Archief - De topics van lang geleden

IDS en IPS houden echte hackers niet buiten de deur

31-10-2006, 16:28 door Redactie, 32 reacties

Intrusion detectie en preventie systemen worden voor bedrijven en organisaties die hun beveiliging serieus nemen als onmisbaar beschouwd. Elk jaar verschijnen er weer nieuwe modellen en IPS/IDS leveranciers doen goede zaken.

Toch is het maar de vraag wat je aan een IDS/IPS hebt. Voor hackers zijn deze appliances en software een interessant doelwit, omdat al het verkeer er doorheen gaat. Weet je het systeem over te nemen, dan heb je vrij spel en kun je naar hartelust wachtwoorden en andere vertrouwelijke informatie sniffen.

Dat brengt ons meteen bij het tweede nadeel, en dat is het aantal beveiligingslekken waar deze oplossingen mee te maken hebben. Zo zijn er in het verleden regelmatig lekken en kwetsbaarheden in Snort gevonden, het populaire "open source network intrusion prevention en detection systeem."

Daarnaast blijft het de vraag of een echte hack wel wordt opgemerkt. Bekende aanvallen herkennen is voor de meeste oplossingen geen probleem, maar hoe zit het met zero day exploits en andere aanvallen, die grote kans onopgemerkt blijven?

Last but not least geven IPS/IDS veel false positives, wat uiteindelijk ervoor kan zorgen dat echte waarschuwingen in alle ruis verloren gaan en beheerders van het IPS/IDS lui worden omdat er "waarschijnlijk toch niets aan de hand is".

Onze stelling luidt derhalve: IDS en IPS houden echte hackers niet buiten de deur

Reacties (32)
31-10-2006, 16:34 door Anoniem
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false
positives.
En het is hoofdzakelijk een DETECTION mechanisme. Goede
security is toch gebaseerd op prevention-detection-response.
31-10-2006, 16:40 door awesselius
Eerst zo'n stelling en vervolgens een foto plaatsen van een
social engineer eerste klas waar een IDS/IPS inderaad niets
tegen zou kunnen doen. Priceless....

- Unomi -
31-10-2006, 16:43 door Anoniem
IDS kan niets buiten houden, daar is het ook niet voor
gemaakt. IPS kan wel wat buiten houden, maar is een
maatregel tegen een beperkt aantal dreigingen.
31-10-2006, 17:53 door G-Force
Ik heb al 7 jaar hackers buiten de deur gehouden dankzij een
IDS...moet ook gecombineerd worden met aanvalshandtekeningen, die weer geconfigureerd staat in de firewall/virusscanner.

Ook een geweer kun je verkeerd gebruiken....
31-10-2006, 18:29 door Anoniem
Het is slechts een hulpmiddel. Je moet als bedrijf de
spulleboel pas in huis halen als je ervan doordrongen bent
er actief mee aan de gang te gaan.

De engine van ISS bijv. werkt op basis van signatures, met
wat onschuldige scans kun je redelijk gemakkelijk
achterhalen 'dat' er een beveiligingsmechanisme is.
Vervolgens is het net aanpassen van je code in vele gevallen
voldoende om de standaard afgestelde ids/ips zonder blikken
of blozen te omzeilen, al doen de fabrikanten "natuurlijk"
je anders geloven.

Ik zie het als een hulpmiddel, één stuk tooling en ben het
derhalve eens met de stelling.
31-10-2006, 19:39 door Anoniem
Tegen een echte hacker helpt zo'n prut IDS/IPSje niet. Die
dingen filteren op static content.... >.> Zoals snort vaak
filtert op grote nop-sleds, bepaalde HTTP requests en de
cmd.exe banner (bij een bind of reverse shell). Het is
triviaal deze systemen te omzeilen, wat de "security
experts" je ook wijs proberen te maken.

- Nomenumbra -
31-10-2006, 21:10 door Anoniem
Ik denk dat het niet zo zeer met een IDS of IPS te maken heeft maar eerder
met de ying yang gedachte zonder wit is er geen zwart maar zonder zwart
ook geen wit.Het is onvermijdelijk en zou altijd mogelijk zijn of nog anders
gezecht het is gewoon een kwestie van tijd.

Dit is net zo met blackhats en whitehats.
01-11-2006, 00:57 door SirDice
Ik heb al 7 jaar hackers buiten de deur gehouden
dankzij een IDS...
Knap.. De D is voor Detection en houdt dus niets tegen. Een IDS detecteert alleen mogelijke (bekende) problemen.


moet ook gecombineerd worden met aanvalshandtekeningen, die weer geconfigureerd staat in de firewall/virusscanner.
Je firewall/virusscanner heeft dus het e.e.a. buiten de deur weten te houden. Prima.. Maar aangezien ze op basis van signatures werken wanneer weet je dan dat er iets (is) gebeurd waar (nog) geen signatures voor zijn?
01-11-2006, 01:04 door Anoniem
SirDice
Er is wel een verchil tussen onderneming als low leveld onderneming
en "aantrekkelijk" ;)
01-11-2006, 07:53 door Anoniem
Door Krak des Chevalliers
Ik heb al 7 jaar hackers buiten de deur gehouden dankzij een
IDS...

Hoe ben je daar zo zeker van?
01-11-2006, 07:59 door Anoniem
Een IDS kan alleen goed worden gebruikt als ie goed is ingericht en goed
wordt onderhouden. Daarnaast vergeet deze hele stelling dat het gaat om
detectie en LOGGING!!! Binnen veel bedrijven is er grote behoefte aan
logging om bijv. een aanklacht te onderbouwen. Heb je geen logging dan
sta je nergens met je rechtzaak.
01-11-2006, 08:25 door splinter
taal is ZO limiterend af en toe..
01-11-2006, 10:54 door Anoniem
taal is ZO limiterend af en toe..
De mate waarin iemand een taal als beperkend ervaart, hangt
natuurlijk ook af van diens taalvaardigheid?! :)
01-11-2006, 11:49 door Anoniem
Toch is het maar de vraag wat je aan een IDS/IPS
hebt. Voor hackers zijn deze appliances en software een
interessant doelwit, omdat al het verkeer er doorheen gaat.
Weet je het systeem over te nemen, dan heb je vrij spel en
kun je naar hartelust wachtwoorden en andere vertrouwelijke
informatie sniffen.

... Een IPS staat transparant in het netwerk en de
management poort zit doorgaans op een ander out-of-band
segment. Om dat over te nemen moet je dus a) een station
hebben dat kan connecteren naar het management, b) voor
sommige vendors daar de correcte GUI op hebben, c) de
paswoorden van de admin kennen en d) een hele policy kunnen
herconfigureren om packet dumps te nemen van wat hopelijk
voor jou de juiste LANs / VLANs zijn.

Heeft deze redactie ooit al in een grote productieomgeving
met een echte IPS (dus geen signature-only snort maar een
McAfee, TippingPoint, ISS, Juniper, Radware die meerdere
detectie technieken combineren en interageren met
vulnerability assessment tools) gewerkt?

Dit artikel is door zo'n larie te schrijven herleid tot je
reinste amateuristische flauwekul. Graag wat meer niveau als
men zoiets wil posten.
01-11-2006, 11:51 door Anoniem
Door Anoniem
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false
positives.

Maar hoe weet je of je niet slecht geconfigureerde IDS/IPS geen false
negative geeft?
01-11-2006, 16:43 door SirDice
Door Anoniem
Door Anoniem
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false positives.

Maar hoe weet je of je niet slecht geconfigureerde IDS/IPS geen false negative geeft?
Liever 10 false positives dan 1 false negative. Een goed geconfigureerde IDS geeft altijd wel wat false positives.
01-11-2006, 17:42 door Anoniem
free kevin
02-11-2006, 10:36 door SirDice
Door Anoniem
free kevin
Die is al een tijdje op vrije voeten hoor..
02-11-2006, 11:20 door Anoniem
Jah helaas wel de bak is de enige plaats die retards thuis horen.
02-11-2006, 11:39 door fubar
Een IDS/IPS is één van de zaken in de gereedschapskist van
een beveiliger. Uiteraard is de effectiviteit van een
dergelijke oplossing afhankelijk van de implementatie en
uiteraard de kennis van de security analisten die ermee
werken. Wel dient men zich te realiseren dat een
gedetecteerde hack of hack poging een gefaalde is. Indien
het incident respons proces goed is ingericht en real time
gereageerd kan worden zal er dus een hoog niveau van
beveiliging zijn. Wie echter denkt dat een IDS/IPS een
exacte wetenschap is met 100% garantie zal bedrogen uitkomen.

In de praktijk is het echter zo dat de IDS/IPS onderdeel
uitmaakt van een scala aan maatregelen die ook op semantisch
en organisatorisch niveau controle implementeren. Hierdoor
kan bijvoorbeeld een 0day wel degelijk gedetecteerd worden
omdat er vaak policy violations zijn. Daardoor is de
stelling dat een IDS/IPS waardeloos is niet correct. Een
virus scanner vangt in principe ook "maar" 98% van alle
virussen maar dat maakt deze niet waardeloos.

Carlo Seddaiu
http://www.pragmasec.com
02-11-2006, 11:56 door Anoniem
wel, de stelling is correct. Maar er had even goed
"Virusscanner en spyware scanner houden echte hackers niet
buiten de deur" kunnen staan. Saagt dus nergens op...
02-11-2006, 15:54 door SirDice
Probleem met virusscanners, IDS en al dat soort spul is dit.. (false positives buiten beschouwing gelaten)

90% vd aanvallen wordt veroorzaakt door virussen/wormen. Eenvoudig te detecteren en te verhelpen..

9% wordt veroorzaakt door scriptkiddies. Eenvoudig te detecteren en te verhelpen.

De overgebleven 1% is waar ik me echt zorgen om maak.. Die zijn niet of moeilijk te detecteren en dus ook niet makkelijk te verhelpen.. Maar dankzij de IDS/virusscanner etc. kan ik me wel hierop concentreren wetende dat die andere 99% toch wel afgevangen wordt.
03-11-2006, 00:55 door Anoniem
SirDice een goede expoit van bugtrack kan ook tot de 1% horen ;)
03-11-2006, 12:18 door Anoniem
IDS en IPS zijn leuke systemen, maar hebben het zelfde grote
nadeel als virusscanners: Ze lopen altijd achter de zaken aan.

Ik heb het nog nooit mogen zien, maar mij lijkt anomaly
detection een beter systeem, omdat je kijkt naar wat niet
aan de norm voldoet.
03-11-2006, 13:46 door SirDice
Door Koekie
SirDice een goede expoit van bugtrack kan ook tot de 1% horen ;)
Als het op bugtraq staat is het inmiddels scriptkiddie voer.. Bovendien is het dan ook vrij makkelijk om een signature (voor IDS en/of virusscanner) te maken..

Het gaat juist om het spul wat niet aan de grote klok gehangen wordt..
03-11-2006, 16:26 door joashh
IPS/IDS systemen werken alleen goed als ze icm een veelvoud
aan andere ook noodzakelijk security systemen worden ingezet.

SEMS, een goede security policy, een goed geconfigde
firewall, vulnerability management, het zijn allemaal
noodzakelijke gegevens om "hackers" en aanverwante gasten
buiten de deur te houden.

conclusie, een IPS is zeer zinvol, maar het is zeker niet
"de gouden oplossing voor al uw security problemen".
03-11-2006, 23:16 door Anoniem
Het gaat juist om het spul wat niet aan de grote klok gehangen
wordt..

Dit hoefd niet in de periode voor dat de exploit bekent is zijn er nog genoeg
script kids die via "irc" of wat dan ook de data in handen krijgen om
als "expert" uit de voeten te komen.Hierdoor lijkt het alsof ze bij de 1%
horen maar zijn het totaal niet.
04-11-2006, 15:08 door Anoniem
Door Anoniem
taal is ZO limiterend af en toe..
De mate waarin iemand een taal als beperkend ervaart, hangt
natuurlijk ook af van diens taalvaardigheid?! :)

Sommige begrippen zijn niet in 'normale' taal uit te drukken
en moet worden overgestapt op vaardigheden als wiskunde.
06-11-2006, 11:52 door Anoniem
Maar misschien is het overbodig deze discussie te voeren;
wat is het alternatief? Geen internettoegang of geen IDS/IPS?

Ik prefereer dan toch naar 'best practices' te kijken en
zorg ervoor dat je veiliger bent dan je "buurman"...
06-11-2006, 14:30 door Anoniem
over false positives en negatives gesproken.
Leuke uitslag op icsa labs vind ik.
Opvallend is dat het consortium van verschillende IPS (inline) vendors zelf
de requirements hebben gesteld voor de test.

http://www.icsalabs.com/icsa/topic.php?tid=4d56$eed283d1-
c66d427c$af04-d91faa8c
certified products:
http://www.icsalabs.com/icsa/topic.php?tid=e6cb$36ebf2b4-fe67b635
$6cb5-d675a991
06-11-2006, 14:33 door Anoniem
Door SirDice
Probleem met virusscanners, IDS en al dat soort spul is dit.. (false
positives buiten beschouwing gelaten)

90% vd aanvallen wordt veroorzaakt door virussen/wormen. Eenvoudig te
detecteren en te verhelpen..

9% wordt veroorzaakt door scriptkiddies. Eenvoudig te detecteren en te
verhelpen.

De overgebleven 1% is waar ik me echt zorgen om maak.. Die zijn niet of
moeilijk te detecteren en dus ook niet makkelijk te verhelpen.. Maar dankzij
de IDS/virusscanner etc. kan ik me wel hierop concentreren wetende dat
die andere 99% toch wel afgevangen wordt.


Beste sir: kun je mij vertellen waar je deze cijfers vandaan hebt, naar mijn
idee kloppen ze niet.
Ik denk dat die laatste 1% in je post vele malen hoger moet zijn, de attakcs
zijn meer en meer doel gericht (afpersing) en profesioneler (simpel
voorbeeld is phishing)
Ik ben benieuwd naar de onderzoeken waar je deze cijfers vandaan hebt
groet
rob
07-11-2006, 11:41 door SirDice
Door Anoniem
Beste sir: kun je mij vertellen waar je deze cijfers vandaan
hebt, naar mijn idee kloppen ze niet.
Jarenlange, eigen ervaring.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.