Hallo,
Ich bin Student an der FH-Köln und habe vor 3 Wochen
mit meiner Diplomarbeit begonnen. Ich hatte vorher noch nie mit IDS zu tun, daher ist das alles Neuland für mich.

Ich soll ein LAN gegen Angriffe von außen schützen und Angriffe erkennen. In das Netz, darf ich nicht eingreifen,
mir wurde nur erlaubt meinen Aufbau vor dem letzten (oder
ersten) Router vorzunehmen. Es soll eine Firewall mit DMZ
und IDS zwischengeschaltet werden.
Das ganze soll mit Linux und Open Source realisiert werden.

Etwa so:

http://www.ganeymed.de/pixx/fw_ids/001.jpg

Die Firewall und der Proxy machen mir kein Kopfzerbrechen, allerdings habe ich einige Verständnisprobleme beim IDS.

Zunächst habe ich also versucht ein Grobkonzept zu erstellen, und wollte das NIDS (Snort) auf der Firewall selbst installieren.
Nach dem Lesen des Buches "Intrusion Detection und Prevention mit Snort2 und Co" und Recherche im Internet kommen mir jedoch Zweifel daran.

Vielmehr müsste das ganze dann so aussehen:

http://www.ganeymed.de/pixx/fw_ids/002.jpg

Der Switch sollte einfach den Verkehr auf einem Monitor oder
Mirrorport abbilden und Snort schaut sich das an.
Es soll nur überwacht werden, was von innen nach außen und umgekehrt geht.

Bis hierher verstehe ich das alles.

Nun würde ich aber gerne noch den SIP Server und die
Firewall mit einen HIDS überwachen. Damit die Logs nicht an
jedem Rechner einzeln zusammengesucht werden müssen, würde
ich das gerne zentralisieren. Außerdem soll für meinen nachfolger, der das
ganze später mal warten soll ja auch ein einheitliches Frontend zur
Verfügung stehen.
Und hier kommt Prelude ins Spiel.

In dem Buch "Intrusion Detection und Prevention mit Snort2 und Co" Seite 381 ist ein kleines Bildchen.
Dies zeigt eine verteilte Struktur.
Hierzu sind Prelude Manager nötig.

Was ich nicht verstehe, ist ob Analysestation und Manager ein und der selbe Rechner sein können?
Kann Snort auf dem selben Rechner laufen?
Brauch ich Snort überhaupt, wenn ich Prelude verwende?
Oder muß das tatsächlich verteilt werden?

Kann ich das so realisieren?:

http://www.ganeymed.de/pixx/fw_ids/003.jpg

Oder ist der Ansatz schon schlecht und ich nehme nur Snort mit ACID als Frontend? Dann habe ich aber das Problem, daß ich die HIDs nicht zentral einbeziehen kann. Oder gibt's da ne Übergabemöglichkeit?

Ach ja, und dann habe ich noch eine Frage bezüglich der Systemvoraussetzungen. Mein Professor möchte eine "Einkaufliste" mit Mindestvoraussetzungen von mir haben.
Wie schnell muß der Proz. mindestens sein, wieviel RAM ist
minimum? Wie groß sollte die Platte sein?
Wo kann ich da Informationen finden?

Ich habe mich schon durch ne Menge FAQs, Howtos und Berichteseiten gefressen, aber nichts brauchbares gefunden.

Bin für jede Hilfe Dankbar

Viele Dank und viele Grüße
Ganeymed

prelude bietet eine gepatchte version von snort an, also ja, brauchst du. manager und analyse koennen mit sicherheit auf einer kiste eingesetzt werden, wobei der manager wie in prelude bezeichnet die logs sammelt von den sensoren. das klingt ein bisschen verwirrend.

als frontend zum betrachten der logs nimmst du PIWI von prelude. sieht recht schick aus ...

da prelude mit ca 30 verschiedenen logformaten zurechtkommt, u.a. auch von samhain hast du deine frage bereits selbst geloest.

die leistungsfaehigkeit der maschine muss natuerlich so hoch wie moeglich sein, haengt aber generell von deinen snortregeln ab und wie schnell die leitung ist, bzw wie stark ausgelastet.

ich hatte mal ne stinknormale kiste mit 700 mhz, 1024 ram und snort mit ca. 10-20 regeln nur, hat bei ner auslastung von 15mbit gereicht, kann zu spitzen zeiten aber ordentlich CPU beanspruchen.

kannst ja mal auch nach TAP devicen suchen, da gibts anstaendige loesungen fuer hochgeschwindigkeitsnetze, prinzipiell herrscht aber immer noch die diskussion das die idee des IDS nicht zukunftsfaehig ist.

Hallo Wordooo,

Vielen Dank für deine Antwort. So verwirrend ist es nicht ;)

Daß Snort, wenn es mal so richtg loslegt, jede Menge Performance braucht hab
ich schon gelesenen. Es wäre also vermutlich besser, Snort und Prelude zu
trennen und auf jeweils einem Rechen zu installieren.

Ich komme also im Prinzip um 4 Rechner nicht rum.

Auch bei der alternative Snort mit ACID an den Switch zu hängen
und auf dem selben Rechner noch Beltane zu installieren, und die Firewall und
den SIP Remote zu administrieren, brauche ich ja noch einen Webserver der PHP unterstützt.

Hmm - Mal sehn ob der Professor das Mitmacht.
Denn es soll alles sehr klein gehalten werden.
Im Prinzip brauche ich ja Prelude nur zu Zumammenfassung in ein Log.
Wenn's an dem einen Rechner mehr hängt, dann muß ichs wohl doch
verteilt mit verschieden Frontends machen.

TAP devices? Mal sehen ob ich das richtig verstehe.

Ich soll mit dem Tap Device eine Verbindung aufmachen und dann von z.B
der Firewall in das Log auf dem IDS Rechner schreiben?
Was bringt das? Bei der Preludelösung schicken Lipsave und
Samhain ihre Logs doch an den Preludemanager.


Dann ist noch eine Frage aufgekommen
Kann ich zwei Snorts auf einem Rechner laufen lassen und
zwei Netze untersuchen? etwa so:

http://www.ganeymed.de/pixx/fw_ids/004.jpg

Ich hatte mir gedacht, das zweite Snort im -o Modus laufen zu lassen.
denn eigentlich sollte auf der untersuchten Leitung ja nur
der SIP und RTP sowie der Samhain/Libsave Verkehr sein.
Sonst sollte da also eigentlich garnix sein.
Und der Verkehr auf dieser leitung ist überschaubar klein.
Das heißt Snort Nummer 2 sollte eigentlich nicht viel zu tun haben.

Ich muß leider sovielfragen, denn ich hab leider hier nur
einen Rechner, mit dem ich mit VM-Ware nur zwei Linuxe
gleichzeitig laufen lassen kann.
Was aufgrund der Architektur mit dem Switch (kann ja auch n Hub sein)
mir auch nix bringen würde wenn ich mehr laufen lassen könnte.

Und von dem Zeug auf dem es aufgebaut werden soll, ist noch nichts angeschafft. :(

naja, also wenns so guenstig/einfach gehalten werden soll wies nur geht dann wird auch sicherlich nicht so viel traffic drueber laufen (geh ich mal davon aus).
2 snort instanzen gehen auf jeden fall .. einfach die interfaces mit "-i" angeben.

das hab ich mit TAP gemeint:
http://www.netoptics.com/home/default.asp?Section=home
aber das is dann wohl doch zu teuer. wirst aber auch nicht ein IDS unter volllast laufen haben.

eigentlich reichen auch 3 rechner wenn du preludeman und piwi auf den SIP oder die erste FW haengst. der sammelt ja nur bissle und wertet aus. das juckt den nicht.

noch was zur performance:
also ich haette hier noch ne linux mit nem P4 2.8 und 1024 ram, auslastung max. 2mbit, im schnitt 500kbit. standartregelsatz 2.3 und bleedingsnortrules zusammen 5.8% MEM 10%CPU.

Ein IDS ist gut - man kann im Falle eines erfolgten Angriffs die Logs auswerten, Portscans und andere nicht konformen Tätigkeiten von Personen im internen Netz nachvollziehen etc.

Ein IPS ist besser - man bekommt nicht nur angezeigt das der Angriff stattgefunden hat sondern er wird verhindert. Wäre das nicht interessanter?

Hogwash zum Beispiel arbeitet auch mit Snort-Rules: http://www.spenneberg.com/linux-magazin/064-066_hogwash.pdf
http://www.google.de/search?q=hogwash&hl=de&lr=lang_de&sa=X&oi=lrtip9
http://www.google.de/search?hl=de&q=hogwash&btnG=Google-Suche&meta=

mfg
cane

Hier noch was zu Prelude & Snort von Ralf Spenneberg:
http://www.spenneberg.com/367.html

mfg
cane

@Wordooo
Super danke, ich denke das ist wohl eine Lösung.
wo du das -I erwähnt hast fiel mir auch wieder ein, das ich das was in der
Richtung in dem Syngress Buch gelesen hatte :)

@cane
Danke für den Tip. Jedoch soll es sich nur um ein IDS handeln.
Leider ist das Hogwash ja tranzparent und kann nicht remote
bearbeitet werden. Dann wär die Zentralisiertung wieder im Eimer.

Über diesen Security-Ansatz kann man natürlich streiten, aber
es handelt sich um ein Experimentiernetz innerhalb der FH
und irgendwo muß man mal nen Schnitt machen.
(vom Aufwand und von den Kosten her)
Auch ist das IDS nicht der Kernpunkt der Diplomarbeit.



Auf jedenfall, vielen Dank für Eure Tips.

Hallo,

Das mit dem IPS hat mir doch zu denken gegeben, und
ich habe meinen Prof. davon überzeugen können, das das
doch eigentlich ne super sache wäre.

Die IDS Sache ist also gestorben.

Ich habe mich dann mal mit IPS etwas näher beschäftigt
und bin letztendlich bei Snort-inline hängengeblieben.

Also wäre der erste ansatz garnicht so verkehrt.
http://www.ganeymed.de/pixx/fw_ids/001.jpg

Ich habe gelesen, daß snort-inline mit auf der Firewall installiert
wird und die Firewall per Anweisung an IP-tables modifizieren kann.
Snort-Inline benötigt dazu ein eigenes Firewallscript:

rc.firewall Script (www.snort.org/docs/Snort-Inline_and_IPTABLES.pdf)

Und jetzt habe ich eine hoffentlich nicht ganz so dumme frage.
Ist dann eine DMZ immer noch möglich? Ich meine
weil Firewall und IPS ja jetzt ineinandergreifen.
Darf ich trotzdem noch eigene Forward IP-tabels für meine DMZ
definieren?
Oder muß ich die Firewall unverändert nutzen?


Oder habe ich da grundsätzlich was falsch verstanden oder
durcheinandergeworfen?

Bis jetzt habe ich eine Firewall mit einem script bestimmt, in denn
meine IPtabels standen. Da habe ich dann ausführbar gemacht
und in rc3.d und rc5.d Runleveln darauf verlinkt.

Ist das Script im prinzip ähnlich nur, daß noch etwas mehr benötigt wird.

Auf Seite 7 des PDF-files gibt es einen Eintag:

###########
# Load all required iptables Modules

Kommen da meine Regeln hin?

Viele Grüße
ein vollends verwirrter Ganeymed :ugly:

hmmm .. IPS ... hab ich nich im einsatz .. ich glaub das mit dem laden der module betrifft ipt_queue, da alle pakete in eine queue laufen, von snort durchsucht und dann durchgereicht werden (so ca.)
klar kannst du beides nutzen .. snort wird ja sicherlich nur DROP regeln verwenden und das macht in diesem sinne deine DMZ nur sicherer ;)

wie gesagt, fuer ein 100mbit netz reicht auch dein erster entwurf, solang nicht hunderte von regeln aktiviert sind. und die leitung nicht staendig ausgenutzt wird.

@ Wordooo
Nee, also soviel Traffic is da nicht. Sollte also locker passen.

Aber vieleicht kann mir nochmal jemand was zur Funktionsweise von Snort-Inline sagen.

Das "normale" Snort braucht ja zum Sniffen die Netzwerkkarte im Promiscuous Mode, dam it Snort alles mitkriegt.

Braucht Snort-Inline das auch? Es liegt ja "inline" und kriegt sowieso alles mit, was an die Netzwekkarte gerichtet ist.

Hab gerade was dazu gefunden. Ist vielleicht auch für andere von Interesse.

Snort_inline as non-promiscuous replacement for snort? (http://sourceforge.net/mailarchive/message.php?msg_id=10075761)