Intervendor IDS koppelingen Stefan Deelen & Marju Jalloh Praktisch onderzoek
Intervendor IDS koppelingenStefan Deelen & Marju Jalloh
Praktisch onderzoek
Doelstelling project
Het project ”Intervendor IDS” heeft als doelstelling het verrichten van:
1. Onderzoek naar een gewenste intervendor methodiek voor het uitwisselen van security alerts,
2. en het doen van praktisch onderzoek ter beoordeling van deze methodiek.
Agenda:• Aanleiding & doelstelling project• Intro IDMEF, IDXP, BEEP, IDWG, (IODEF).• Intervendor commerciëel• Prelude en Snort• IDMEF testbed, intro• Metingen (marju)
• Introductie testbed en aanpak• nmap > XML meting• nmap > performance meting
• Conclusies onderzoek
• Toepassingsgebied van IDMEF is (wordt) tussen sensor en console (ook wel ‘analyzer en manager’)
• IDMEF in rfc4765 (maart 2007)
• IDXP in rfc4767.
IDMEF
IDMEF message structuur nuttig..?• bij aanleveren messages aan event correlatie systemen
• bij opslag en aanlevering bij centraal archief systeem
• monitor systemen
• Algemeen format maakt het voor verschillende org’s (users, vendors, responseteams..) makkelijker data uit te wisselen
IDMEF als oplossing voor (potentiële) problematiek:• Alerts zijn heterogeen, object georiënteerd IDMEF datamodel weet hier mee om te gaan,• een attackdetectie door verschillende sensor systemen of OS’en wordt verschillend afgemeld, IDMEF structureert dit,• de alertinfo moet na (re)presentatie gemakkelijk op uniforme wijze verwerkbaar zijn..XML!• (Commerciële) vendors wensen flexibel datamodel,• …….
ManagerSensorIDMEF message
Intervendor commerciëel
• Geen effort voor IDMEF support
• Checkpoint OPSEC, geen open standaard, ook in 1997 gestart
• Intervendor koppelingen gericht op aansluiten bij de sterkste..
Opensource PreludeIDS
• Volledig IDMEF based
• Koppelingen op basis van (IDMEF) plugin’s naar:
• Snort, Nessus, Nagios, Argus, Honeyd, LibSafe, SysTrace, Bro IDS
Snort architectuur
Wat hebben wij getest
• Overhead IDMEF XML code• Overhead met prelude• Overhead met mysql client• CPU Performance
TLS, Tcp/IP (4690)MySQL, Tcp/IP (3306)
Snort IDMEFSnort PreludeSnort MySQL
Black hat hostIDSSensor, “Vendor A”
IDSManager, “Vendor B”
PreludemanagerSnortmanager
Koppelingen via:MySQL
(Custom)Rules
nmap en ping
Problemen
• Versie problemen:
– Plugins zijn versie afhankelijk,– Rulesets zijn versie afhankelijk..
Overhead IDMEF XML code
6,221597225679sSv2.4.4
6,221242519997sTv2.4.4
6,22887514295sTv2.4.4
6,2253258563sSv2.4.4
6,2217762861Ov2.4.4
6,2217752851sSv2.4.4
Overhead factor
IDMEF file (byte)
Alert file (bytes)
Aantal nmap
Nmap flag
Snort versie
Overhead met prelude
4,70246005225v2.6.1.4
4,88224184593v2.6.1.4
4,93195293956v2.6.1.4
5,04136212699v2.6.1.4
5,984665780v2.6.1.4
Overhead factor
Tcpdumpfile (byte)
Alert file (bytes)Snort versie
Overhead met mysql
5.211022719635Ov2.3.3
11.6850714342sTv2.3.3
6,28630310033sSv2.3.3
Overhead factor
Tcpdump file (byte)
Alert file (bytes)
Aantal nmap
Nmapflag
Snort versie
CPU Performance
38.32576755v2.3.3nr.4
53.62042255V2.6.1.4nr.3
13.31513253v2.4.4nr.2
31.42555652v2.3.3nr.1
Max cpu(Snort pid)
Alert file(bytes)
Aantal alert
Snortversie
Testsituatie
?
Samenvatting & Conclusies..• IDMEF in combinatie met IDXP beschouwen wij wel als de meest
wenselijke toekomstige Intervendor koppelmethodiek, omdat het een IETF standaard is..
• De conversie van snort security messages naar de voorgeschreven IDMEF XML beschrijving levert een gemiddelde overhead factor van 6.22,
• In verhouding tot vergelijkbare XML overhead (in bijv. webomgevingen) is deze conversie redelijk efficient uitgevoerd,
• De prelude koppeling past een extra conversie toe, maar heeft een proprietary communicatie interface,
• Wel is de prelude koppeling met een optimalisatie uitgerust, die de XML comprimeert voor transport. De factor overhead daalt daardoor tot onder de 5.
• OPSEC is geen interessante intervendor methodiek omdat dit geen open standaard is, is ook niet in de geest van os3,• De verrichtte metingen in dit kader lieten blijken dat de cpuimpact van 50% als gevolg van de XML en TLS bewerkingen behoorlijk is: Een onderzoek naar het nut en de haalbaarheid van de inzet van een XML/TLS combiaccelerator verdient aanbeveling voor heavy environments..(Wij hebben niet onderzocht of dit reeds wordt toegepast met snort configuraties).
Conclusies, vervolg..
Vragen..??