Intervendor IDS koppelingenStefan Deelen & Marju Jalloh

Praktisch onderzoek

 

Doelstelling project

Het project ”Intervendor IDS” heeft als doelstelling het verrichten van:

1. Onderzoek naar een gewenste intervendor methodiek voor het uitwisselen van security alerts,

2. en het doen van praktisch onderzoek ter beoordeling van deze methodiek.

 

Agenda:• Aanleiding & doelstelling project• Intro IDMEF, IDXP, BEEP, IDWG, (IODEF).• Intervendor commerciëel• Prelude en Snort• IDMEF testbed, intro• Metingen (marju)

• Introductie testbed en aanpak• nmap ­> XML meting• nmap ­> performance meting

• Conclusies onderzoek

 

• Toepassingsgebied van IDMEF is (wordt) tussen sensor en console (ook wel ‘analyzer en manager’)

• IDMEF in rfc4765 (maart 2007)

• IDXP in rfc4767.

IDMEF

 

IDMEF message structuur nuttig..?• bij aanleveren messages aan event correlatie systemen

• bij opslag en aanlevering bij centraal archief systeem

• monitor systemen

• Algemeen format maakt het voor verschillende org’s (users, vendors, responseteams..) makkelijker data uit te wisselen

 

IDMEF als oplossing voor (potentiële) problematiek:• Alerts zijn heterogeen, object georiënteerd IDMEF data­model weet hier mee om te gaan,• een attackdetectie door verschillende sensor systemen of OS’en wordt verschillend afgemeld, IDMEF structureert dit,• de alert­info moet na (re)presentatie gemakkelijk op uniforme wijze verwerkbaar zijn..XML!• (Commerciële) vendors wensen flexibel data­model,•  …….

 

ManagerSensorIDMEF message

 

Intervendor commerciëel

• Geen effort voor IDMEF support

• Checkpoint OPSEC, geen open standaard, ook in 1997 gestart

• Intervendor koppelingen gericht op aansluiten bij de sterkste..

 

Opensource Prelude­IDS

• Volledig IDMEF based

• Koppelingen op basis van (IDMEF) plugin’s naar:

• Snort, Nessus, Nagios, Argus, Honeyd, LibSafe, SysTrace, Bro IDS

 

Snort architectuur

 

Wat hebben wij getest

• Overhead IDMEF XML code• Overhead met prelude• Overhead met mysql client• CPU Performance

 

TLS, Tcp/IP (4690)MySQL, Tcp/IP (3306)

Snort IDMEFSnort PreludeSnort MySQL

Black hat hostIDS­Sensor, “Vendor A”

IDS­Manager, “Vendor B”

Prelude­managerSnort­manager

Koppelingen via:MySQL

(Custom)Rules

nmap en ping

 

 

 

Problemen

• Versie problemen:

– Plugins zijn versie afhankelijk,– Rulesets zijn versie afhankelijk..

 

Overhead IDMEF XML code

6,221597225679­sSv2.4.4

6,221242519997­sTv2.4.4

6,22887514295­sTv2.4.4

6,2253258563­sSv2.4.4

6,2217762861­Ov2.4.4

6,2217752851­sSv2.4.4

Overhead factor

IDMEF file (byte)

Alert file (bytes)

Aantal nmap

Nmap flag

Snort versie

 

Overhead met prelude

4,70246005225v2.6.1.4

4,88224184593v2.6.1.4

4,93195293956v2.6.1.4

5,04136212699v2.6.1.4

5,984665780v2.6.1.4

Overhead factor

Tcpdumpfile (byte)

Alert file (bytes)Snort versie

 

Overhead met mysql

5.211022719635­Ov2.3.3

11.6850714342­sTv2.3.3

6,28630310033­sSv2.3.3

Overhead factor

Tcpdump file (byte)

Alert file (bytes)

Aantal nmap

Nmapflag

Snort versie

 

CPU Performance

38.32576755v2.3.3nr.4

53.62042255V2.6.1.4nr.3

13.31513253v2.4.4nr.2

31.42555652v2.3.3nr.1

Max cpu(Snort pid)

Alert file(bytes)

Aantal alert 

Snortversie

Testsituatie

?

 

Samenvatting & Conclusies..• IDMEF in combinatie met IDXP beschouwen wij wel als de meest 

wenselijke toekomstige Intervendor koppelmethodiek, omdat het een IETF standaard is..

• De conversie van snort security messages naar de voorgeschreven IDMEF XML beschrijving levert een gemiddelde overhead factor van 6.22,

• In verhouding tot vergelijkbare XML overhead (in bijv. webomgevingen) is deze conversie redelijk efficient uitgevoerd,

• De prelude koppeling past een extra conversie toe, maar heeft een proprietary communicatie interface,

• Wel is de prelude koppeling met een optimalisatie uitgerust, die de XML comprimeert voor transport. De factor overhead daalt daardoor tot onder de 5.

 

• OPSEC is geen interessante intervendor methodiek omdat dit geen open standaard is, is ook niet in de geest van os3,• De verrichtte metingen in dit kader lieten blijken dat de cpu­impact van 50% als gevolg van de XML en TLS bewerkingen behoorlijk is: Een onderzoek naar het nut en de haalbaarheid van de inzet van een XML/TLS combi­accelerator verdient aanbeveling voor heavy environments..(Wij hebben niet onderzocht of dit reeds wordt toegepast met snort configuraties).

Conclusies, vervolg..

 

Vragen..??