home *** CD-ROM | disk | FTP | other *** search
/ Chaos CD Blue / Chaos_CD_Blue__[1999].iso / www_ccc_de / congress98 / doku / 281298-intdec.text < prev    next >
Text File  |  1999-01-01  |  4KB  |  76 lines
  1.  
  2.                             All rights reversed
  3.                                       
  4.    Intrusion Detection Theorie & Wirklichkeit
  5.    
  6. Vortrag: Johan Beckers <jbeckers@iss.net>
  7. [1]www.iss.net
  8. Bericht: Dieter Kirchner <dieter@roko.goe.net>
  9.  
  10.    Johan Beckers von ISS (Internet Security Systems) stellte deren
  11.    Software Real Secure 2.5 zum Bereich Intrusion Detection vor. Als
  12.    erstes Produkt der Firma ISS wurde kurz deren Internetscanner
  13.    vorgestellt. Bei Real Secure basiert das System auf einem zentralen
  14.    Managementserver, der mit Agenten auf den Clients verbunden wird. Die
  15.    Servermanagementsoftware erkennt durch Meldung der Clients etliche
  16.    verschiedene Angriffe auf den Clients und kann darauf nach
  17.    unterschiedlichen voreingestellten PrioritΣten reagieren. Die
  18.    Erkennung fⁿhrt eine Analyse der ankommenden Pakete durch und versucht
  19.    zu erkennen, ob und welche Form eines Angriffs stattfindet
  20.    (Pattern-matching). Die Informationen, was ein Angiff ist und was
  21.    nicht, liest das Programm aus einer Datenbank aus. Bei neuen
  22.    Angriffsformen wird ein update der Datenbank notwendig. Die Sicherheit
  23.    durch das Programm wird nicht als maximal eingeschΣtzt, es soll vor
  24.    allem Gelegenheitshacker davon abhalten, mit bekannten Tools
  25.    anzugreifen, da diese sofort erkannt werden. Vorgefⁿhrt wurde dies mit
  26.    dem alten Winnuke. Bei neuem Code auf der Angreiferseite wird das
  27.    System unter UmstΣnden nicht reagieren. In einer besonders sicheren
  28.    Variante soll eine Netzwerkkarte ohne IP-Adresse eingeschleift werden,
  29.    die unsichtbares Kontrollieren des Netzwerks m÷glich macht. Das
  30.    Sperren als Reaktion auf einen Angriff wurde nicht empfohlen, da das
  31.    System wohl nicht mit spoofing klarkommt und ein Angriff unter
  32.    gefΣlschter Absendeadresse dazu benutzt werden k÷nnte, einen
  33.    bestimmten Host fⁿr das geschⁿtzte Netz unerreichbar zu machen.
  34.    Intensives Logging der Angriffe soll die Analyse erleichtern und die
  35.    erreichten Zugriffe dokumentieren. Dazu kommen noch eine Menge
  36.    kleinerer Tools fⁿr bequemes Arbeiten mit der Software.
  37.    
  38.    Das System wird nicht als Ersatz fⁿr eine Firewall empfohlen, sondern
  39.    als ErgΣnzung, weil 80% der Angriffe aus dem lokalen Netz kommen. Es
  40.    soll hauptsΣchlich vor diesen lokalen Angreifern schⁿtzen, kann aber
  41.    auch fⁿr die Zugriffskontrolle eingesetzt werden. Durch Editieren von
  42.    Benutzerprofilen wird es m÷glich, einzelne Dienste fⁿr einzelne Nutzer
  43.    oder Computer aus einem WindowsNT-Netzwerk zu sperren. Eine Vorfⁿhrung
  44.    funktionierte nicht, was auf mangelnde Ressourcen der Real
  45.    Secure-Installation geschoben wurde :-)) - was wieder einmal
  46.    demonstriert, wie gut Windows NT doch so funktioniert. Das System
  47.    k÷nnte selbst angegriffen werden, beispielsweise ⁿber fragmentierte
  48.    Pakete, die den Speicherbedarf des Real Secure-Systems so hoch
  49.    schrauben, da▀ das Sicherheitssystem auf Angriffe auf das Netzwerk
  50.    nicht mehr reagieren kann. Auch andere Verfahren, an diesem
  51.    Sicherheitspaket vorbeizukommen, dⁿrften nach dieser PrΣsentation
  52.    jetzt in Arbeit sein ;-) Das System arbeitet nur mit TCP/IP und
  53.    benutzt die Ports 901 und 1998. Clients sind auch m÷glich fur Sun
  54.    Solaris. UDP wird nicht unterstⁿtzt. Der Rechner, auf dem die Software
  55.    lΣuft, sollte so schnell wie m÷glich sein (PentiumII/400 oder
  56.    schneller) und soviel Speicher wie man auf das Mainboard stecken kann.
  57.    Das wird sicher die Hardwarehersteller freuen :-), ist aber n÷tig, um
  58.    den Managementserver vor Angriffen zu schⁿtzen.
  59.    
  60.    Die Software kostet lediglich freundliche 20.000.- DM incl. Updates
  61.    und Support fⁿr das erste Jahr, Kunden sind unter anderem Citybank und
  62.    US Army (da fⁿhlt man sich doch gleich viel sicherer....). Nach dieser
  63.    Firmenvorfⁿhrung beschleicht den geneigten Zuh÷rer das typische Gefⁿhl
  64.    bei Windowssoftware zum Thema Sicherheit: Nette Software, mit
  65.    ordentlich Mausschubserei auch vom Ungeⁿbten zu bedienen, aber
  66.    irgendwo nicht gerade perfekter Schutz, und das Programm macht unter
  67.    UmstΣnden selbst Probleme unter Windows oder wird gar selbst zum
  68.    Sicherheitsloch. Des gro▀en Zulaufs wegen konnte die Veranstaltung
  69.    nicht wie geplant im Hackcenter stattfinden, sondern wurde auf zwei
  70.    mitgebrachten Laptops der Firma demonstriert. Ein weiterer Test im
  71.    Hackcenter wird stattfinden, die Ergebnisse werden nachgereicht :-)
  72.  
  73. References
  74.  
  75.    1. file://localhost/root/www.iss.net
  76.