Computerbeveiliging - Hoe je bad guys buiten de deur houdt

IDP detectie

24-03-2009, 14:18 door cpt_m_, 35 reacties
Beste security heren en of dames,

Krijg sinds 2009-03-23 08:55:26 de volgende meldingen:

- DNS possible DNS cache poisoning (W1 to L)
- DNS possible spoof of domain run by local DNS servers (W1 to L)

Standaard stond mijn IDP detectie zo ingesteld dat deze sessies standaard worden doorgelaten omdat ik de situatie niet vertrouw heb ik de sessies laten droppen.

Ik heb onze provider op de hoogte gesteld maar die reageert niet op de situatie.

Graag hoor ik jullie reacties.
Alvast bedankt.
Reacties (35)
24-03-2009, 14:29 door SirDice
Heb je een ruwe package dump?
24-03-2009, 14:39 door cpt_m_
Door SirDiceHeb je een ruwe package dump?

Helaas niet mogelijk, in de log zie ik dat de source IP het adres is van mijn provider! Vandaar ook de vraag richting mijn provider.
DNS forwarders (Server 2003) verwijzen ook naar dit source IP. Is het misschien gewoon een update van mijn provider naar mijn DNS Server maar waarom slaat mijn IDP alarm!
24-03-2009, 15:41 door SirDice
Door cpt(m)
Door SirDiceHeb je een ruwe package dump?

Helaas niet mogelijk
Dan is er helaas nooit meer te achterhalen of het een false positive was of niet. Of dat er wellicht iets anders aan de hand is. Een IDS/IPS wat geen ruwe packets kan opslaan is IMO nutteloos.
24-03-2009, 15:47 door cpt_m_
Door SirDice
Door cpt(m)
Door SirDiceHeb je een ruwe package dump?

Helaas niet mogelijk
Dan is er helaas nooit meer te achterhalen of het een false positive was of niet. Of dat er wellicht iets anders aan de hand is. Een IDS/IPS wat geen ruwe packets kan opslaan is IMO nutteloos.

Syslog Logging is waarschijnlijk ook onvoldoende!
25-03-2009, 10:48 door cpt_m_
Stel ik wil een nieuwe security appliance gaan aanschaffen, waaraan zou deze appliance moeten voldoen?
Zoals SirDice al aangeeft is het kunnen opslaan van ruwe packets noodzakelijkte om te achterhalen of het een false positive was of niet.

Graag hoor ik ervaringen van bepaalde producten!

Alvast vriendelijk bedankt voor de gegeven informatie.
25-03-2009, 13:14 door cpt_m_
SonicWALL Network Security Appliance (NSA) --> ervaringen !!!
25-03-2009, 14:30 door Zero
Snort - IDS ( intrusion detection program )

NSlookup - om te achterhalen tegen welke dns servers je praat ( windows )

wireshark of tcpdump om dumps te maken van het netwerk verkeer ( *nix os required )

Ps, wireshark draait ook op windows met behulp van libpcap
25-03-2009, 14:56 door cpt_m_
Door ZeroSnort - IDS ( intrusion detection program )

NSlookup - om te achterhalen tegen welke dns servers je praat ( windows )

wireshark of tcpdump om dumps te maken van het netwerk verkeer ( *nix os required )

Ps, wireshark draait ook op windows met behulp van libpcap

Dit betekent een windows of linux PC voor mijn router/firewall/ids protectie en na mijn xDSL modem om zo het netwerk verkeer met behulp van Snort of Wireshark op te vangen!
25-03-2009, 15:51 door Zero
Correct het is feitelijk een geavanceerde Firewall / Router / IDS die tevens het netwerk verkeer kan dumpen door midel van tcpdump ( unix command line ) of Wireshark ( Gui die ook op windows draait ) Tevens kan je mischien denken aan een programma zoals Tripwire om je bestanden te checken voor ongeauthoriseerde veranderingen. ( http://www.tripwire.com/ ) en rkhunter of chkrootkit maar dit zijn voornamelijk *nix programas. Nessus en Metasploit om pen tests te doen op je eigen netwerk en vergeet nmap niet.

Groetjes, Zer0

Ps, als je de bind servers van je isp niet vertrouwt kunt u mischien eens naar openDNS kijken als alternatief.

( http://www.opendns.com/ )
25-03-2009, 16:15 door cpt_m_
Door ZeroCorrect het is feitelijk een geavanceerde Firewall / Router / IDS die tevens het netwerk verkeer kan dumpen door midel van tcpdump ( unix command line ) of Wireshark ( Gui die ook op windows draait ) Tevens kan je mischien denken aan een programma zoals Tripwire om je bestanden te checken voor ongeauthoriseerde veranderingen. ( http://www.tripwire.com/ ) en rkhunter of chkrootkit maar dit zijn voornamelijk *nix programas. Nessus en Metasploit om pen tests te doen op je eigen netwerk en vergeet nmap niet.

Groetjes, Zer0

Ps, als je de bind servers van je isp niet vertrouwt kunt u mischien eens naar openDNS kijken als alternatief.

( http://www.opendns.com/ )

Conclusie: geen kant en klaar apparaten zoals SonicWALL maar een eigen PC met daarop de benodigde software voor:
- Anti-Virus
- Anti-Spyware
- Intrusion Prevention
- Firewall

Klopt voor pentest maak ik gebruik van BT en opendns is bij mij bekend --> bedankt voor de tip(s)
25-03-2009, 16:27 door Zero
Correct maar ik wil daar wel aan toevoegen dat deze informatie gebaseerd is op persoonlijke ervaringen. Ik heb daarbij voor een linux oplossingen gekozen omdat ik graag volledige controle heb over mijn firewall omgeving. En ik weet niet of Sonicwall deze functionaliteit bied. Het handige van deze oplossing is dat je de functionaliteit kan uitbreiden al naar gelang de door u benodigde functies. En dat deze gewoon geupdate kunnen worden zonder firmware updates of andere soms lastige updates.

Ik zou dan ook graag andere beveiligings experts uitnodigen om aan deze discussie mee te doen en hun ervaringen te delen.
25-03-2009, 17:16 door Eghie
Of gebruik iets als Engarde Linux: http://www.engardelinux.org/
25-03-2009, 19:18 door cpt_m_
Zoals ZERO al voorsteld zou ik ook graag andere beveiligings experts willen uitnodigen om aan deze discussie mee te doen en hun ervaringen te delen.

Hiervoor wil ik Eghie alvast bedanken, graag zou ik willen vragen waarom je voor deze open source Internet operating platform hebt gekozen?
25-03-2009, 19:42 door Anoniem
Nokia IPxxxx with Intrusion Prevention

http://www.nokiaforbusiness.com/nfb/find_a_product/product_category.html?guid=22d0db4e30196110VgnVCM200000718ef393RCRD

Neem wel even wat knaken mee, de IP690 kost zo'n 15K-20K, die je natuurlijk wilt clusteren om geen SPOF te hebben.

Geweldige apparatuur. Nokia appliances werken als een tierelier en zijn ook goed te combineren met CheckPoint software.
25-03-2009, 21:12 door Anoniem
astaro is misschien ook een optie

www.astaro.com
26-03-2009, 09:58 door cpt_m_
Door Anoniemastaro is misschien ook een optie

www.astaro.com

Astaro, kun je aangeven waarom!
26-03-2009, 10:34 door cpt_m_
Door AnoniemNokia IPxxxx with Intrusion Prevention

http://www.nokiaforbusiness.com/nfb/find_a_product/product_category.html?guid=22d0db4e30196110VgnVCM200000718ef393RCRD

Neem wel even wat knaken mee, de IP690 kost zo'n 15K-20K, die je natuurlijk wilt clusteren om geen SPOF te hebben.

Geweldige apparatuur. Nokia appliances werken als een tierelier en zijn ook goed te combineren met CheckPoint software.

Nokia dat is nu echt een leverancier waar ik niet aan gedacht zou hebben!
Kun je aangeven waarom en zijn er nog andere security specialisten die hiermee werken of gewerkt hebben!
26-03-2009, 12:10 door SirDice
Door AnoniemGeweldige apparatuur. Nokia appliances werken als een tierelier en zijn ook goed te combineren met CheckPoint software.
+1 :)

Vroeger ISS Realsecure gedraait op Nokia IP380, werkt inderdaad als een jekker. Niet goedkoop maar wel goed.
26-03-2009, 12:59 door Anoniem
nokia en checkpoint ?
het beheer is afschuwelijk, de licentiekosten nog erger.
ik zou eens kijken naar een oplossing van netasq, die bieden al in the box en is betaalbaar.
26-03-2009, 13:00 door Anoniem
De reden waarom ik op Nokia uitkwam is omdat ik zelf nu 6 jaar ervaring heb met deze apparatuur (en met 3 generaties van deze appliances). Het is snel, super stabiel (uitval 0!), flexibel (naast het "eigen" IPSO OS is ook derde partij software mogelijk en zoals gezegd koppelingen met CheckPoint zijn mogelijk) en de support is uitstekend (die ik dus meer nodig heb gehad voor inrichtingsvraagstukken, omdat ik geen storing heb meegemaakt :-) ).
.
26-03-2009, 13:44 door SirDice
De Nokia hardware is erg goed en kan heel wat netwerk verkeer verstouwen. Nooit problemen mee gehad. IPSO is gebaseerd op FreeBSD waardoor het al snel mijn favoriet werd :-)

Met Checkpoint is niets mis, een stuk makkelijker te onderhouden dan een PIX vond ik. Maar zoals met alles moet je wel weten waar je mee bezig bent. Licentie kosten zijn wel aan de stevige kant inderdaad.

Op de Nokia hardware hadden we ook ISS Realsecure (Heet volgens mij tegenwoordig IBM SiteProtector). Er goed, makkelijk te configureren, zeker als je er meerdere hebt, alles is centraal te regelen.
26-03-2009, 14:38 door cpt_m_
De vraag van deze topic is begonnen met een mogelijke aanval.

SirDice geeft duidelijk aan dat je een ruwe package dump nodig hebt voor nadere analyse.

Ik heb nog steeds geen reactie gekregen van mijn provider.

Ik kan me eigen NIET voorstellen dat dit een aanval is MAAR zou toch graag over meer zekerheid willen beschikken, kan iemand mij hierbij helpen!

Ik wil in ieder geval iedereen alvast bedanken voor hun input :)
26-03-2009, 15:23 door SirDice
Door cpt(m)Ik kan me eigen NIET voorstellen dat dit een aanval is MAAR zou toch graag over meer zekerheid willen beschikken, kan iemand mij hierbij helpen!
Tjsa, da's lastig als je verder geen gegevens hebt dan alleen deze meldingen. Om er achter te komen wat er nu precies aan de hand was zul je meer info moeten hebben/geven.

Je weet wel het source IP adres, ook de source en destination poorten? Protocol (TCP of UDP)?
Welke andere info heb je nog? Is er logging van de DNS server?

Daarom is het zo belangrijk om de ruwe data te hebben. Anders blijft het gissen.
26-03-2009, 16:13 door cpt_m_
Je weet wel het source IP adres, ook de source en destination poorten? Protocol (TCP of UDP)?
Welke andere info heb je nog? Is er logging van de DNS server?[/quote]
Source IP --> Provider
Source Port --> 53

Destination IP --> DNS Servers lokaal
Destination Port --> 49630, 61545, 50353, 57690, etc.

Debug Logging op de DNS Server stond niet aan.

Tevens heb ik de IDP zo ingesteld dat het desbetreffende pakket dropt.
Kan deze natuurlijk weer toelaten en Debug Logging aanzetten maar is dat wijsheid!!
26-03-2009, 16:48 door SirDice
Door cpt(m)Source IP --> Provider
Source Port --> 53

Destination IP --> DNS Servers lokaal
Destination Port --> 49630, 61545, 50353, 57690, etc.
Gezien de destination poorten zou ik zeggen dat het verkeer was wat van jouw netwerk afkwam en naar je provider gezonden werd. De IDP triggerde schijnbaar op een response van je provider.

Weet je de details van de rules die getriggerd werden? Waar testen ze op?
26-03-2009, 16:57 door cpt_m_
Door SirDice
Door cpt(m)Source IP --> Provider
Source Port --> 53

Destination IP --> DNS Servers lokaal
Destination Port --> 49630, 61545, 50353, 57690, etc.
Gezien de destination poorten zou ik zeggen dat het verkeer was wat van jouw netwerk afkwam en naar je provider gezonden werd. De IDP triggerde schijnbaar op een response van je provider.

Weet je de details van de rules die getriggerd werden? Waar testen ze op?

Dit zijn de events van mijn IDP detectie:
- DNS possible DNS cache poisoning (W1 to L)
- DNS possible spoof of domain run by local DNS servers (W1 to L)

Zoals je ziet is het van mijn provider (W1) naar mijn lokale netwerk (L), toch!!

Ps. heb nu extra logging aanstaan + het pakket wordt nu std doorgelaten.
26-03-2009, 17:02 door SirDice
Door cpt(m)Dit zijn de events van mijn IDP detectie:
- DNS possible DNS cache poisoning (W1 to L)
- DNS possible spoof of domain run by local DNS servers (W1 to L)
Wat ik bedoelde waren de exacte bitjes waar op gecontroleerd wordt. Ergens is er een regel die zegt: "Als dit en dit voorkomt -> alarm".

Zoals je ziet is het van mijn provider (W1) naar mijn lokale netwerk (L), toch!!
Ja, maar het is een response op iets wat vanaf jouw netwerk gestuurd is.

Normaal verkeer gaat van een willekeurige source port naar een vaste service poort (bijv. 53; DNS of 80;HTTP). De response gaat van die service poort terug naar die willekeurige poort.


Random port -> 53
Random port <- 53
26-03-2009, 19:04 door cpt_m_
Door SirDice
Door cpt(m)Dit zijn de events van mijn IDP detectie:
- DNS possible DNS cache poisoning (W1 to L)
- DNS possible spoof of domain run by local DNS servers (W1 to L)
Wat ik bedoelde waren de exacte bitjes waar op gecontroleerd wordt. Ergens is er een regel die zegt: "Als dit en dit voorkomt -> alarm".

Helaas geen exacte bitjes alleen ID IDS + wat je met dit pakketje wilt doen, drop, no action, etc

Zoals je ziet is het van mijn provider (W1) naar mijn lokale netwerk (L), toch!!
Ja, maar het is een response op iets wat vanaf jouw netwerk gestuurd is.

Op mijn DNS Servers staan forwaders ingesteld naar de 2 DNS Servers van mijn provider, deze IP adressen zijn ook de source IP adressen binnen mijn detectie. Waarschijnlijk gaat het dan om een update verzoek van mijn interne DNS Servers naar de DNS Servers van mijn Provider maar waarom dan deze plotselinge meldingen van mijn IDS. Update van mijn IDS detectie die nu wel een alarm laat afgaan. Waarschijnlijk gaat het dan om een valse melding maar waarom reageert mijn provider NIET!

Normaal verkeer gaat van een willekeurige source port naar een vaste service poort (bijv. 53; DNS of 80;HTTP). De response gaat van die service poort terug naar die willekeurige poort.


Random port -> 53
Random port <- 53
27-03-2009, 08:33 door cpt_m_
SirDice ik heb informatie verzameld met DNS DEBUG LOGGING, teveel om hier te plaatsen.
Ik zou graag deze informatie aan je willen overhandigen, is dat mogelijk!
27-03-2009, 09:20 door SirDice
Sirdice at gmail, hotmail of xs4all. Maakt niet zo heel veel uit.

Ik weet niet of ik er iets uit kan halen maar 2 weten altijd nog meer dan 1 ;)
27-03-2009, 10:18 door cpt_m_
Sirdice e-mail is verzonden naar gmail, bedankt alvast en zoals je zegt 2 weten er meer dan 1 :)
27-03-2009, 10:45 door SirDice
Hehe... Hebben... (je hebt wel m'n voornaam verkeerd gespeld ;) )
27-03-2009, 11:01 door cpt_m_
Door SirDiceHehe... Hebben... (je hebt wel m'n voornaam verkeerd gespeld ;) )

Heb je het bericht wel kunnen openen :)
27-03-2009, 11:03 door SirDice
Voor zover ik kan zien is er niet mis met zowel de request als de reply.

Je kunt het eventueel zelf controleren met dig; dig tools.l.google.com. Met nslookup kan het ook maar persoonlijk vind ik dig prettiger werken. De adressen die in jouw dns.txt staan komen overeen met wat ik zelf getest heb. Lijkt me dat er dan niets gespoofd wordt aangezien ik een andere internet provider heb.

Ik denk dat we deze wel kunnen scharen in de categorie false positive.

Blijft het nog wel interessant om uit te zoeken waar deze rules nu exact op triggeren.
27-03-2009, 11:08 door cpt_m_
Door SirDiceVoor zover ik kan zien is er niet mis met zowel de request als de reply.

Je kunt het eventueel zelf controleren met dig; dig tools.l.google.com. Met nslookup kan het ook maar persoonlijk vind ik dig prettiger werken. De adressen die in jouw dns.txt staan komen overeen met wat ik zelf getest heb. Lijkt me dat er dan niets gespoofd wordt aangezien ik een andere internet provider heb.

Ik denk dat we deze wel kunnen scharen in de categorie false positive.

Blijft het nog wel interessant om uit te zoeken waar deze rules nu exact op triggeren.

nogmaals bedankt voor je reactie.

Ik dacht het wel maar goed om te horen dat jij dit ook bevestigd :)
Ben wel benieuwd waar mijn provider mee komt!!!

Ik ga ook bij mijn leverancier na waar de rules nu exact op reageren, ik hou je op de hoogte.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.