatie functue. IP protocol 50. -
Encapsulating Security Payload (ESP) zorgt voor authenticiteit, data integriteit alsook confidentialiteit. Een encryptieauthenticatie functie. IP protocol 51.
-
Internet Key Exchange (IKE) IKE levert een standaard methode om dynamisch IPSec peers te authenticeren, de security diensten te onderhandelen en het genereren van gedeelde sleutels. ISAKMP biedt een framework voor het beheren van sleutels. Oakley biedt een framework voor de uitwisseling van de sleutels.
Een SA of Security Association is de verzameling van algoritmes en parameters, zoals sleutels, dat een communicatie versleuteld en authenticeert tussen zender en ontvanger in één bepaalde richting. IPSec kan gebruikt worden in volgende twee modes: - Transport mode: versleutelt de inhoud of payload van het IP pakket, maar niet de header Wordt vooral gebruikt bij communicatie tussen twee hosts. -
Tunnel mode: versleutelt de inhoud en de headers Het volledige IP pakket wordt ingekapseld in een IP pakket om ervoor te zorgen dat niks van het origineel pakket kan veranderd worden tijdens de communicatie door een tunnel van het ene netwerk naar het andere, bijvoorbeeld tussen firewalls en routers die IPSec ondersteunen.
IPSec gebruikt zijn eigen regels om te bepalen welk netwerkverkeer er versleuteld zal worden. De firewall kan geen IP pakketten inspecteren die versleuteld zijn met IPSec ESP. De AH methode beveiligt de bron en het doel IP adres. De ESP methode beveiligt niet de IP header, maar het TCP of UDP gedeelte. NAT kan dus niet uitgeoefend worden bij zowel de AH en ESP-methode. Een oplossing voor dit probleem is dat beide uiteinden van de IPSec communicatie NAT Detection (NAT-D) of NAT Traversal (NAT-T) moeten ondersteunen. Dit houdt in dat het originele IPSec pakket, waarvan noch het IP adres noch de poort informatie kan gewijzigd worden, geplaatst worden binnen een ander pakket, waardoor toch NAT kan gebeuren. Firewalls en IDS
Pagina 18/80
C) Virtual Private Networks (VPN’s) Een VPN is een overeenkomst tussen twee computers, gescheiden door een publiek netwerk, zoals het Internet, om al IP pakketten bestemt voor het interne netwerk achter de andere computer. Er zijn drie mogelijke VPN scenario’s die verband houden met de firewall: - Een VPN connectie tussen twee firewalls. - Een VPN connectie tussen een computer op het Internet en een firewall. - Een VPN connectie tussen een computer in het interne netwerk of op het Internet door de firewall heen. a) VPN tussen twee firewalls Een veelkomend scenario is een connectie tussen twee aftakkingen van een bedrijf. De twee interne netwerken zijn met elkaar verbonden alsof er een toegewijde privé link bestaat, maar in feite wordt er een versleutelde connectie gemaakt over het publieke netwerk, waardoor ook de naam virtual private network. Beschouw het volgende voorbeeld waarbij een computer in het ene netwerk een privé adres 10.65.1.2 heeft en wenst te communiceren met de andere computer in het andere netwerk met een privé adres 10.80.7.5. De computer kan als doel IP adres het interne IP adres van de andere computer gebruiken. De VPN software voegt een IP header toe met het publieke IP adres van de andere firewall, aan het IP pakket. Dit wordt encapsulatie genoemd. Bij aankomst aan de andere firewall wordt de extra header verwijderd, en gaat het pakket naar het doel IP adres van het ingekapselde pakket. Een VPN connectie wordt ook VPN tunnel genoemd. Bij IPSec worden er verschillende IPSec regels gedefinieerd om de encryptiemethode aan te geven voor de verschillende IP pakketten. Bij VPN wordt er enkel gekeken naar het doel adres en worden de pakketten allen op dezelfde manier versleuteld. Firewall regels kunnen ingesteld worden om maar bepaalde VPN netwerk connecties te aanvaarden. In dit scenario wordt het interne netwerk vergroot. Het gevaar ligt hem in het feit dat als een hacker inbreekt op het netwerk, hij potentieel twee netwerken kan aanvallen. Hiertegen kan u zich beveiligen door restrictieve pakket filters in te stellen op VPN verkeer en door Intrusion Detection te gebruiken.
Fig. VPN tussen twee firewalls Firewalls en IDS
Pagina 19/80
b) VPN vanuit het Internet In dit gelijkaardig scenario verbindt een bedrijfsmedewerker zich nu wel met een dynamisch publiek IP adres met de firewall van zijn firma, dus de VPN connectie wordt niet opgestart bij een firewall. Het doel van deze connectie is het veilig connecteren met het kantoor over het Internet. Maar door dit dynamisch IP adres, is het moeilijk om firewall regels te definiëren die restrictief zijn op adres. Het gevaar van hackers is hier veel groter. Als een hacker een laptop overmeesterd met een VPN connectie, kan hij in het interne netwerk snuisteren! Restrictieve firewall regels zijn hier een must.
Fig. VPN vanuit het Internet
c) VPN door de firewall In het derde scenario is de firewall noch het start noch het eindpunt van de VPN connectie. Dit kan gedaan worden om een veilige verbinding te bieden naar een zakelijke partner. De connectie wordt gemaakt tussen de firewall en een VPN server op het Internet.
Fig. VPN door de firewall Een groot verschil met de andere twee scenario’s is dat de firewall het netwerkverkeer niet kan inspecteren. Een ander groot verschil komt voor als de firewall ook de NAT functie uitoefent. Niet alle VPN protocollen ondersteunen namelijk NAT. De twee voornaamste VPN protocollen zijn Point-to-Point Tunneling Protocol (PPTP) en Layer Two Tunneling Protocol (L2TP). PPTP beveiligt de IP header niet, waardoor NAT kan gebeuren. L2TP gebruikt IPSec om zijn pakketten te beveiligen. Hier kan enkel NAT gebeuren als de twee communicerende firewalls NAT-D of NAT-T ondersteunen.
Firewalls en IDS
Pagina 20/80
Firewall methodiek a) Packet filtering / Stateless Packet filtering Pakket filters werken op de netwerklaag, de derde laag van het OSI-model. Het IP-verkeer bestaat uit headers, data en controle. Pakket filters controleren en inspecteren elke header van elk netwerkpakket dat bij de firewall toekomt. De beheerder bepaalt welke pakketten in welke richting toegelaten of geblokkeerd worden. NAT kan worden toegevoegd aan de firewall maar dat is niet altijd zo. Het pakket gaat zonder aanpassingen verder als het wordt doorgelaten. Maar dat is niet echt zo. Een IP-pakket wordt altijd aangepast als het door netwerkapparatuur passeert. De router of firewall verlaagt de numerieke waarde van de TTL-informatie (Time To Live). Algemeen bevatten deze regels meestal:
IP-adres van de bron: De bron is niet altijd het adres van de oorspronkelijke afzender. Het kan om geldige redenen tussen afzender en de firewall door NAT gewijzigd zijn, maar ook hackers kunnen IP-adres wijzigen. In dat geval spreken we van IP-spoofing.
IP-adres van de bestemmeling: Dit is het IP-adres dat het pakket wil bereiken. Zorg ervoor dat je de echte IP-adressen in de pakketregels vermeldt, niet de DNS-naam. Een hacker kan de DNS server overnemen en zo de pakketfilters omzeilen.
Identificatie (ID) van het IP-protocol: Een IP-header wordt gevolgd door protocolheaders. Alle protocollen hebben hun eigen identificatie. De ID's van enkele bekenste protocollen zijn: TCP (ID 6), UDP (ID 17), ICMP (ID 1), GRE (ID 47) — die gebruikt wordt bij PPTP connecties en ESP (ID 50) en AH (ID 51), die gerbuikt worden bij het IPSec protocol.
TCP of UDP poortnummer van bron en bestemming: Het poortnummer geeft aan voor welke service een pakket bestemd is. Heel wat services luisteren op een vaste poort., bvb HTTP (poort 80), FTP (poort 20/21).
Richting van het verkeer: In –of uitgaand verkeer
Toelaten of blokkeren / Allow of Deny
Firewalls en IDS
Pagina 21/80
Richting
Frame type
Bron IP
Doel IP
IP Type
In In In In Uit Uit Uit Uit
0800 0800 0800 0800 0800 0800 0800 0800
* * * * 192.5.48.1 192.5.48.2 192.5.48.3 192.5.48.4
192.5.48.1 192.5.48.2 192.5.48.3 192.5.48.4 * * * *
TCP TCP TCP UDP TCP TCP TCP UDP
Bron Poort * * * * 80 25 53 53
Doel Poort 80 25 53 53 * * * *
Fig. Voorbeeld van een firewall configuratie met pakketfiltering. Hier gaan we ervan uit dan we standaard alles op Deny gezet hebben. En enkel de Allow regels hebben gedefinieerd. Omdat de beheerder bepaalde combinaties van bron en bestemmingsadressen en services kan specifiëren in een packet filter regel, kan de beheerder de toegang controleren naar bepaalde services op bepaalde computers. Er moet opgelet worden met: - ICMP-berichttype: ICMP is het netwerkdiagnose protocol van TCP/IP. Sommige zijn nuttig en sommige vrij gevaarlijk, daar die ook door externen kunnen uitgevoerd worden. - Fragmenten: IP pakketten kunnen opgesplitst worden in kleinere pakketten, omdat bepaalde netwerk segmenten enkel met een bepaalde maximum pakket grootte werken, de Maximum Transmission Unit (MTU). Door de manier waarop de pakketten gesplitst worden en terug samengesteld, Firewalls en IDS
Pagina 22/80
kunnen hackers een DoS trachten te bereiken of bepaalde pakketten in één frame doorsturen met gevaarlijke inhoud. Een goede strategie is het niet doorlaten van fragmenten, als het eerste fragment niet is aangekomen. - IP Options instellingen: deze instellingen werden ook gebruikt ten behoeve van netwerkdiagnose. Vooral de Source Route Option is gevaarlijk. De afzender bepaalt bij deze de weg die het pakket moet afleggen, dit kan zijn via bepaalde toestellen van een hacker. Een goede strategie is alle netwerkverkeer blokkeren met deze IP Options instellingen.
Een packet firewall kan IP-spoofing detecteren als het pakket die bij de WAN netwerkinterface aankomt een IP-adres heeft van het interne netwerk. Voordelen:
Snelheid: enkel de headers van de pakketten worden bekeken Lage kosten: pakket filtering gebeurt meestal door routers, deze maken een eerste filtering op de grens met het Internet. Gemakkelijk in gebruik Houdt vooral DoS-aanvallen tegen
Nadelen:
IP-spoofing: IP-spoofing kan niet gedetecteerd worden, behalve als de spoofer-afzender een IP adres gebruikt van het interne netwerk Kan niet werken met applicatie laag data Kan geen veiligheidsinspecties doen Encryptie en authenticatie kunnen niet behandeld worden omdat deze op hogere lagen van het OSI model werken.
b) Stateful Packet Filtering Stateful packet filtering wordt ook wel stateful packet filtering of stateful inspection genoemd. Stateful inspection werkt met het concept connecties. Een connectie wordt gedefinieerd als het legitieme verzenden en ontvangen vanuit één bron naar en van één doel. Het connectiepaar bestaat uit volgende 4 parameters : -
het bron adres de bron poort het doel adres de doel poort
de
TCP in de 4 laag van het OSI model gebruikt deze connectie methodiek, terwijl IP connectieloos de werkt op de 3 laag, wat ook het grote verschil is met stateless packet filtering
Firewalls en IDS
Pagina 23/80
Fig. Stateful Packet Filtering proces Stateful Packet Filtering firewalls bevatten een dynamisch geheugen die de statustabellen van alle inkomende en reeds opgezette connecties bevatten. Elke connectie is gelogd in deze tabellen. Nadat de connectie is gevalideerd, worden de pakketten onderworpen aan de firewall regels. Wanneer een TCP connectie wordt opgezet, begint dit steeds met een SYN van de zender, dit wordt genoteerd in de statustabellen. Hierna wordt een ACK verwacht van de ontvanger. Als deze volgorde niet gerespecteerd wordt, wordt het pakket tegengehouden. Voor UDP bestaat er ook een pseudo-manier om de connectie te volgen. Als een connectie opgezet wordt, wordt dit ook genoteerd in de statustabellen. Een pakketje zal enkel dan terug ontvangen worden, als er een bepaalde entry reeds zich in de tabel bevindt. De firewall onthoudt de ‘staat' van het verwachte retourpakket bij de communicatie op het netwerk. Stateful packet filtering wordt ook wel dynamic packet filtering mirorring genoemd. Dit door het feit dat er automatisch een tijdelijke pakket filter gecreëerd wordt die verkeer toelaat op de terug poort. Deze is enkel geldig voor een beperkte duur.
Even het verschil duidelijk maken tussen stateful en stateless packet filtering. Bekijk volgende voorbeeld. Een IP-pakket wordt verzonden naar een website (HTTP poort 80) met een verzoek tot informatie. Dit verzoek bevat de zender zijn IP adres en een poort boven 1023, bijvoorbeeld 3000. Een firewall die stateless filtert houdt er geen rekening mee dat er binnenkort een pakket zal toekomen op poort 3000. De firewall moet alle poorten boven 1023 openstellen, om de communicatie mogelijk te maken. Een hacker kan dan zo gemakkelijk alle poorten boven 1023 gebruiken. Een stateful pakketfilter daarentegen verwacht enkel communicatie tussen poort 80 en 3000, en zal niet alle andere poorten openstellen. Voordelen: -
veiliger door het invoeren van status tabellen
-
complexere architectuur, complexer beheer trager door bewerkingen, vooral als het aantal connecties enorm oploopt controleren niet de inhoud van applicaties
Nadelen:
Firewalls en IDS
Pagina 24/80
c) Circuit-level Gateways Een Circuit-level Gateway wordt ook wel eens een Circuit-Relay genoemd. Deze is verwant met Stateful inspection filtering, door het werken met sessies, als mede met de Application Proxy, door de gebruikte methodiek van indirecte verbinding. Er is een verbinding tussen de gebruiker en de firewall op het interne netwerk en een afzonderlijke verbinding met een host op het Internet. Op het moment dat de twee verbindingen tot stand zijn gebracht, zal de Gateway de informatie doorsturen van de ene verbinding naar de andere zonder de inhoud ervan te onderzoeken.
Fig. Circuit-level Gateway De Circuit-level firewall wordt meestal gebruikt voor die applicaties die geen specifieke bedreiging vormen en voor applicaties waar geen Proxy-software voor bestaan. De beveiligingsfunctie bestaat erin te bepalen welke verbindingen toegestaan zullen worden. Voordelen:
Ze beveiligen beter het netwerk dan een pakketfilter door het opzetten van 2 aparte communicaties door de firewall.
Nadelen:
Circuit-relays oefenen geen controle uit op applicatieniveau: netwerkpakketten worden niet gecontroleerd op hun inhoud.
d) Application Proxy Een Application Proxy werkt op applicatieniveau, het hoogste niveau in het OSI-model. Ze worden ook Application Gateways genoemd.
Firewalls en IDS
Pagina 25/80
Fig. Application Proxy Data Flow
Fig. Application-level gateway De twee belangrijkste verschillen tussen packet filtering en application proxies zijn de volgende: -
Packet filtering inspecteert alleen de pakket header. De application proxy daarentegen controleert naast de header ook de volledige inhoud van het pakket.
-
Een pakket filter laat een toegelaten pakket door. Hetzelfde pakket gaat van de computer van het interne netwerk naar de server op het Internet. Een application proxy maakt een nieuw pakket aan voor het toegelaten pakket. Het nieuwe pakket wordt gezonden van de firewall naar de server op het Internet. Eenzelfde strategie wordt toegepast voor het terugkerende pakket. Er zijn dus twee verschillende connecties.
Voordelen: - heel de inhoud van het pakket wordt geïnspecteerd: De beveiliging kan goed uitgewerkt worden. Bijvoorbeeld: blokkeer alle com- en exe bestanden of blokkeer alle VBS scripts - er kan een meer gedetailleerde log file gecreëerd worden van wat door de firewall gestuurd is, omdat de application proxy het applicatie protocol begrijpt. - de computer van het interne netwerk en het internet hebben nooit een echte connectie. Dit betekent dat buffer overflows en illegale voorwaarden in de pakketen nooit de bestemming van de interne computer bereiken.
Firewalls en IDS
Pagina 26/80
- een applicatie proxy verkrijgt een pakket van in zijn eerste connectie, hermaakt dit pakketje en verzend dit over zijn tweede connectie naar zijn eindbestemming in opdracht van zijn afzender. - Hij routeert geen pakketten tussen netwerkkaarten. Als dus de application proxy of firewall crasht, zal de connectie ook beëindigd worden. Bij een packet filter, zou het kunnen dat alle pakketten gerouteerd worden. - kan netwerkverkeer met verscheidene connecties inspecteren - omdat een application proxy de ganse data bekijkt, kunnen de verkregen antwoorden in een cache geheugen opslaan worden, bvb webpagina’s. Herhaaldelijke vragen naar deze informatie kunnen beantwoord worden door deze cache, in plaats van de inhoud telkens terug af te halen. Nadelen: - proxy per applicatie: De proxy moet voor elk programma het gebruikte toepassingsprotocol kennen. Voor elke netwerktoepassing moet de firewall een bepaalde proxy hebben. De meeste firewalls ondersteunen wel proxy voor algemene toepassingen, zoals FTP en HTTP. - vereiste proxy configuratie: voor sommige application proxies moeten de computers geconfigureerd worden om de proxy te vinden, dit zijn de classic application proxies. Als de interne computer zonder een speciale computer de proxy vindt, dan wordt die een transparent application proxy genoemd. - Traag: Proxy firewalls zijn erg intensieve programma's. Zorg voor een goed en snel werkend systeem om het programma te kunnen dragen. De firewall kan het netwerk vertragen. Om de snelheid van verwerking te verhogen kunnen er afzonderlijke proxies gebruikt worden per toepassingsprotocol.
Fig. Vergelijking tussen de verschillende firewall methodieken
Firewalls en IDS
Pagina 27/80
e) Hybride Firewalls Hybride firewalls worden ook wel Stateful Multilayer Inspection firewalls genoemd. Hybride firewalls gaan het verkeer controleren op de verschillende lagen van het OSI-model samen. De statefull multilayer inspection firewall combineert de functies van de andere firewalls in één oplossing. Zo filtert hij de datapakketjes op de netwerk laag, controleert de legitimiteit van de sessie pakketjes en evalueert de inhoud van de pakketjes op de applicatie laag. Toch zijn de de functies van firewalls niet zomaar bij elkaar gevoegd. Er zijn namelijk een aantal significante verschillen ten opzichte van de individuele oplossingen: - directe connectie tussen de client en host: Gevoelige informatie over het interne netwerk wordt middels filtering uit de datapakken verwijderd, ook wel adress translation genoemd - logaritmes ipv proxies: Deze firewall gebruikt verschillende logaritmes om de application layer informatie te analyseren. De application level gateway voert deze analyses uit aan de hand van applicatie specifieke proxies.
Voordelen: - verschillende beveiligingstechnieken worden gecombineerd - efficiënter Nadelen: - duurder - moeilijker te beheren Algemene strategie: Allow-All or Deny-All Eén van de eerste dingen dat je moet beslissen als je een firewall configureert is de algemene strategie dat je gaat hanteren, om te bepalen welk netwerkverkeer je zal toelaten of weigeren tot je netwerk. Er zijn 2 strategieën.
Allow-All / Alles toestaan: Alle netwerkpakketten worden doorgelaten, behalve de pakketten die men zelf beslist te weigeren.
Deny-All / Alles weigeren: Alle netwerkpakketten worden geweigerd, behalve de pakketten die men zelf beslist toe te laten.
Op het eerste zicht is “alles toestaan" eenvoudiger. In de “alles toelaten” strategie zou je alle mogelijke methoden van mogelijke aanvallen moeten opsommen en blokkeren. Dit resulteert in enorm veel regels, en de kans dat je er een paar vergeten bent, is groot. Wat bij nieuwe ontdekte methoden of services waarmee een aanvaller gemakkelijk in je netwerk kan inbreken. Dus deze strategie is veel onveiliger dan de “alles weigeren”.
Firewalls en IDS
Pagina 28/80
Het kan zijn dat je firewall reeds automatisch een bepaalde standaardstrategie heeft ingesteld staan, bijvoorbeeld de “alles weigeren”. In de praktijk wordt een combinatie van de 2 strategiëen gebruikt. Er zijn verschillende manieren om een lijst van firewallregels op te stellen. De meeste firewalls gebruiken de volgende technieken:
Op volgorde / In Order: De regels worden in een chronologische volgorde verwerkt. De regel die met het huidige IP-pakket overeenkomt, wordt als eerste toegepast. De overige regels worden niet bekeken.
Eerst weigeren / Deny first: De regels die het verkeer weigeren worden als eerste verwerkt. De regels die verkeer doorlaten worden verwerkt als er geen regels zijn die het verkeer blokkeert.
Eigen volgorde / Best fit: Er zijn natuurlijk firewalls die hun eigen volgorde hanteren. Meestal betekent dit van gedetailleerde naar algemene regels.
Fig. Volgorde van verwerken van firewall regels Het is belangrijk dat de systeembeheerder weet welke volgorde gebruikt wordt in zijn firewall. Bekijk deze drie simpele firewall regels. Beeld je in dat Kim, die een lid is van de Temps groep, probeert zich te connecteren naar een website op het Internet. Naargelang de techniek die toegepast wordt op de regels door de firewall, kan er een verschillend resultaat bekomen worden. Het resultaat kan Regel A zijn, door de “In order” techniek => actie toegelaten Het resultaat kan Regel B zijn, door de “Deny First” techniek => actie geblokkeerd Het resultaat kan Regel C zijn, door de “Best Fit” techniek = > actie toegelaten. Hoe de regels er effectief zullen uitzien hangt af van het gekozen Security Policy.
Firewalls en IDS
Pagina 29/80
Firewall architecturen Het bepalen van regels op de firewall is niet voldoende om uw interne netwerk veilig te stellen. Je moet ook weten waar je de firewall gaat plaatsen in uw netwerk. Bijzonder beschermde gebieden, genaamd Demilitarized Zones (DMZ) komen hier onder andere aan bod en hoe je meerdere firewalls kan plaatsen om nog betere DMZ’s te creëren. Je kan verschillende netwerkconfiguraties gebruiken om uw netwerk te beveiligen. A) No-Box oplossing: De ISP firewall service Kantoren die geen geld willen uitgeven aan een netwerk firewall kunnen kiezen voor de ISP firewall service, alhoewel deze dienst niet door alle ISP’s worden voorzien. Het enigste voordeel van deze dienst is dat het goedkoop is. Door volgende mogelijke belangrijke nadelen van deze dienst wordt het duidelijk dat deze optie niet doeltreffend is voor de veiligheid van uw netwerk: - de ISP oplossing is niet aangepast naar uw noden. Het kan ook de veiligheid moeten garanderen voor veel andere klanten. Dit wil zeggen dat de ingestelde regels waarschijnlijk niet strikt genoeg zijn opgesteld naar uw noden. - de ISP firewall regels kunnen te strikt zijn opgesteld. Als je een bepaald protocol nodig hebt, kan het zijn dat je de configuratie niet kan aanpassen. - de ISP’s kunnen niet voldoen aan de Internetwensen van uw gebruikers, wat resulteert in het installeren van bijvoorbeeld port redirection software om zo de ISP firewall regels te omzeilen, wat dan ook resulteert in een verlaagde veiligheid van uw interne netwerk. B) Single-Box oplossingen a) Screening Router Het is mogelijk om een packet filtering systeem te gebruiken als firewall, zoals een screening router. Dit is een goedkope oplossing omdat je meestal toch een router nodig hebt om je te connecteren tot het Internet. Dit is niet echt een flexibele oplossing, omdat je enkel op IP adres en poort nummer kan filteren, en niet meer in detail kan gaan. Bijkomstig nadeel is dat als je router gehackt wordt, heb je geen beveiliging meer.
Fig Gebruik van een screening router met packet filtering Firewalls en IDS
Pagina 30/80
Een screening router als firewall is aangewezen bij: - een netwerk waarbij iedere host een hoge graad van beveiliging bezit - het aantal gebruikte protocollen laag is en vanzelfsprekend zijn - als je een maximum performantie nastreeft en redundantie - als interne firewalls en voor netwerken die Internet diensten aanbieden b) Dual-Homed firewall De eenvoudigste netwerkvorm met een firewall is een dual-homed computer. Een dual-homed computer bevat firewallsoftware en 2 netwerkkaarten, waarmee hij het interne netwerk met het Internet verbindt.
Fig. Dual-Homed host architectuur
Voordelen: - goedkoop - gemakkelijk te configureren Nadelen: - 1 beveiligingspunt: Als de firewall gekraakt wordt is het ganse netwerk toegankelijk. - 1 lange lijst met firewall regels - geen aparte netwerksegmenten: Er kunnen geen aparte segmenten gecreëerd worden voor het beveiligen van servers die toegankelijk moeten zijn vanaf het Internet, zoals DMZ’s, ook screened subnets genoemd. Op de dual-homed host moet de functie IP-forwarding uitstaan. IP-forwarding routeert automatisch pakketten tussen de twee netwerkkaarten. Het is belangrijk dat beide netwerken niet rechtstreeks met elkaar communiceren. Alle netwerkverkeer moet langs de firewall passeren en gecontroleerd worden. Een dual-homed host is aangewezen bij: - weinig Internet verkeer - het Internetverkeer is niet bedrijfskritisch - er worden geen Internet diensten geleverd - het beveiligde netwerk mag geen belangrijke data bevatten
Firewalls en IDS
Pagina 31/80
C) Screened host architectuur
Fig. Een screened host architectuur De figuur toont een vereenvoudigde versie van een screened host architectuur. De screened host zit in het interne netwerk. De pakket filtering functie van de screening router is zo opgezet dat elke connectie naar het Internet via de bastion host moet gebeuren. De screened host moet een extra beveiligde computer zijn, vandaar ook de naam bastion host. In vele bedrijven is een bastion host een proxy server. Je kan een verschillende aanpak aannemen voor verschillende diensten. Sommige diensten kunnen rechtstreeks gebeuren met de packet filtering van de screening router. Andere kunnen dan weer enkel onrechtstreeks gebeuren via de proxy. Door deze twee invalswegen lijkt een screened host architectuur minder veilig. Die is wel veiliger dan de dual-homed, omdat een router beter te beveiligen is dan een host. Maar een screened subnet is nog steeds de betere oplossing, omdat zowel de router als de bastion host maar één beveiligingspunt zijn. Een screened host architectuur is aangewezen bij: - als er maar een aantal connecties komen van het Internet, maar dit is niet de ideale oplossing voor publieke webservers - als het beschermde netwerk een hoge graad van host beveiliging heeft
Firewalls en IDS
Pagina 32/80
D) Screened Subnet architecturen De screened subnet architectuur voegt een extra laag van beveiliging toe op die van de screened host architectuur door het toevoegen van een perimeter netwerk, dat verder het interne netwerk afschermt van het Internet. Bastion hosts zijn de machines die kunnen aangevallen worden vanuit het Internet, en zijn dus ook het kwetsbaarst. Als men in een screened host architectuur de bastion host aanvalt en overmeestert, dan ligt het ganse netwerk aan hun voeten. Maar door een bastion host in een perimeter netwerk te zetten, ligt het ganse netwerk niet meer sowieso aan de hacker zijn voeten. Volgende figuur toon een mogelijke firewall configuratie waarbij een screened subnet architectuur gebruikt wordt.
Fig. Screened subnet architectuur met twee routers Bij het eenvoudigste type van screened subnet architectuur, zijn er twee screening routers, beiden geconnecteerd met het perimeter netwerk. Een externe router tussen het Internet en het perimeter netwerk en een interne router tussen het perimeter netwerk en het interne netwerk. Als een hacker zou willen binnenbreken in het interne netwerk, zou hij langs beide routers moeten trachten te geraken. Het wordt dus duidelijk dat bij deze architectuur het zwakke punt van één beveiligingspunt weggewerkt is. Even de verschillende componenten bespreken: - Het Perimeter Netwerk Het Perimeter Netwerk wordt ook wel eens DMZ, De-Militarized zone, genoemd Het perimeter network voegt een extra laag van beveiliging toe, een extra netwerk tussen het externe netwerk en uw beveiligde interne netwerk. Iedere machine kan alle netwerkverkeer monitoren bijvoorbeeld door het gebruik van sniffers, zoals WireShark. Zo kunnen paswoorden en andere gevoelige data onderschept worden. Omdat de bastion host zich op een ander netwerk bevindt dan het interne netwerk, wordt het interne netwerkverkeer van de aanvaller afgeschermd, zelfs al is de bastion host in zijn handen gevallen. Natuurlijk kan de aanvaller wel het verkeer zien van en naar de bastion host. Firewalls en IDS
Pagina 33/80
- De Bastion Host In het perimeter network wordt een bastion host gezet, deze host is het contactpunt voor inkomende connecties van de buitenwereld, bijvoorbeeld voor inkomende mail, FTP, DNS, enz... Uitgaande connecties, interne computers naar het Internet worden als volgt behandeld: - door pakket filtering op beide routers, zodat interne hosts rechtstreeks kunnen connecteren met het Internet -door proxy servers te draaien op de bastion host, als die ondersteund worden, om onrechtstreeks te connecteren met externe servers. - de Interne Router De interne router ook soms choke router genoemd, beveiligt het interne network van het Internet en van het perimeter netwerk. De interne router doet de meeste packet filtering van de firewall. Het laat bepaalde veilige services door van het interne netwerk naar het Internet. Het aantal services tussen de bastion host en het interne netwerk moeten beperkt blijven. Omdat dit de toegang naar het interne netwerk verhoogt voor de hacker. Bijvoorbeeld DNS en SMTP voor inkomende mail. - de Externe Router De externe router wordt ook wel de access router genoemd. In theorie beveiligt de externe router zowel het perimeter netwerk als het interne netwerk tegen het Internet. In de praktijk daarentegen laat de externe router bijna alle netwerkverkeer door en doen hij weinig packet filtering. De packet filtering regels voor de computers op het interne netwerk zouden moeten dezelfde zijn, zowel op de interne als op de externe router.Het komt veel voor dat de externe router vervangen wordt door die van de ISP. De enige packet filtering regels dat speciaal zijn op de externe router zijn die om de machines op het perimeter netwerk te beschermen, dit zijn de bastion hosts en de interne router. De rest van de regels zouden gekopieerd moeten worden van de interne router, maar voor proxy services, moet enkel de bron van de bastion host vermeld worden. De Externe Router is de beste plaats om IP-spoofing te detecteren.
Een screened subnet architectuur wordt in veel situaties aangeraden.
Firewalls en IDS
Pagina 34/80
E) Architecturen met Meerdere Screened Subnets Sommige netwerken hebben meer dan één screened subnet nodig. Dit gebeurt wanneer er op het screened subnet meerdere dingen moeten gebeuren, die een verschillende beveiliging nodig hebben. E)1) Split-Screened Subnet Bij een split-screened subnet, is er nog steeds een interne en een externe router, maar meerdere netwerken zijn aanwezig tussen de twee routers. De screened netwerken zijn meestal met elkaar verbonden door één of meerder dual-homed hosts, niet door nog een andere router. In sommige sites wordt deze architectuur puur gebruikt om een meer diepgaande beveiliging te bieden. De routers beveiligen tegen vervalsing van IP adressen, en beveiliging tegen storingen als de dual-homed host verkeer begint te routeren. De dual-homed host biedt een fijnere filtering aan van de connecties, deze is beter dan de door de screening router uitgevoerde packet filtering.
Fig. Split-screened subnet met dual-homed host Andere gebruiken split-screened subnets voor hun administratieve toegang naar hun machines, die Internetdiensten aanbieden. Dit laat beheerders toe bepaalde protocollen te gebruiken, die niet in de handen van het Internet mogen vallen.
Firewalls en IDS
Pagina 35/80
Fig. Split-screened subnet zonder doorgaand verkeer Dit kan ook handig zijn voor performantie redenen. Zo wordt de bandbreedte, die gebruikt moet worden voor de bastion hosts met Internetdiensten, niet verbruikt door het administratief verkeer. Split-screened subnets zijn aangeraden als een hoge graad van beveiliging gewenst is, in het bijzonder bij het aanbieden van de Internetdiensten.
Firewalls en IDS
Pagina 36/80
E)2) Independent Screended Subnets In bepaalde gevallen wordt er gebruik gemaakt van independent screened subnets, onafhankelijke screened subnets, met afzonderlijke externe routers.
Fig. Architectuur met meerdere perimeter netwerken (meerdere firewalls) - Je kan dit doen om een redundante Internet connectie te hebben : twee externe routers, twee perimeter netwerken, twee interne routers, maar dan moet uw ISP ook redundant zijn. - Je kan ook deze architectuur implementeren voor privacy redenen, waarbij je door de ene je Internet connectie hebt, en via de andere uw privégegevens. Bij deze reden zou je in feite maar één interne router nodig hebben. - Een andere reden is het scheiden van inkomende en uitgaande Internet diensten. Met inkomende diensten, bedoelen we publieke webservers. Met uitgaande diensten bedoelen we uw interne gebruikers die naar het Internet server, via bijvoorbeel een caching web server. Het is véél veiliger om deze diensten te scheiden met elk hun eigen perimeter netwerk, met het best een split perimeter netwerk voor de inkomende diensten. In onderstaande figuur zie je een voorbeeld van deze architectuur. De servers, bastion hosts, met drie snelle netwerkkaarten kunnen één netwerkkaart gebruiken om externe gebruikers te bedienen, één voor administratieve taken en een netwerkkaart zonder netwerkconnectie, die gebruikt wordt voor back-ups en communicatie met de andere bastion hosts.
Firewalls en IDS
Pagina 37/80
Fig. Een ingewikkelde firewall opstelling Independent of onafhankelijke subnets worden vooral gebruikt voor redundantie, veiligheid en bij onafhankelijk gebruik van verschillende Internetdiensten.
F) Variaties op de algemene firewall architecturen Zonet hebben we de meest voorkomende firewall architecturen besproken, maar er zijn nog heel wat variaties mogelijk. In dit deel bespreken we enkele veel voorkomende variaties met eventueel hun voor –en nadelen. F)1) Het gebruik van meerdere bastion hosts in een DMZ : OK Goede redenen voor het gebruik van meerdere bastion hosts zijn de volgende: -
Performantie: Bij het leveren van Internetdiensten kan je een bastion host gebruiken voor het leveren van externe diensten, zoals een webserver. De andere bastion host gebruik je voor de belangrijke interne diensten, zoals proxy servers. Best is het nadenken over waar je de verschillende services gaat plaatsen. Kunnen bepaalde services samen geconfigureerd worden op een server, welke zijn zeer arbeidsintensief? Ideaal is een service per server.
-
Redundantie: Voor bepaalde services kan je verschillende bastion hosts configureren om een failover te voorzien, bvb DNS. Als een bepaalde server niet of
Firewalls en IDS
Pagina 38/80
amper beschikbaar is, wordt de dienst verleend door de andere server. -
Scheiden van data of servers: dit voor performantie, bijvoorbeeld website voor niet klanten en website voor bestaande klanten maar ook voor veiligheidsredenen : bijvoorbeeld het uploaden van een uitvoerbestand via FTP en die laten uitvoeren door de webserver
Fig. Architectuur met twee bastion hosts F)2) Versmelten van de Interne router en de Externe router: OK Dit kan je doen als je router dit ondersteunt. Hier heb je drie netwerkkaarten op de router. Je hebt hier opnieuw een DMZ met bijvoorbeeld een proxy server en een webserver. Verkeer tussen alle deze netwerken wordt bepaald door één router. Nadeel van deze opstelling is dat er maar één beveiligingspunt aanwezig is.
Firewalls en IDS
Pagina 39/80
Fig. Architectuur met een versmolten interne en externe router F)3) Versmelten Bastion host en de Externe Router: OK Dit komt er op neer dat je een dual-homed host gebruikt als router, met eventueel packet filtering software. Is wel niet zo vlug als een router. Hierbij wordt de bastion host wel meer blootgesteld aan het Internet, maar het interne netwerk zit nog steeds achter de interne router.
Fig. Opstelling van een versmolten bastion host en externe router
Firewalls en IDS
Pagina 40/80
F)4) Versmelten bastion host en de Interne router: NOK Een belangrijk doel van de DMZ, is het verhinderen dat de bastion host al het interne verkeer kan zien. Door het versmelten van de bastion host met het interne netwerk wordt dit ongedaan gemaakt. Bij het overwinnen van de bastion host, kan het volledig netwerk gezien worden.
Fig. Opstelling van een versmolten Bastion host en de Interne router E) Gebruik van meerde Interne routers: GEVAARLIJK Deze opstelling brengt gevaren met zich mee: -
routering via de DMZ is mogelijk: Normaal zou die niet mogen voorvallen als je packet filtering goed staat ingesteld, maar indien dit niet geval is, kan gevoelige data gezien worden door een bastion host die overmeesterd is.
-
Moeilijk consistent beheer: de interne router bevat de meest belangrijkste en de meest complexe packet filters. Door er twee te hebben, verdubbeld ook de kans dat je regels verkeerd staan ingesteld.
Firewalls en IDS
Pagina 41/80
Fig. Basisopstelling met meerdere interne routers
Soms kan het toch nodig zijn meerdere interne routers in te stellen: - om in grote netwerken voldoende performantie én beschikbaarheid te bieden: Beste oplossing: elke interne router connecteren met een eigen perimeter netwerk en externe router. Als meerdere interne routers overwogen worden enkel voor de performantie reden, is dit meestal niet gegrond. De redenen voor dit overwegen kunnen zijn, dat je interne router je externe router niet kan volgen of dat er iets verkeerd staat geconfigureerd in je bastion host, waardoor bepaald verkeer niet naar buiten kan. - omdat je meerdere interne netwerken hebt, die door technische, organisatorische of politieke redenen geen router mogen delen Beste oplossingen: Verschillende interfaces op een router: (fig. ) - gemakkelijkste oplossing - moeilijkere configuratie - niet het risico van de meerdere interne routers Internal backbone: - bij teveel netwerken voor één router - delen van router is niet toegelaten
Firewalls en IDS
Pagina 42/80
Fig. Meerdere interne netwerken (verschillende interfaces in één router)
Fig. Meerdere interne netwerken (backbone architectuur)
Firewalls en IDS
Pagina 43/80
F) Gebruik van meerdere Externe routers: OK Meerdere externe routers plaatsen, die connecteren met eenzelfde externe netwerk, bijvoorbeeld twee verschillende ISP’s, voor redundantie, is niet echt een probleem.
Fig. Opstelling met meerdere externe routers G) Screened subnets en screened hosts gebruiken: GEVAARLIJK Als je een screened subnet hebt, mag je nooit connecties toelaten van het Internet naar een screened host op je interne netwerk. Het is bijna onmogelijk beiden goed te beveiligen.
Wat je moet weten over aanvallers A) Soorten hackers Hackers kunnen opgedeeld worden in twee groepen, namelijk de netwerk en software hackers. Het verschil tussen beide is dat de ene bezig is met het breken van de beveiliging van netwerken en de andere met die van software. -
Network Hackers:
Firewalls en IDS
Coders: dit zijn programmeurs van schadelijke programm’s die de zwakke punten in bestaande software of netwerken uitbuiten. Meestal zijn ze uitmuntend in het OSI en TCP-model. Ze werken individueel of in groep. Ze schrijven programma’s die door hun groep gebruikt worden, zodat de groep een bepaalde reputatie kan verkrijgen.
Admins: dit zijn meestal mensen met een brede kennis van netwerken en besturingssystemen, geen programmeurs. Zij gebruiken tools om de beveiliging te testen.
Pagina 44/80
-
Script kiddies: dit zijn meestal jonge internauten, die scripts en hacking tools downloaden, en met deze trachten toegang te verkrijgen tot netwerken. Meestal hebben ze nog niet veel kennis en weten niet welke gevolgen hun acties hebben.
Software Hackers:
Software crackers: hierbij wordt software aangepast om zo beveiligingsmethoden te verwijderen, bijvoorbeeld kopiebeveiliging, trial en demo versies, serial nummers, enz..
Software pirates: een pirate kraakt de beveiliging en stelt die ook publiek.
Virus makers: schrijvers van virus programma’s. Sommige hackers maken gebruik van virussen om hun doel te bereiken, bijvoorbeeld Trojan Horses, Wormen, enz..
Er wordt ook nog een onderscheid gemaakt tussen goede en slechte hackers. Deze kunnen opgedeeld worden in drie groepen. -
White hats: Dit zijn hackers met goede bedoelingen. Ze onderzoeken de zwakke plekken van een netwerk om die beter te gaan beveiligen. Meestal contacteert hij de eigenaar van het netwerk.
-
Black hats: Deze worden ook crackers genoemd omdat ze de zwakke plekken in het netwerk gaan misbruiken.
-
Gray hats: Zij vormen de middenmoot. Ze breken in en geven de zwakheden door aan het publiek en aan de fabrikanten van netwerkapparatuur.
B) Hun aanvalstechniek De meeste aanvallen van hackers verlopen volgens een vast patroon: a) Het vinden van een doelwit en vergaren van informatie De hacker kiest een bedrijf of een persoon uit om op aan te vallen. Of zoekt op het Internet naar een zwak beveiligd doelwit. De hoeveelheid informatie die op het Internet beschikbaar is over een doelwit hangt af van hun graad van activiteit op het Internet. Het vergaren van informatie gebeurt op volgende manieren: - Sniffers: dit zijn programma’s die het netwerktrafiek opvangen. De hacker hoopt hierbij gevoelige informatie op te vangen, zoals paswoorden. - Social Engineering: dit is het verleiden van mensen om gevoelige informatie te verkrijgen. - Scanners: dit zijn programma’s die automatisch de zwakheden van een systeem onderzoeken. Ze scannen poorten en houden de resultaten bij. b) Toegang verkrijgen tot het netwerk of de computer Hier gaat de hacker de verkregen informatie gebruiken om in te breken.
Firewalls en IDS
Pagina 45/80
c) Controle verkrijgen over het systeem Dit hangt af van het besturingssysteem. Bij Windows systemen zal hij trachten administrator rechten te verkrijgen. Bij Unix is dat de root dat hij probeert te bemachtigen. d) Na de aanval alle sporen uitwissen Anonimiteit na een aanval is belangrijk tijdens en na een aanval. Zolang de netwerkbeheerder de aanval niet opmerkt, kan de hacker onopgemerkt verder gaan met zijn activiteiten. Voorbeelden zijn het wissen van logs en geformatteerde schijven. C) Hun motivatie Er zijn verschillende redenen waarom hackers zichzelf toegang verlenen tot een netwerk of computer: -
Geheime gegevens: dit kan gaan van financiële rapporten tot blauwdrukken van geheime projecten. Dit kan in opdracht zijn van bedrijven of met de intentie om deze te verkopen. Er zijn gevallen bekend dat dit ook in opdracht gebeurt van overheden.
-
Klantgegevens: deze worden verworven voor het chanteren van bedrijven of te verkopen aan concurrerende bedrijven. Dit kan bijvoorbeeld gaan over credit card gegevens.
-
Computerbronnen: hierbij gebruikt de hacker computerbronnen van anderen voor zijn eigen doeleinden. Dit omdat hij over onvoldoende rekenkracht bezit voor bepaalde acties of om de anonimiteit van zijn activiteiten te vrijwaren.
-
Eigen motivatie: dit is vooral om hun kennis te testen en een bepaalde reputatie op te bouwen in hun wereld.
D) Soorten aanvallen De aanvallen kunnen opgedeeld worden in twee categorieën: - Technieken om toegang te verkrijgen tot een netwerk of computer - Technieken om systemen uit te schakelen De hacker zal verschillende technieken gebruiken om zijn doel te bereiken. De volgende technieken worden veel gebruikt: -
Password Crackers: is een programma die hetzelfde algoritme gebruikt als het originele paswoord algoritme om paswoorden te genereren of ook om de beveiliging van paswoorden te vernietigen.
-
Trojan Horses: deze naam komt van de Griekse legende waarbij de Grieken een houten paard schenken aan de stad Troje om zo de binnenstad te bereiken. Een Trojan Horse is een programma die iets doet zonder dat de gebruiker er van weet. Met dit programma kan de hacker bijvoorbeeld informatie over het systeem winnen, bestanden kopiëren, andere systemen aanvallen. Een Trojan Horse kan bij een bepaald gewoon programma meegeïnstalleerd worden en geactiveerd, maar hij
Firewalls en IDS
Pagina 46/80
kan ook later geactiveerd worden tijdens een aanval. -
Scripts: Java Script en Applets, VBscript en Active-X worden veel gebruikt op het Internet omdat ze de functionaliteiten verhogen van de toepassingen. Maar deze scripts kunnen gevaarlijk zijn voor het systeem.
-
Denial Of Service en Distributed Denial of Service (DoS en DDoS): is een poging om de computerbronnen onbeschikbaar te maken voor de eigenlijk bestemde gebruikers. De technieken, de motieven en het doel van iedere DoS kan variëren. Meestal gaat het toch om aanvallen die het goed functioneren van bepaalde services of websites onmogelijk maken. Als de aanval van één computer komt, dan spreekt men van Denial of Service of DoS. Als de aanval van meerdere computers komt dan spreekt men van Distributed Denial of Service of DDoS. De hacker zal bij verschillende computers inbreken om een programma te installeren, zoals een Trojan Horse, om zo een DoS uit te voeren vanuit meerdere computers tegelijk.
-
Bugs: Een besturingssysteem of Operating Systeem (OS) heeft zwakheden of kenmerken die kunnen uitgebuit worden door hackers. Hierdoor dat het belangrijk is steeds de laatste Service Pack te installeren en de laatste updates.
-
DNS: hierbij wordt een naam gekoppeld aan een IP-adres van een hacker.
-
Spoofing: een hacker vervalst het IP-adres van de afzender van het pakket, zodat de firewall denkt dat het pakket afkomstig is van een betrouwbare bron. Spoofing kan verschillende motieven hebben.
-
Data aanvallen: bij deze aanvallen worden gegevens gewijzigd, gewist en gestolen.
Firewalls in een Security Policy of beveiligingsbeleid Een beveiligingsbeleid omvat veel meer dan firewalls alleen. Niet alleen hackers vormen gevaar voor het netwerk, maar beveiligingsproblemen kunnen ook door de interne werknemers veroorzaakt worden. Er moeten richtlijnen opgesteld worden voor de interne werknemers, dit voor het Internet gebruik en ook in verband met het omgaan met de bedrijfskritische data. Het beveiligingsbeleid formuleert hoe de organisatie zijn eigendommen beschermd. Dankzij dit beleid weet de netwerkbeheerder welke maatregelen hij moet nemen voor specifieke eigendommen die in verbinding staan met het Internet. Om een beveiligingsbeleid op te stellen, moeten volgende stappen doorlopen worden: -
Een team opstellen die het beleid maakt Dit moeten mensen die verstand hebben van de technologieën die gebruikt worden.
Firewalls en IDS
Pagina 47/80
-
Het bepalen van welke eigendommen er beschermd moeten worden Dit kan zowel hardware als software zijn. Dit is een continu proces.
-
Potentiële risico’s bepalen De mogelijke gevaren of de potentiële aanvallen moeten bepaalt worden.
-
De kans op een aanval bepalen De bronnen moeten in volgorde van belang gezet worden. Hier worden de kosten vermenigvuldigd met de kans op een aanval. De bronnen met de hoogste kosten verdienen de beste beveiliging.
-
Risico’s vermijden Het implementeren van oplossingen en richtlijnen, zoals het opzetten van een DMZ.
Een beveiligingsbeleid moet continu worden doorgenomen, omdat de eigendommen die beschermd moeten worden ook steeds veranderen. De richtlijnen hebben drie doelen: - Definieert wat mag en niet mag op het netwerk. - Definieert een overeenkomst tussen werkgever en werknemer. Aansprakelijkheid en juridische gevolgen voor werknemers zijn duidelijk omschreven. - Bepaalt de configuratie van de firewall.
Aanschaf van een firewall Er zijn verschillende criteria waarop je moet letten bij de aanschaf van een firewall -
Is de firewall gecertificeerd? De organisatie ICSA (International Computer Security Association) test commerciële beveiligingsproducten, waaronder firewalls. Een ICSA certificaat voor een firewall is een must.
-
Welke functionaliteiten heeft de onderneming nodig: Criteria die hierbij kunnen helpen zijn: nood aan een VPN, een goede beheersmodule, goede monitoring en logging, welke technologiëen er gebruikt worden.
-
Kwaliteit: Het is belangrijk dat de verkopers van de firewall op regelmatige basis patches en beveiligingsupdates aanbieden.
-
Performantie: De firewall moet al het netwerkverkeer aankunnen.
-
Prijs: De prijs kan enorm variëren. Dit kan afhangen van een licentiepolitiek. Ook kan de installatieprijs variëren naargelang de leverancier.
Firewalls en IDS
Pagina 48/80
Enkele belangrijke tools en websites A) Belangrijke tools In dit gedeelte som ik enkele tools op, die helpen je netwerk te beveiligen. 1) Sam Spade Dit programma speurt naar zoveel mogelijk informatie over een IP adres of DNS naam. Bijvoorbeeld door wie is die geregistreerd, de route tussen uw computer en het IP adres, tot welke ISP het IP adres behoort, enz.. 2) Nmap Dit is één van de meest bekwame poort scanners. De sterkte van Nmap is dat het verschillende technieken gebruikt om een netwerk in kaart te brengen. Bijvoorbeeld welke hosts er op het netwerk draaien, welke besturingssystemen er operationeel zijn en hoe firewalls geconfigureerd zijn. 3) Netstat Dit is een programma die inkomende en uitgaande netwerkconnecties, routetabellen en een aantal netwerk interface statistieken toont. 4) TCPView Is gelijkaardig aan Netstat, maar is beter weergegeven. 5) TDIMon Dit is een programma die een gedetailleerd overzicht geeft van alle programma’s op je computer die connecteren met het netwerk via TCP/IP. Je kan in real time zien welke programma’s en welke poorten er open staan. 6) FPort FPort lijst alle poorten die open staan op je computer en toont alle programma’s die deze poorten hebben geopend. Hiermee kan je een beter idee krijgen waarom bepaalde poorten openstaan en welke je kan sluiten met de firewall regels. 7) Snort Dit is een bekwaam intrusion detection systeem dat vooral goed werkt binnen kleinere netwerken. Snort doet aan real-time netwerktrafiek logging en analyse. Voor grotere netwerken kan je andere IDS’en evalueren zoals RealSecure. 8) Internet Scanner Dit programma zoekt naar kwetsbaarheden op de computers in uw netwerk. Hij geeft de actuele configuratie weer van de computers in uw netwerk. 9) Nessus Zoals Internet Scanner scant Nessus ook naar kwetsbaarheden op het netwerk, maar hij heeft een server en client component. Een server component die aanvallen pleegt op het netwerk en een client component waarmee je de server configureert. 10) Network Monitor Hiermee kan je netwerktrafiek loggen en analyseren. Is een product van Microsoft en is soms ingebakken in hun producten. Doet aan netwerk protocol analyse.
Firewalls en IDS
Pagina 49/80
11) Ethereal of Wireshark Doet aan netwerk protocol analyse. Is een goed alternatief voor Netwerk Monitor. 12) NetCat NetCat kan je beschrijven als een Zwitsers zakmes van netwerk tools. 13) Ping Met het ping commando kan je een diagnose maken over een netwerk connectie. 14) Tracert of traceroute Hiermee kan je het pad traceren dat netwerk pakketten afleggen tussen jouw computer en een andere computer. 15) Nslookup Met dit commando kan je DNS servers ondervragen voor troubleshooting. 16) Ipconfig of ifconfig Hiermee kan je de TCP/IP configuratie opvragen van een Windows of Unix computer. Winipcfg is een grafische versie voor Windows.
B) Belangrijke websites 1) The SANS Institute – www.sans.org SANS staat voor System Administration, Networking, and Security. Deze website levert veel informatie over beveiliging. SANS is vooral gericht op onderzoek en opleiding, en is vooral gereputeerd als een betrouwbare en actuele bron betreffende security alerts en nieuws. 2) CERT/CC – www.cert.org CERT/CC staat voor Computer Emergency Response Team Coordination Center. Bij CERT/CC werken 50 security professionals. Ze bieden advies en actuele informatie betreffende beveiligingsproblemen aan bedrijven en individuen. 3) InfoSysSec Security Portal – www.infosyssec.org InfoSysSec staat voor Information System Security en ze noemen zichzelf ook wel de Security Portal for Information System Security Professionals. Dit is één van de belangrijkste websites met een hele grote verzameling aan informatie. 4) Microsoft Security - www.microsoft.com/security/ Dit is de website van Microsoft betreffende hun security issues. In InfoSysSec Security Portal kan je links vinden naar de andere vendors. 5) ICSA Labs – www.icsalabs.com ICSA Labs is een onderdeel van TruSecure Corporation die firewalls evalueert en certifieert. Zij zetten standaarden voor commerciële security producten. ICSA labs wordt aanzien als de ultieme gezaghebber betreffende firewalls. Alle grote firewall verkopers laten hun producten onderzoeken en trachten een ICSA certificaat te verkrijgen. 6) SecurityFocus – www.securityfocus.com SecurityFocus is een onderdeel van Symantec Corp, die security info diensten aanbiedt. Is één van de beste websites voor het vinden van info over security kwetsbaarheden en goede nieuwsbrieven
Firewalls en IDS
Pagina 50/80
7) Computer Security Institute - www.gocsi.com Computer Security Institute (CSI) werkt ook met lidmaatschap. Maar je vindt hier ook veel gratis informatie. Hij bevat een heel interessant gedeelte over firewalls waar je bijvoorbeeld firewall producten kan vergelijken, hoe je firewalls kan testen en hoe je eventueel zelf een firewall kan bouwen. 8) ISAServer.org – www.isaserver.org Deze website verzamelt alle informatie over het Microsoft Firewall product ISA Server. Er bestaan natuurlijk ook andere websites over specifieke firewall producten. 9) Internet Firewall: FAQ - www.interhack.net/pubs/fwfaq/ Vrijwilligers hebben hier een compilatie gemaakt van de meest gestelde vragen in verband met firewalls, met hun antwoorden. Meestal gaat het hier over basisinformatie. 10) The Firewall Wizards mailing list https://honor.icsalabs.com/mailman/listinfo/firewall-wizards Is een nieuwsbrief die onderhouden wordt door TruSecure Corparation van ICSA Labs.
Protocol en poort lijsten Om filters in te stellen op een firewall moet je de verschillende protocol en poort nummers kennen die gebruikt worden in het IP protocol suite A) IP protocol nummers Een lijst van de protocol nummers kan je op volgende webpagina terugvinden: http://www.iana.org/assignments/protocol-numbers/ B) ICMP type nummers Een lijst van de ICMP type nummers kan je op volgende webpagina terugvinden: http://www.iana.org/assignments/icmp-parameters C) TCP en UDP poort nummers Er wordt een onderscheid gemaakt tussen 3 categorieën: -
Well Known Ports(0-1023): deze zijn toegewezen door IANA Registered Ports (1024-49151): deze zijn geregistreerd bij IANA Dynamic and Private Ports (49152-65535): de poorten in deze range zijn niet geregistreerd en ieder programma kan deze poorten gebruiken.
Een lijst van Well Known Ports en Registered ports kan je op volgende webpagina terugvinden: http://www.iana.org/assignments/port-numbers The Internet Assigned Numbers Authority (IANA) is de instelling dat het beheer voert over de publieke IP adressen, de DNS root zones en andere Internet protocollen.
Firewalls en IDS
Pagina 51/80
Deel 2: Intrusion Detection en Intrusion Prevention Intrusion Detection omvat een grote waaier aan categorieën en technieken. De meest voorkomende benaderingen zijn het bepalen of een systeem is geïnfecteerd door virussen of malicious code, kwaadaardige code, en het toepassen van methodes om intrusions, inbraken, op het netwerk te detecteren.
1) De Antivirus benadering Virus scanning en virus preventie technieken worden gebruikt om te voorkomen dat belangrijke bronnen in het netwerk worden overgeleverd aan virussen. a) Virus scanners Virus scanners gebruiken patroonvergelijkende algoritmes die kunnen scannen naar verscheidene signatures, handtekeningen, tegelijk. Deze algoritmes zijn bekwaam om bekende en onbekende worms en Trojan Horses te ontdekken. Deze producten scannen op harde schijven naar virussen, en indien ze die ontdekken, stoppen ze die in quarantaine of worden ze verwijderd. De antivirus software downloadt ook signatures, handtekeningen, van nieuw ontdekte virussen om de bestaande database up to date te houden. b) Virus prevention Virus preventie software monitort systeemactiviteit en filtert op inkomende bestandstypes, zoals uitvoerbare bestanden. Wanneer een virus een programma op de boot sector probeert te benaderen, wordt de gebruiker geïnformeerd en gevraagd of hij de kwaadaardige code wenst te verwijderen.
2) IDS en IPS Een intrusion is een actieve opeenvolging van verwante gebeurtenissen die opzettelijk proberen te schaden. Deze definitie bevat zowel succesvolle als onsuccesvolle pogingen. De IT security professional bekijkt deze informatie om een beter inzicht te krijgen op de beveiliging van zijn netwerk. Dit kan door het zetten van sensors voor en achter de firewall. De sensors loggen het netwerkverkeer en onderzoeken die. Daarna kan de verworven informatie vergeleken worden om relaties te ontdekken. IDS Een intrusion-detection system (IDS) kan gedefinieerd worden als het geheel van tools, methoden en middelen die gebruikt worden om onbevoegde en niet geautoriseerde netwerkactiviteit te helpen identificeren, evalueren en verslag over uit te brengen. Hierbij rekening houdende met de definitie van een intrusion die zowel succesvolle als onsuccesvolle pogingen omvat. Een intrusion detection systeem is meestal een onderdeel van een globaal beveiligingssysteem. Een firewall kan vergeleken worden met gesloten deuren, intrusion detection als alarmsystemen en intrusion prevention als waakhonden. Laten we de situatie bekijken van een huis waarin er waardevolle documenten zich bevinden. Deze worden beveiligd met hekkens rond het domein, een alarm systeem, gesloten deuren en beveiligingscamera’s. De gesloten deuren stoppen niet Firewalls en IDS
Pagina 52/80
geautoriseerde individuen. Zij zullen u niet alarmeren bij een mogelijke inbraak, dit doet het alarmsysteem. Maar het alarmsysteem voorkomt een inbraak niet, dit kan wel bekomen worden door de waakhonden die de inbreker tegenhouden. Hoe deze verschillende technologieën geplaatst zijn in het netwerk bepaalt grotendeels de verhoogde beveiliging van uw netwerk. Het is belangrijk een beveiliging te hebben in verschillende lagen, een defense in depth, met elke zijn eigen functie, die complementair zijn aan het globaal beveiligingssysteem. IDSen werken op de netwerklaag van het OSI model, en passieve netwerk sensors worden geplaatst op kritische punten in het netwerk. Ze analyseren netwerk pakketten om bepaalde patronen terug te vinden in het netwerkverkeer. Als er een bepaald patroon wordt teruggevonden, wordt er gealarmeerd naar de netwerkbeheerder toe en een bepaalde actie kan ondernomen worden. Zoals je kan zien is een IDS gelijkaardig met een antivirus software door het feit dat ze door gebruik te maken van gekende handtekeningen, patronen in het verkeer herkennen en zo kwaadaardige code kunnen ontdekken. Types IDS IDSen kunnen onderverdeeld worden in 3 categorieën a) Network-Based IDS (NIDS) Een NIDS systeem monitort het netwerkverkeer op een netwerksegment. Meestal gaat het om een netwerkapparaat met een netwerkkaart in promiscuous mode, die alle netwerkpakketten in real time ontvangt en analyseert. Ook kan er gebruik gemaakt worden van port mirroring of taps. Een network-based IDS gebruikt hierbij sensors, die zich bevinden in het netwerksegment. De meeste NIDS hebben de mogelijkheid activiteiten te loggen en te rapporteren of te alarmeren bij bepaalde gebeurtenissen. b) Host-Based IDS (HIDS) Een HIDS systeem gebruikt kleine programma’s, intelligente agents, die zich bevinden op een host. Ze monitoren en scannen alle bronnen op een host. Sommige scannen enkel de event logs en syslog. Elke ongewenste activiteit wordt gelogd in een database. Deze worden dan vergeleken met de knowledge base van de HIDS om eventueel kwaadaardige activiteiten te ontdekken. Bij een HIDS wordt enkel gezocht naar ongewenste activiteit op de host, dus niet van het ganse netwerksegment. Een host-based IDS kan het system en de event logs inspecteren om een aanval te detecteren op de host, en bovendien vaststellen of de aanval succesvol was of niet. Een HIDS heeft in het algemeen volgende eigenschappen: -
Ze monitoren de toegang tot en aanpassingen op kritische systeem bestanden en veranderingen in gebruikers privileges. Ze kunnen beter insider attacks ontdekken dan een NIDS. Ze zijn relatief doeltreffend in het detecteren van aanvallen van buitenaf. Ze kunnen geconfigureerd worden om te kijken naar alle netwerkpakketten, connectie -of inlogpogingen op de host.
Firewalls en IDS
Pagina 53/80
c) Hybrid IDSs Een hybrid IDS combineert een HIDS, die de gebeurtenissen monitort op een host, met een NIDS, die het netwerkverkeer monitort. Network-Based vs Host-Based IDSs Hier bekijken we even de verschillen tussen de twee hoofdtypes IDS. NIDS Bekijkt alle netwerkactiviteit Gemakkelijke setup Beter in het detecteren van aanvallen van buitenaf Minder duur Het ontdekken is gebaseerd op wat er kan opgenomen worden op gans het netwerk. Bekijkt pakket headers. OS onafhankelijk. Ontdekt netwerkaanvallen. Ontdekt onsuccesvolle aanvalspogingen.
Firewalls en IDS
HIDS Bekijkt enkel bepaalde host activiteiten Complexe setup Beter in het detecteren van aanvallen van binnenuit. Duurder Het ontdekken is gebaseerd op wat er kan opgenomen worden op één enkele host. Ziet geen pakket headers. OS afhankelijk Ontdekt lokale aanvallen vooraleer ze gans het netwerk teisteren. Controleert het succesvol of niet succesvol zijn van aanvallen.
Pagina 54/80
Het basisproces van een IDS Het basisproces van een IDS bevat het passief verzamelen van data, het voorbewerken en klasseren. Een statistische analyse kan gedaan worden om te kijken of de informatie binnen normale activiteit valt of niet. Als het buiten de normale activiteit valt wordt deze vergeleken met een knowledge base. Als er hier een gelijkenis gevonden wordt kan er een alarm uitgezonden worden.
Fig. Een Standaard IDS systeem
IPS Intrusion-prevention systems (IPSs) zitten inline op het netwerk en monitoren het netwerkverkeer. En als er zich een gebeurtenis voordoet, onderneemt het acties gebaseerd op voorgeschreven regels. Dit is het verschil met IDS die niet inline zitten in het netwerk en passief zijn. Een IPS kan evenals een IDS opgedeeld worden in een host-based IPS (HIPS) en een network-based IPS (NIPS).
Gebruikersacties moeten overeenkomen met de acties die voorgedefinieerd zijn in de knowledgebase. Als de actie niet op de lijst staan van toegelaten acties, zal de IPS de actie tegenhouden. Bij een IPS wordt in tegenstelling tot de IDS eerst gekeken naar welke actie er uitgevoerd zal worden, vooraleer die uitgevoerd wordt. Andere IPS methodes gebruiken file checksums, om te kijken of het uitvoeren van een programma toegelaten wordt of niet. Firewalls en IDS
Pagina 55/80
Het basisproces van een IPS Een IPS bestaat typisch uit vier hoofdcomponenten:
Traffic normalizer Service scanner Detection engine Traffic shaper
De traffic normalizer interpreteert het netwerkverkeer en doet aan pakket analyse en hersamenstelling, alsook bepaalde basis blokkeerfuncties. Daarna gaat het verkeerverkeer naar een detection engine en een service scanner. De service scanner bouwt een referentietabel die de informatie klasseert en help de traffic shaper de informatiestroom te beheren. De detection engine doet aan patroon vergelijking ten opzichte van de referentietabel. En de passende reactie wordt bepaalt.
Fig. Een standaard IPS systeem
Firewalls en IDS
Pagina 56/80
IDS vs IPS IDS en IPS technologieën hebben hun eigen functies en plaats in het globaal beveiligingssysteem. In de volgende tabel proberen we het verschil tussen beide systemen wat duidelijker te maken. IDS Geïnstalleerd op netwerk segmenten (NIDS) en op hosts (HIDS) Bevindt zich passief op het netwerk. Kan versleuteld netwerkverkeer niet ontleden. Centraal beheer. Beter in het detecteren van hackers aanvallen.
Reactief product. Alarmeert bij het detecteren van.
IPS Geïnstalleerd op netwerksegmenten (NIPS) en op hosts (HIPS) Bevindt zich inline op het netwerk. Niet passief. Is beter in het beveiligen van applicaties. Centraal beheer. Ideaal voor het blokkeren van web defacement. Dit is het vervormen van een website. Proactief product. Het blokkeert bepaalde activiteit.
Het verzamelen van data in een switched netwerk Er zijn twee belangrijke manieren op data te verzamelen op een switched netwerk: -
Port mirroring of spanning: Hier wordt een kopie van inkomende en uitgaande pakketten naar een poort gezonden waar de pakketten kunnen geanalyseerd worden.
-
Network taps: Deze worden direct in-line geplaatst in het netwerkverkeer. Zij kopiëren de inkomende en uitgaande pakketten en zetten ze terug op het netwerk.
Beide methodes hebben hun voor –en nadelen.
Waarom is IDS en IPS belangrijk IDS en IPS zijn belangrijk voor kleine en grote organisaties. Ze bieden vele voordelen: -
-
Grotere bekwaamheid bij het detecteren van intrusions, dan dat je het manueel zou moeten doen Ze kunnen zich baseren op knowledge bases Bijna real time alarmerende mogelijkheden die helpen om mogelijke schade te beperken Ze kunnen grote volumes data aan Geautomatiseerde antwoorden zijn mogelijk, zoals het uitloggen van gebruikers, uitschakelen van een gebruikersaccount of het starten van scripts. Ingebouwde forensische bekwaamheden. Een forensisch onderzoek is sporenonderzoek dat gedaan wordt ten behoeve van strafrechtelijk onderzoek. Het help bij opsporen van daders of oorzaken van misdrijven. Sterke afschrikwaarde Ingebouwde rapportagemogelijkheden
Firewalls en IDS
Pagina 57/80
Dit zijn allemaal goede redenen om deze technologieën te implementeren, maar er zijn drie hoofdredenen waarom deze zouden moeten geïmplementeerd worden: -
Wetten en regelgevingen: Er zijn wetten en regelgevingen die bepalen dat in bepaalde organisaties bepaalde technologieën vereist zijn of niet, ter beveiliging van informatie.
-
Kwantificering van aanvallen: IDS en IPS laten de systeembeheerder toe een profiel te bepalen van de types aanvallen tegen zijn netwerk. Hierop kan hij bepaalde maatregelen treffen om zijn netwerk beter te beveiligen. Ze kunnen ook bewijs leveren in rechtzaken.
-
Defense-in-depth beveiliging: IDS en IPS zijn een kritisch onderdeel geworden van een defense-in-depth beveiligingsprogramma. Zij tonen namelijk aan dat de organisatie proactief en reactief is bij verwachte intrusions. Beide technologieën helpen bij de beveiliging van applicatie en netwerk laag kwetsbaarheden, en helpen bij het correleren en valideren van informatie van andere netwerkapparaten, zoals antivirusprogramma’s, firewalls en routers.
IDS en IPS analyse schema’s In de context van IDS en IPS is analyse de organisatie van data en hun onderlinge samenhang om belangrijke afwijkende activiteit te detecteren.
Fig. Relatie tussen gewone en afwijkende activiteit
De anatomie van intrusion analyses Er zijn veel analyse schema’s. Om ze beter te kunnen begrijpen wordt een analyse proces opgedeeld in vier fases. 1. Preprocessing Dit een belangrijke fase na het verzamelen van de data door de IDS of IPS sensor. De data wordt in een bepaald formaat gezet, waarna ze opgedeeld worden in classificaties. De classificaties variëren naargelang welk analyse schema er gebruikt wordt. Bijvoorbeeld bij rule-based detectie wordt er ingedeeld volgens bepaalde patronen en regels. Bij anomaly detection wordt een afwijking statistisch berekend. De verzamelde gegevens worden samengevoegd in een bepaald detectie sjabloon. 2. Analysis In de analyse fase wordt deze data record vergeleken met de knowledgebase. Hier wordt gekeken of het om een intrusion gaat of niet. Indien dit zo is wordt het record gelogd. Firewalls en IDS
Pagina 58/80
3. Response De manier waarop gereageerd wordt op het ontdekken van een intrusion is het grote verschil tussen een IDS en een IPS. Bij IDS verkrijg je de informatie nadat de intrusion heeft plaats gevonden, waarna een alarm kan gezonden worden en een bepaalde tegenactie kan ingezet worden. Bij IPS staan de sensoren inline en kan real time preventie gebeuren door middel van een automatisch antwoord. 4. Refinement Hier gebeurt het fine tunen van je IDS of IPS systeem. Dit is een belangrijke fase omdat je hier op basis van voorgaand gebruik en ontdekken van intrusions, je IDS of IPS beter kan instellen om zo false-positives te verlagen. Dit wil zeggen het aantal valse alarmen reduceren. Deze fase bepaalt de kwaliteit van je systeem. A) Rule-Based Detection (Misuse Detection) Rule-based detection wordt ook signature detection, pattern matching, misuse detection of knowledge-based detection genoemd. In een signature-based IDS wordt er gebruik gemaakt van een attack signature database. Deze bevat alle handtekeningen, patronen of eigenschappen van gekende aanvallen. De data die verzameld is door de sensoren wordt met deze database vergeleken. Als er gelijkenis gevonden wordt, wordt er een actie gestart. Deze methode wordt het meest gebruikt. De voordelen van deze methode zijn: - Een laag percentage valse alarmen - Is gestandaardiseerd en begrijpbaar voor de netwerkbeheerder Enkele nadelen van deze methode zijn: - Kan langzame aanvallen niet ontdekken. - Enkel aanvallen worden ontdekt die opgenomen zijn in de database. - Is arbeidsintensief. De database moet continu up to date gehouden worden. - Nieuwe, unieke of originele aanvallen worden niet ontdekt
B) Profile-Based Detection (Anomaly Detection) Profile-Based Detection wordt ook anomaly detection, statistical anomaly of behaviorbased detection genoemd. Bij deze methode verzamelt de IDS gegevens en definieert een normaal gebruiksprofiel van het gemonitorde netwerk of host. Dit profiel is gebaseerd op een periode van normaal gebruik. Een behavior-based IDS leert normaal gedrag van de gebruikers en de systemen en gaat ervan uit dat een intrusion kan gedetecteerd worden door afwijkend gedrag te bekijken. Een groot verschil met andere analyse schema’s is het feit dat het toegelaten en niettoegelaten activiteiten definieert. Een ander kenmerk is dat het zowel statistisch gedrag en karakteristiek gedrag verzamelt. Statistisch is kwantitatief, karakteristieken zijn meer kwalitatief. Statistisch is als bijvoorbeeld het UDP trafiek normaal niet meer dan 25% bedraagt, terwijl karakteristiek gedrag bijvoorbeeld iemand die normaal nooit FTP gebruikt en die dit opeens toch doet.
Firewalls en IDS
Pagina 59/80
Profile-based analyse kan opgedeeld worden in drie categorieën: -
Behavioral analyse: Zoekt naar afwijkingen in gedrag die statistisch zijn uitgelijnd.
-
Traffic-pattern analyse: Zoekt naar specifieke patronen in het netwerkverkeer.
-
Protocol analyse Zoekt naar schendingen in het gebruik van netwerk protocollen
De voordelen van profile-based detection zijn: - Het systeem kan zich dynamisch aanpassen naar nieuwe, unieke en originele kwetsbaarheden. - Is niet zo afhankelijk van het besturingssysteem waarop het draait - Ze kunnen misbruik van gebruikersprivileges detecteren Enkele nadelen van deze methode zijn: - Het kan geen aanval detecteren die geen significant verschil veroorzaakt aan het besturingssysteem - Wordt gekenmerkt door een hoge valse alarm ratio. - Het gedrag van de gebruikers kan niet statisch genoeg zijn om een behaviorbased IDS op te zetten. - Het kan zijn dat een aanval gebeurt terwijl dat het systeem zijn profiel aan het maken is.
C) Target Monitoring Target monitoring systemen zullen rapporteren wanneer bepaalde doelobjecten gewijzigd worden. Dit gebeurt door gebruik te maken van cryptochecksums voor elke doelbestand. De IDS rapporteert iedere aanpassing van deze cryptochecksums. Tripwire software voert target monitoring uit. Zij alarmeren bij aanpassingen aan configuratiebestanden. Automatisch herstel van aanpassingen is mogelijk. Voordeel van deze aanpak is het feit dat de doelbestanden niet continu gemonitord moeten worden. D) Stealth Probes Stealth probes wordt ook wel wide-area correlation genoemd. Het is een hybride aanpak die gebruik maakt van andere detectie methodes. Stealth probes correleren gegevens uit een waaier van bronnen om te proberen aanvallen te detecteren die verspreid gebeuren over een lange periode. Deze aanvallen worden ook wel “low and slow attacks” genoemd. E) Heuristics De term heuristics verwijst naar Artificial Intelligence (AI). In theorie zal een IDS afwijkingen identificeren om intrusions te detecteren, en zal na verloop van tijd leren wat normaal gedrag is. Bij heuristics wordt een AI scripting taal gebruikt om intrusions te detecteren.
Firewalls en IDS
Pagina 60/80
F) Hybrid Approach Elke methode heeft zijn voor –en nadelen. Met een hybride aanpak kan u zich beter wapenen tegen complexe aanvallen, omdat die een combinatie van verschillende detectiemethodes gebruikt.
IDS en IPS architectuur IDS en IPS systemen hebben in feite maar één programma of device nodig, maar dit voldoet meestal niet om doeltreffend te werken en zeker niet als het gaat om grotere bedrijven. Meestal worden er meerdere systemen geïmplementeerd met verschillende componenten die elk hun specifieke functie vervullen. De term architectuur verwijst naar de functies uitgevoerd door en de relaties tussen verschillende machines, netwerkapparaten, programma’s, processen, en de communicatie tussen elk. De architectuur is één van de meest kritische overwegingen bij intrusion detection en prevention. Een doeltreffende architectuur is één waarbij elke machine, apparaat, component en proces zijn rol doeltreffend uitoefent op een gecoördineerde manier, resulterend in een efficiënte informatieverwerking en output, en ook met passende preventieve antwoorden reageren die tegemoet komen aan de zakelijke en operationele noden van een bedrijf. Een slechte architectuur kan veel ongewenste gevolgen hebben zoals gegevens die niet beschikbaar zijn, het netwerk die traag is, enz... Dit hoofdstuk behandelt de verschillende architecturen, en bekijkt de verschillende componenten die in een IDS en IPS voorkomen. Architectuur types Er zijn 3 types architecturen die veel gebruikt worden: A) Single-Tiered Architectuur Bij een single-tiered architectuur verzamelen en verwerken de componenten van de IDS en IPS de gegevens zelf, in plaats van de verzamelde gegevens door te sturen naar een andere set componenten om die verder te verwerken. Deze architectuur heeft als voordelen dat het eenvoudig is, goedkoop en onafhankelijk is van de andere componenten. Aan de andere kant is deze architectuur weinig efficiënt en is het niet aan te raden in complexe situaties. B) Multi-Tiered Architectuur In een multi-tiered architectuur worden er verscheidene componenten gebruikt die informatie met elkaar uitwisselen. De meeste IDS’en bevatten volgende drie componenten: sensors, analyzers of agents en een manager of beheerstool. Sensors verzamelen de gegevens. Netwerk sensors kunnen data verzamelen van netwerk interfaces, maar ze kunnen ook kun gegevens halen uit systeem logs en andere bronnen, zoals firewalls.
Firewalls en IDS
Pagina 61/80
De sensors sturen hun informatie door naar de agents of analyzers. De agents proberen aanvallen die bezig zijn of gebeurd zijn te detecteren. Meestal zijn de agents en sensoren geconfigureerd om maar één bepaalde specifieke taak uit te voeren. Bijvoorbeeld enkel het onderzoeken van TCP verkeer. Wanneer een aanval is gedetecteerd zal de agent informatie doorsturen naar het manager component, die verscheidene functies kan uitoefenen: - Verzamelen en tonen van alarmen in een console - Een pager of telefoon laten afgaan - Informatie betreffende het incident opslaan in een database - Meer informatie verzamelen betreffende het incident - Informatie sturen naar een host om bepaalde taken te stoppen - Commando’s sturen naar een firewall of router om de Access Control Lists (ACL) aan te passen - Een management console, een gebruiksvriendelijke gebruikersinterface voor het manager component. Een centraal verzamelpunt vergemakkelijkt de analysering van de logs. Ook is het veiliger om die op een andere plaats te stockeren dan de plaats waar die geproduceerd zijn. Als een aanvaller de gegevens wist op het oorspronkelijke systeem, zijn de gegevens nog beschikbaar in het centrale verzamelpunt. Een management console maakt het de netwerkbeheerder mogelijk om centraal dingen te beheren, zoals logs wissen, policies te veranderen, zonder zich te moeten autenticeren op de sensors, agents of de andere remote systemen.
Fig. Multi-tiered Architectuur Voordelen van deze architectuur zijn de grotere efficiëntie en betere analyse, dit doordat elk component een welbepaalde functie uitoefent. Nadelen zijn vooral de kosten en de complexiteit van het beheren.
Firewalls en IDS
Pagina 62/80
C) Peer-to-Peer Architectuur Bij een peer-to-peer architectuur wordt er informatie uitgewisseld tussen gelijke componenten, die dezelfde functies uitoefenen. Dit wordt veel gebruikt bij firewalls, als hij informatie bekomt over bepaalde gebeurtenissen, stuurt hij die door naar een andere firewall, waardoor het kan zijn dat deze firewall zijn ACL’s aanpast. Er is geen centraal verzamelpunt. Het grootste voordeel van deze architectuur is de eenvoud. Het grootste nadeel is de afwezigheid van gespecialiseerde componenten. Een peer-to-peer architectuur is een goede oplossing waarbij er geen geld aanwezig is voor een IDS of IPS systeem. Een firewall is de plaats waar de meest waardevolle informatie wordt verzameld betreffende intrusions. Doordat de firewalls kunnen informatie uitwisselen en actie ondernemen op basis van deze informatie, wordt er zo toch een waardevolle bescherming tegen intrusions gecreëerd.
IDS en IPS componenten Sensors Sensors zijn kritisch componenten in IDS en IPS architecturen, ze zijn namelijk het beginpunt van het systeem. Ze verzamelen de data, waaruit er kwaadaardige aanvallen kunnen ontdekt worden en voorkomen. We bekijken hun functionaliteit, hoe ze geplaatst worden en welke beveiliging ze moeten krijgen, zo krijgen we ook meer zicht over wat sensors zijn en hoe ze werken. A) Sensor functies Sensors zijn gemaakt om bepaalde gegevens te verzamelen en deze door te sturen. Er zijn twee types sensoren: -
Network-Based Sensors: In dit geval worden de sensors, programma’s of netwerkapparaten, in een netwerksegment geplaatst, zodat ze al het inkomende en uitgaande netwerkverkeer in een netwerksegment kunnen monitoren. Tcpdump en libpcap zijn meestal de programma’s die gebruikt worden als sensors in de IDS en IPS tools. Beide zijn open source.
-
Host-Based Sensors: Dit zijn meestal programma’s die log gegevens produceren, zoals Unix daemons of Windows Event Logger. De output wordt gezonden naar een analyse programma dat ofwel op dezelfde host draait of op een centrale host.
B) Overwegingen bij het plaatsen van sensoren Programma’s die gegevens verzamelen of lezen hebben nood aan bepaalde gebruikersprivileges of toegangsrechten. De hoeveelheid data die kan gestockeerd worden is meestal beperkt, dus moeten er bepaalde maatregelen getroffen worden.
Firewalls en IDS
Pagina 63/80
Host-based sensors bieden specifiekere informatie voor analyse, omdat de gegevens die verzameld zijn, gaan over een welbepaalde host. Netwerk-based sensors bieden een grotere waaier aan informatie over een bepaald netwerksegment. Netwerk-based sensors worden meestal geplaatst aan netwerkkaarten die in promiscuous mode staan. Er zijn enkele beperkingen bij netwerk-based sensors: a. Throughput rate: een sensor kan maar een bepaalde hoeveelheid aan gegevens verwerken. Een oplossing voor dit probleem is het gebruik van filters binnen de sensoren. En het verdelen van het te ontvangen verkeer over verschillende sensoren. Bijvoorbeeld bepaalde sensoren bekijken maar TCP verkeer en andere sensoren UDP verkeer. b. Promiscous mode niet altijd mogelijk, speciale oplossingen nodig: Bijvoorbeeld in switched netwerken moet er gebruik gemaakt worden van spanning ports of door het aftappen van het netwerkverkeer. c. Versleuteld netwerkverkeer: Sensoren hebben hier problemen mee. Een oplossing hiervoor is het plaatsen van de sensor op het eindpunt van de communicatie, zodat alles in clear text kan bekeken worden. De nadelen van een host-based sensor omvatten de kosten, ze bekijken maar één bepaalde host, verbruikt veel systeembronnen, en de sensor kan uitgezet worden zonder dat men dat wil. Sensors kunnen geplaatst worden buiten externe firewalls, binnenin of op beide plaatsen. - Het is aangeraden een netwerk-based sensor te plaatsen binnen elke DMZ. Het is aangeraden een host-based sensor te plaatsen op kritische servers binnen een DMZ. Een hybride aanpak voor het plaatsen van sensoren is de beste! Hierbij worden er netwerk-based sensoren geplaatst zowel aan externe gateways als aan gateways naar subnetten of VLAN’s én host-based sensoren waar ze het meest gewenst zijn.
Firewalls en IDS
Pagina 64/80
Fig. Een hybride aanpak bij het plaatsen van sensors. Bij deze aanpak zijn we zeker dat we alle gegevens verzamelen die naar buiten gaan én binnenkomen in ons netwerk, alsook van het intern verkeer. Als de sensor op de externe gateway uitgeschakeld is, kan er nog gegevens verzameld worden binnenin het netwerk. Alhoewel de netwerk-based sensors op de externe gateways weinig informatie bieden over inside attacks, kunnen de netwerk-based sensors in het interne netwerk dit veel beter. Tegelijkertijd moeten er host-based sensors geplaatst worden op de bedrijfskritische systemen, zodat we de informatie hebben om te bepalen of een aanval succesvol heeft plaatsgevonden. In het geval van een IPS kan de kwaadaardige code gestopt worden. Als een host-based sensor is uitgeschakeld kan een network-based sensor nog bepaalde informatie leveren over aanvallen op individuele hosts.
C) Veiligheidsoverwegingen Sensors worden het meest aangevallen. Men kan een DoS veroorzaken door het injecteren van valse informatie. Soms kan de aanvaller ook bepaalde informatie vinden die het hem mogelijk maakt het complete IDS en IPS systeem plat te leggen. a. Een sensor moet zeer goed beveiligd zijn. Dit wil zeggen door het toepassen van strikte bestandspermissies, privileges, toegangsrechten, het aantal services die draaien op het toestel zelf beperken en patches moeten up to date zijn. b. Men moet op de hoogte gebracht worden als een sensor is uitgeschakeld Een IDS of IPS moet op regelmatige tijdstippen zijn sensoren overlopen om te verzekeren dat ze allemaal nog draaien. c. Er moet een beveiligd communicatiekanaal bestaan tussen de verschillende componenten. Dit maakt het een aanvaller onmogelijk om data te onderscheppen.
Firewalls en IDS
Pagina 65/80
Agents De volgende overwegingen in een IDS en IPS architectuur zijn die betreffende de agents. In dit deel bekijken we hun functies, de overwegingen bij het plaatsen van de agents en enkele veiligheidsoverwegingen. 1. Agent functies Een agent kan gedefinieerd worden als een groep processen die onafhankelijk van elkaar opereren en die geprogrammeerd zijn om systeemgedrag en netwerkgebeurtenissen te onderzoeken of beiden, dit om afwijkend gedrag en inbreuken op een beveiligingsbeleid te detecteren. Elke agent voert een specifieke taak uit, bijvoorbeeld het analyseren van maar bepaalde data, zoals TCP-verkeer of UDP-verkeer. Een agent opereert ook onafhankelijk van een andere agent. Agents kunnen gemakkelijk bijgevoegd of verwijderd worden. Agents kunnen wel samenwerken. Elke agent ontvangt en analyseert maar een bepaald gedeelte van de gegevens betreffende een bepaald systeem, netwerk of apparaat. De agenten delen hun informatie. Als een agent een afwijkend gedrag detecteert wordt deze gecommuniceerd aan de andere agents. Zo kan het zijn dat een andere agent ook informatie bevat over een aanval. Soms worden er valse alarmen gegenereerd en worden deze ook gecommuniceerd tussen de agents. Maar bij goede IDS en IPS systemen kan je die in de management console verwijderen. De voornaamste taak van een agent is het analyseren van de input verkregen van de sensors. Een agent moet de volgende drie functies of componenten bevatten: a. Een communicatie interface om te kunnen communiceren met de andere componenten van de IDS of IPS. b. Een listener die op de achtergrond wacht op de data, die komt van de sensors en de berichten afkomstig van andere agents, en die deze dan ook ontvangt. c.
Een zender dat data en berichten doorstuurt naar de andere componenten, gebruik makende van bepaalde communicatieprotocollen.
Een agent kan ook meer geavanceerde functies uitoefenen zoals het correleren van verschillende data afkomstig van verschillende bronnen, het zelf initiëren van alarmen en het opzoeken van meer informatie in verband met een aanval. Maar het best is dat een agent zich bezig houdt met zijn primaire taken, en deze taken over te laten aan de management console.
B) Overwegingen bij het plaatsen van agents Iedere agent moet geconfigureerd worden volgens de omgeving waarin het draait. In host-based intrusion detection monitored een agent meestal één host. Maar zoals reeds aangekaart, gebeurt het soms dat sensoren data doorsturen naar één of meerdere centrale agents. Dus hier is het dilemma het kiezen van de te beschermen hosts dezelfde als het plaatsen van de host-based agent. Normaal gezien wordt er geopteerd voor de
Firewalls en IDS
Pagina 66/80
bedrijfskritische hosts, maar het kan ook zijn dat men verspreide hosts kiest in het netwerk om network-based intrusion detection te ondersteunen. In network-based intrusion detection, worden agents meestal op twee locaties geplaatst: a. Waar ze het meest efficiënt zijn. Efficiëntie is gerelateerd aan de plaats waar connecties zijn geplaatst tussen de sensors en de andere componenten. Hoe dichter de agents en de sensors kunnen opereren, hoe efficiënter. b. Waar ze voldoende veilig zijn. Bijvoorbeeld achter een firewall. Het tunen van agents is een zeer complex gegeven. Men wenst dat er zoveel mogelijk afwijkend gedrag herkend word (positive recognition rate), terwijl men ook zo weinig mogelijk valse alarmen wenst te verkrijgen. Meestal wordt bij het fijnstellen toch gekozen om die valse alarmen te tolereren, opdat men geen afwijkend gedrag zou kunnen missen.
C) Veiligheidsoverwegingen De dreiging bij het overmeesteren van een agent is zeer gevaarlijk. Agents zijn veel intelligenter dan sensors. Als een aanvaller de agent overmeestert, kan de analyse worden ondermijnd, maar ook kan hij meer informatie verzamelen waarmee hij de andere componenten van de IDS of IPS kan aanvallen. Volgende maatregelen helpen bij het beveiligen van de agents: a. Agents liggen verspreid over het netwerk, dit vooral bij network based IDS en IPS. Dit maakt het moeilijker om de agents te ontdekken. b. De agents hebben elk hun specifieke taak. Zodat de aanvaller bij het overmeesteren van een agent maar gedeeltelijke informatie bekomt. c.
Mobile agents. Dit maakt het ontdekken van de agents nog moeilijker.
d. Het gebruik van API’s (application programming interfaces) om de communicatie tussen agents te controleren. e. Het platform waarop ze draaien goed dichten:
Firewalls en IDS
Enkel gebruiken voor de agent functie. Als er andere services zouden draaien op het platform, kan de aanvaller hiermee zich toegang verlenen.
Het verkeer encrypteren. Alle netwerkverkeer tussen agents moet versleuteld zijn. En eventueel een digitale handtekening gebruiken.
De input filteren. Om zich te wapenen tegen Denial of Service Attacks kunnen filters overvloedige en repetitieve input tegenhouden.
Pagina 67/80
Manager Component Dit is het laatste component in een multi-tiered architectuur, dit wordt ook wel eens het server component genoemd. Dit component biedt de master control over een IDS of IPS. 1. Manager functies Alhoewel sensors en agents bekwaam zijn te werken zonder een master control, is het aanwezig zijn van de manager component zeker aan te raden om zo alle componenten op een gecoördineerde manier te laten samenwerken. De andere functies die hij uitoefent zijn de volgende: a. Data Management IDS en IPS kan grote hoeveelheden data verzamelen. Eén manier om hiermee om te gaan is het comprimeren, archiveren en periodiek verwijderen van al die gegevens. Deze manier van data beheer wordt niet echt aangeraden omdat de gegevens soms over een lange periode moeten aanwezig zijn om bepaalde aanvallen te kunnen detecteren. En als die gearchiveerd zijn of reeds gewist, wordt het lastig om nog verbanden te leggen tussen bepaalde feiten. Best zorg je voor genoeg schijfruimte. Een goede oplossing is RAID. Een ideale manier om je gegevens te ordenen en ter beschikking te stellen is het gebruik van relationele databanken. b. Alerting Een andere belangrijke functie van het manager component is het genereren van alarmsignalen als bepaalde bedreigingen zich voordoen. Normaalgezien gebeurd dit via e-mail of via de Unix syslog. Bij beide moet de boodschap versleuteld gebeuren, omdat als de aanvaller kan lezen dat er een alarmsignaal is doorgestuurd naar de netwerkbeheerder, hij zijn strategie kan aanpassen, bijvoorbeeld door zijn IP adres te veranderen. Bij syslog kan je ook een overzicht bekijken van alle alarmsignalen die in het verleden zijn uitgestuurd. c. Event correlation Een ander belangrijke functie is het correleren van gebeurtenissen om na te gaan of ze dezelfde bron hebben, of ze deel uitmaken van een serie verwante aanvallen. We bespreken dit later wat uitgebreider. d. High-level analysis Een andere functie die het manager component kan uitoefenen is een hogere vorm van analyse. Hij kan bijvoorbeeld de voortgang van iedere aanval opvolgen. Hij kan ook bijvoorbeeld de impact zien dat iedere dreiging kan hebben en instellen vanaf welk moment er een alarmsignaal moet uitgezonden worden. e. Monitoring van de andere componenten De centrale beheerstool is het best geplaatst om te polsen of alle sensors en agents nog beschikbaar zijn. Er kan ook gepolst worden naar de gebruikte systeem –en netwerkbronnen om zo te zien of bepaalde systemen of netwerksegmenten niet bedolven worden.
Firewalls en IDS
Pagina 68/80
f.
Policy generation and distribution Een policy verwijst naar de instellingen die invloed hebben op het functioneren van de verscheidene componenten in het IDS of IPS systeem. Bij een IPS is dit enorm belangrijk. Bijvoorbeeld het manager component ontvangt informatie over een bedreiging vanuit een bepaald IP adres, een bepaalde policy wordt aangemaakt, en wordt verdeeld over de verschillende hosts, zodat er geen gegevens meer zouden ontvangen worden van dat bepaald IP adres.
g. Security Management and Enforcement Het beheren en handhaven van de veiligheid is één van de kritische punten die hij uitoefent. Dit wordt besproken onder “Veiligheidsoverwegingen” h. Management console Het leveren van een gebruiksvriendelijke gebruikersinterface is nog een andere functie. De Management console moet de kritische informatie tonen, zoals alarmen, de status van elk component, de gegevens van elk individueel pakket, audit log data, .. en de mogelijkheid bieden om elk deel van de IDS of IPS te kunnen controleren, bijvoorbeeld het uitzetten van een sensor als die verkeerde data doorspeelt.
B) Overwegingen bij het plaatsen van een manager component Dit component moet draaien op extreme high-end hardware en op een betrouwbaar besturingssysteem. Dit component moet altijd beschikbaar zijn, RAID en redundante servers kunnen hiervoor een oplossing bieden. Als dit component uitvalt, wordt gans het IDS of IPS systeem onbruikbaar! Waar je de management console gaat plaatsen hangt af van efficiëntie, met een minimale afstand van de agents, en van veiligheid.
C) Veiligheidsoverwegingen Meestal worden de sensors aangevallen. Dit kan wat problemen opleveren, maar als het centrale management component overmeesterd wordt is dit dramatisch. Dit kan resulteren in het uitschakelen van al de andere componenten, en het kan ook resulteren in het verwijderen van gegevens en alarmen die centraal zijn opgeslagen. Het is dus zeer aangewezen dit component met voldoende aandacht te beveiligen. Dit omvat het implementeren van maatregelen die DoS aanvallen voorkomen, zoals het installeren en configureren van een firewall op het platvorm waar de console op draait. Maken dat alle patches geïnstalleerd zijn en er geen onnodige services draaien. De server zou ook moeten beveiligd moeten worden, door één of meerdere externe firewalls en interne firewalls te plaatsen, én hij mag niet gesitueerd zijn in een netwerksegment met veel netwerkverkeer. Het hardware platvorm waarop de console draait mag alleen maar deze manager functie uitoefenen, en hij zou moeten een speciale sensor bevatten die alle activiteiten op die host monitort. Ongeoorloofde fysieke toegang tot de console moet vermeden worden. Best wordt het manager component geplaatst in een server lokaal met beperkte toegang, door bijvoorbeeld gebruik te maken van een badge reader. Ook moet je maken dat alle hardware die in verbinding staat met dit component beveiligd is en eventueel een keyboard lock zetten op het klavier die toegang verleent tot de management console. Firewalls en IDS
Pagina 69/80
Alle communicatie tussen het manager component en de andere componenten moet versleuteld zijn. Ook communicatie naar de management console toe moet geëncrypteerd gebeuren, bijvoorbeeld bij remote sessions. Ook alle gegevens betreffende individuen die zich op deze server bevinden, moeten versleuteld zijn.
Security en IDS Management Data Correlatie Veel analisten bekijken afzonderlijk de output van hun intrusion detection systeem, intrusion prevention systeem, hun firewall logs, systeem logs enz.. en hieruit concluderen ze of er aanvallen zijn gebeurd en de grootte van het gevaar die deze aanvallen voor de onderneming betekenen. Door al deze data uit al deze verschillende bronnen samen te overzien, kunnen de analisten relaties ontdekken, waardoor ze de dreiging veel beter kunnen inschatten, begrijpen en ook betere beslissingen kunnen nemen of maatregelen kunnen treffen. Soms worden ook andere data bij de analyse betrokken zoals juridische feiten. Veel analisten doen dit manueel, maar dit kan veel beter automatisch gebeuren. Hierna bespreken we een aantal methodes die gerbuikt worden bij data correlatie. Het is gemakkelijk correlation te verwarren met andere gelijkaardige termen, zoals data aggregation, data fusion en event construction. Data Correlatie definities Data correlatie betekent het toepassen van kennis op gegevens van gebeurtenissen gedetecteerd door verschillende middelen, om te bepalen of er een verband bestaat tussen de verschillende gebeurtenissen en indien er een verband is, te bepalen in welke mate. Verschillende parameters worden hierbij vergeleken zoals bron –en doel IP adres, de netwerk route, de commando’s die door de aanvaller gebruikt zijn en de tijd waarbij de gebeurtenissen begonnen en geëindigd zijn. Enkele mogelijke bronnen van gegevens die kunnen gecorreleerd worden: a. Systeem logs b. Firewall logs c. Pakket dumps d. Output van netwerk monitoring tools e. Output van target monitoring tools: dit wordt gebruikt om aanpassingen aan bestanden te detecteren f. SNMP traps: dit wordt gebruikt om ongewilde toegangen tot beheerstools te detecteren g. IDS output h. Database met gegevens over aanvallen i. Web postings : sommige mensen posten informatie over aanvallen op het Internet Data aggregation verwijst naar het verzamelen van zo veel mogelijk informatie. Dit is een vereiste voor het uitvoeren van data correlatie. Data fusion is het correleren van gegevens in tijd en ruimte en het bepalen van de belangrijkheid van de output.
Firewalls en IDS
Pagina 70/80
Een voorbeeld van een output van een IDS systeem voor data fusion, is een identificatie van één of meerdere individuen die aanvallen hebben gepleegd, vanwaar de aanvallen zijn gebeurd, welke soort aanvallen, hoeveel maal ze de aanvallen hebben gepleegd, de grootte van de impact, enz.. Event reconstruction betekent het puzzelen met de verschillende gegevens om zo te bepalen in welke volgorde de gebeurtenissen zich hebben voorgedaan. Waarom is data correlatie nodig -
Het valideren van data: Er bestaat altijd wel twijfel over de oorsprong, nauwkeurigheid, doel, enz.. van de gegevens die verzameld zijn door één bron. Door het bekijken van verschillende bronnen, kan er meer zekerheid verworven worden of deze gegevens wel waardevol zijn. Het is niet omdat een bepaalde ongewenste activiteit een bepaald IP adres aantoont, dat het van dat IP adres afkomstig is. Maar door bijvoorbeeld andere bronnen te bekijken, kan men bepalen of dit wel effectief zo is.
-
Helpt in het bepalen van de oorsprong, de grootte en de graad van gevaar van de aanval: Door de verschillende gegevens uit de verschillende bronnen samen te brengen, kan men veel beter begrip verkrijgen over bepaalde gebeurtenissen en hun impact. Hierop kan men veel optimaler maatregelen op uitvoeren ook.
Soorten data correlatie -
Rule-based en pattern-based correlation: Vergelijk met rule-based IDS. Vergelijkt de gebeurtenissen komende uit verschillende bronnen met gekende patronen en eigenschappen van aanvallen, die in een knowledgebase zijn opgeslagen.
-
Statistics-based correlation Hier worden statistische methodes gebruikt om wiskundige relaties tussen twee variabelen te berekenen. Zo kunnen er aanvalspatronen ontdekt worden of de oorsprong van de gebeurtenissen.
Honeypots Een andere aanpak dan die van intrusion detection is het gebruik van een honeypot. Een honeypot is een afleidingsserver, die er uitziet als een gewone server, maar die geen normale server rollen vervult. Deze server lokt de aanvaller weg van de waardevolle netwerkbronnen om zo een vroeg teken te geven aan de netwerkbeheerder dat er een aanval bezig is. Door het gebruik van honeypots kan er meer informatie bekomen worden over aanvallen die momenteel plaats vinden of aanvallen die plaats gevonden hebben. De honeypot staat in een veilige omgeving, wat betekent dat ze geen gevaar vormt voor de andere normale operationele systemen. Je hebt low-interaction honeypots en high-interaction honeypots. Het verschil is dat bij low-interaction honeypots er een emulatie gemaakt wordt van bepaalde besturingssystemen en services, terwijl er bij de high-interaction echte besturingssystemen en services geïmplementeerd zijn. Bij high-interaction honeypots kan er veel meer informatie over de aanvaller ingewonnen worden, maar het risico dat het systeem overmeesterd wordt door de aanvaller is groter.
Firewalls en IDS
Pagina 71/80
Een honeynet is een architectuur bestaande uit een aantal high-interaction honeypots. Honeypots zijn een goede bron van informatie voor intrusion detection en intrusion prevention systemen. Het voordeel van honeypots is dat men informatie bekomt van de aanvaller en over aanvallen, zonder dat het “echte” netwerk in gevaar komt. Terwijl bij een IDS, de aanvaller zich reeds in het “echte” netwerk bevindt. Incident Response Er zijn verschillende manieren waarop een intrusion detection system kan geïmplementeerd worden. Bij Attack Detection wordt een sensor geplaatst buiten de firewall om aanvalpogingen te noteren. Dit kan nuttig zijn om het aantal en de types aanvallen op je netwerk te bepalen, alsook om je beveiligingsnoden te bepalen en om de aanvallen te analyseren. Bij Intrusion Detection wordt een sensor geplaatst binnen het netwerk. Alle ontdekte aanvallen zijn mogelijke aanvallen binnen de beveiligde omgeving. Dit hoofdstuk behandelt de antwoorden met betrekking tot intrusion detection, waarbij een aanval is ontdekt binnen de beveiligde omgeving. Een incident is elke kwaadaardige activiteit dat schade kan berokkenen aan datacommunicatie, computer systemen of het netwerk. Eerst moet er een risico analyse gemaakt worden. Er moet bepaald worden wat de risico’s zijn van de het wegvallen of uitschakelen door de aanvallers van bepaalde systeembronnen. Er bestaat een kwantitatieve aanpak en een kwalitatieve aanpak. Een kwantitatieve aanpak is puur objectief, de kwalitatieve meer subjectief. Op basis van dit onderzoek gaat men bepalen welke netwerkbronnen de meeste bescherming zullen verkrijgen. De term response verwijst naar iedere actie die ondernomen wordt bij een vermoede aanval. Er zijn drie response types: automated, manual en hybrid. Hybride antwoorden zijn de meest voorkomend omdat die een combinatie zijn van geautomatiseerde antwoorden met menselijke antwoorden. Om succesvol te antwoorden op een aanval is er een degelijke methodologie in plaats te stellen. Het meest gebruikte model bevat 6 stappen: 1. 2. 3. 4. 5. 6.
Preparation Detection Containment Eradiction Recovery Follow-up
Er moet een incident-response team opgesteld worden binnen de organisatie met elk hun bepaalde rol.
Firewalls en IDS
Pagina 72/80
Incident responses die betrekking hebben tot IDS en IPS, kunnen de volgende 5 stappen volgen: 1. 2. 3. 4. 5.
Confirmation Applicability Source Scope Response
Response types 1. Automated Responses: Dit zijn antwoorden die automatisch gebeuren. Zij maken het mogelijk dat aanvallen gestopt worden, en het netwerk terugkeert naar een veilige status. Dit is het idee achter een IPS. Het is wel gevaarlijk daar bij valse meldingen van aanvallen kan het gebeuren dat zo goede processen gestopt worden. Er zijn verschillende automatische antwoorden mogelijk: a. Dropping the connection De IDS/IPS geeft instructies aan de firewall om de communicatie van een bepaalde host te stoppen op een bepaalde poort. b. Throttling Throttling voegt een vertraging toe aan de antwoorden op een port scan. En hoe meer activiteit, hoe meer vertraging er gegenereerd worden. Doordat veel scanners op timing vertrouwen, kunnen veel script-gedreven scanners gestopt worden. c. Shunning Dit is het proces waarbij een aanvaller geïdentificeerd wordt en alle netwerkactiviteit geblokkeerd wordt voor het aanvalssysteem. Dit kan gebeuren op de host, maar ook op de router of firewall. Is wel gevaarlijk bij spoofing. d. Session sniping of RESETs Bij deze techniek wordt een RESET bit gestuurd naar beide zijden van een connectie waardoor de connectie stopt.
2. Manual Responses Geautomatiseerde antwoorden op aanvallen zijn goed als ze werken. Feit is, dat menselijke interventie nog steeds nodig is, omdat elke aanval verschillend is. Een incident-response team en een incident-response proces moet klaargestoomd worden. 3. Hybrid Responses Zoals reeds vermeld is een hybride aanpak de combinatie van de automatische en de manuele aanpak. Beschouw het voorbeeld waarbij er een connectie ontdekt wordt op poort 21 vanuit een ongeautoriseerd IP adres en de poort automatisch wordt geblokkeerd. De netwerkbeheerder ziet dit in de logs en zal zoeken achter gelijkaardige aanvallen en andere activiteiten van dit IP adres, en zal zodanig ook zijn netwerkbeveiliging aanpassen.
Firewalls en IDS
Pagina 73/80
Incident-Response team Een incident-response methodologie neemt aan dat er een toegewijd getraind team van experts aanwezig is, die het incident-response proces begrijpt en klaar staat wanneer er tot actie moet overgegaan worden. Dit team is nodig opdat de coördinatie van het incident-response proces vlot zou verlopen. Veel voorkomende rollen binnen het team zijn de volgende: a. Incident Coordinator (IC) De rol van de Incident Coördinator is een verbinding te vormen tussen de verschillende groepen die getroffen zijn door de gebeurtenis. Hij beslist wie wat doet binnen het IT team en hij houdt alle partijen op de hoogte. Deze persoon kan goed communiceren en heeft een goede kennis van het bedrijf. b. Incident Manager (IM) Hij focust zich meer op het incident zelf en hoe het behandeld wordt, vanuit een management en technisch perspectief. Hij is verantwoordelijk voor de acties van Incident Analisten en moet rapporteren aan de Incident Coördinator. De IM moet een technische expert zijn met een brede kennis van zowel security als van incident management. c. Incident Analyst (IA) Dit zijn de technische experts elk in hun eigen gebied. Zij zijn verantwoordelijk voor de interactie met de technologieën en zij trachten de aanvallen te begrijpen, te stoppen, en de situatie te herstellen. Zij zijn technische deskundigen in veel technologieën, zowel op het vlak van security als op het vlak van incident response. d. Constituency/Kiesgroep Zij zijn een stakeholder in het incident. De acties die ondernomen worden hebben gevolgen voor hun belangen in de organisatie.
Incident-Response Methodology Wanneer er geantwoord wordt op een incident is het belangrijk dat er een gezonde methodologie gevolgd. Een methodologie is een set van werkmethodes voor een bepaalde discipline, in ons geval incident response. Een gezonde methodologie maakt dat het incident-responce team een bepaald proces kan volgen bij het beantwoorden van een incident. Het toont ook een gepaste ijverheid aan, in geval van gerechtelijke gevolgen.
Firewalls en IDS
Pagina 74/80
Fig. De meest gebruikte methodologie bestaande uit 6 stappen.
Er bestaan vele methodologieën, maar de meest gebruikte bestaat uit 6 stappen. 1. Preparation phase / Voorbereidingsfase In deze fase wordt er informatie verzameld om te bepalen hoe je zou reageren op verscheidene incidenten. Er wordt zoveel mogelijk informatie verzameld over het netwerk en de samenstellende hosts. Daarna moet je tools verzamelen voor het creëren van procedures en beleid. Moet je de verschillende rollen bepalen en een lijst opstellen van de verschillende contactpersonen bij noodsituaties. Ook moet je verschillende technologieën implementeren die een beter antwoord kunnen geven op mogelijke aanvallen, zoals IDS of IPS, back-ups en geavanceerde logging. 2. Detection phase / Ontdekkingsfase Deze fase start als een mogelijk incident ontdekt wordt door middel van logs, IDS alarmen of andere methodes. Het is belangrijk dat het incident wordt opgenomen. Dit houdt in dat datum en tijd, wie betrokken is, de indicaties van het management, de aard van de aanval, wie wordt aangevallen, moet bijgehouden worden. Het is ook belangrijk dat de scope of het bereik van de aanval bepaald wordt. Dit bepaalt namelijk hoe een bepaald incident zal behandeld worden en door wie. En ook de impact die een aanval kan hebben op een organisatie. 3. Containment phase / Insluitingsfase Deze fase omvat de beslissingen en acties die nodig zijn om de schade te beperken, en hoe het kan verwijderd worden. Het is belangrijk te beseffen dat het hier gaat om tijdelijke beslissingen. Het is ook belangrijk dat bij de keuze van de beslissingen en acties, er rekening moet gehouden worden met de impact op de activiteiten van het bedrijf. 4. Eradiction phase / Verwijderingsfase In deze fase wordt de oorzaak van het incident verwijderd. Dit kan gaan over kwetsbaarheden in het besturingssysteem, Trojan Horses, enz.. Hoe dit moet gebeuren is bepaald in de voorbereidingsfase.
Firewalls en IDS
Pagina 75/80
5. Recovery phase / Herstellingsfase In deze fase worden alle systemen weer online gebracht, zoals ze voor het incident waren. Hier wordt opnieuw gebruik gemaakt van de voorbereidingsfase. Back-ups met goede datering zijn belangrijk. 6. Follow-up phase / Opvolgingsfase Deze fase is zeer belangrijk, omdat hier de vorige stappen geanalyseerd worden en bekeken wordt wat er voor verbetering vatbaar is. Alle verbeteringen worden doorgevoerd in de voorbereidingsfase. Eens een methodologie is opgesteld, zijn er nog andere dingen belangrijk: -
Richtlijnen bij systeemonderbrekingen, system outages Je moet zeker weten hoe lang bepaalde systemen gedeconnecteerd kunnen zijn, zonder het functioneren van het bedrijf te belemmeren.
-
Back-ups en herstellingsplannen Er moet een tool kit opgesteld worden, waarmee je gewapend bent tegen aanvallen.
-
Incident-rapporterings -en contactformulieren Je moet formulieren opmaken waarop je kan noteren wie je gecontacteerd hebt, welke systemen en netwerken er getroffen zijn, doel van de aanval, en bewijs van de aanval.
IDS en IPS response phases Er zijn 5 fases om mogelijke aanvallen te behandelen: 1. Confirmation phase / Bevestigingsfase De eerste fase is het bevestigen dat er een aanval bezig is. De meeste alarmmeldingen zullen valse positieven zijn, dit kan verminderd worden door het fijnstellen van uw IDS. Een goede kennis van uw netwerk is belangrijk. U kan de alarmsignalen bekijken en bepalen of het over een bepaalde aanval gaat of niet. 2. Applicability phase / Toepassingsfase Hier bepaal je of de aanval wel van toepassing is op uw netwerk. Bijvoorbeeld als de aanval gericht is op Windows machines, maar je hebt enkel Linux machines, dan is de aanval niet van toepassing op uw netwerk. 3. Source phase / Bronfase In deze fase weet je dat er een echte aanval is op uw netwerk en dat die van toepassing is op uw netwerk. Nu probeer je de bron te achterhalen van de aanval. Het IP adres van de aanvaller is een goed startpunt, alhoewel die kan gespoofed zijn. 4. Scope phase / Bereikfase In deze fase moet je nagaan wat voor schade de aanvaller berokkent heeft aan uw netwerk. Dit kan bepaald worden door na te gaan welke aanval dit was en welke gevolgen zulke aanval kan hebben, en dan naar deze gevolgen te zoeken binnen uw logs. Ook moet je nagaan of er geen gerelateerde gebeurtenissen of aanvallen gebeurd zijn, om zo een beter beeld te krijgen over de grootte van de impact van de aanval. In deze fase is het belangrijk genoeg bewijs te verzamelen om uw response, uw Firewalls en IDS
Pagina 76/80
antwoord te staven. 5. Response phase / Beantwoordingsfase In deze fase moet je een gepast antwoord bepalen op de aanval. We hebben de response types reeds besproken. Ook moet je in deze fase de administrator van het IP adres contacteren en de gebeurtenis rapporteren aan het CERTCC of de bevoegde wettelijke instanties.
Fig.: De 5 incident-response fasen en de 6 fasen van de incident-response methodologie.
Zoals je in de figuur ziet, zijn de confirmation phase, de applicability phase en de source phase, onderdeel van de detection phase van de incident-response methodologie. Het bepalen van de scope of het bereik is onderdeel van the containment fase, maar wordt ook reeds behandelt in de detection fase. De response fase gebeurt tijdens de eradiction fase van de incident-response methodologie.
Voorbeelden van IDS en IPS systemen 1. NIDS Open Source a). Snort – www.snort.org b). Bro – www.bro-ids.org Commercieel a). ISS RealSecure Network Sensor – www.iss.net b). Intrusions Inc. Secure Net Sensor- www.intrusion.com
Firewalls en IDS
Pagina 77/80
2. HIDS Open Source a). LIDS - www.lids.org b). AIDE - sourceforge.net/projects/aide Commercieel a). Tripwire- www.tripwire.com b). eye Blink - www.eeye.com c). Symantec Host IDS - www.symantec.com 3. IPS Open Source a). Lak-IPS - http://lak-ips.sourceforge.net/ Commercieel a). ISS Preventia - www.iss.net b). ForeScout Active Scout - www.forescout.com c). Netscreen IDP - www.netscreen.com d). McAfee IntruShield - www.mcafee.com e). Cisco Systems -
Firewalls en IDS
www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml
Pagina 78/80
Referenties Boek : Computer Networks and Internets, fifth edition ISBN : 0-13-504583-5 Jaar : 2009 Aantal pagina’s : 600 Uitgeverij : Pearson Education Auteur : Douglas E. Comer Boek : Network Security Bible ISBN : 0-7645-7397-7 Jaar : 2005 Aantal pagina’s : 660 Uitgeverij : Wiley Publishing, Inc. Auteurs : e. Eric Cole f. Ronald L. Krutz g. James W. Conley Boek : Firewalls for Dummies, 2nd Edition ISBN : 0-7645-4048-3 Jaar : 2003 Aantal pagina’s : 434 Uitgeverij : Wiley Publishing, Inc. Auteurs : - Brian Komar - Ronald Beekelaar - Joern Wettern Boek : The Best Damn Firewall Book Period ISBN: 1-931836-90-6 Jaar : 2003 Aantal pagina’s : 1329 Uitgeverij : Syngress Publishing, Inc. Auteurs : - Anne Carasik-Henmi - Debra Littlejohn Shinder - Thomas W. Shinder - Robert J. Shimonski - Cherie Amon - Kyle X. Hourihan - James Stanger - Randy Cook Boek : Intrusion Detection & Prevention ISBN:0072229543 Jaar : 2004 Aantal pagina’s : 388 Uitgeverij : McGraw-Hill/Osborne Auteurs : - Carl Endorf - Eugene Schultz - Jim Mellander
Firewalls en IDS
Pagina 79/80
CD : Dagopleiding Linux : Hoofdstuk Firewalls Jaar : 2008 Uitgeverij : Syntrawest Internet : http://infolab.uvt.nl/~remijn/telematica/scripties03/groep26/fire-soorten.htm Uitgeverij : Telematica – Universiteit Tilburg Internet : http://www.windowsecurity.com/articles/NAT-Traversal-Security.html Auteur : Deb Schinder Boek: Building Internet Firewalls, 2nd Edition Internet : http://docstore.mik.ua/orelly/networking_2ndEd/fire/index.htm ISBN: 1-56592-871-7 Aantal pagina’s: 894 Jaar : 2000 Uitgeverij: O’Reilly Auteurs: -Elizabeth D. Zwicky - Simon Cooper - D. Brent Chapman
Firewalls en IDS
Pagina 80/80
