Intrusion Prevention System
Das Intrusion Prevention System (IPS) des Schulrouter Plus basiert auf Suricata und nutzt Netmap zur Leistungssteigerung und Minimierung der CPU-Auslastung. Dieses Deep Packet Inspection-System ist sehr leistungsfähig und kann zur Erkennung und Entschärfung von Sicherheitsbedrohungen in Leitungsgeschwindigkeit eingesetzt werden.
IDS und IPS
Es ist wichtig, die in diesem Dokument verwendeten Begriffe zu definieren. Ein Intrustion Detection System (IDS) überwacht den Netzwerkverkehr auf verdächtige Muster und kann den Betreiber alarmieren, wenn ein Muster mit einer Datenbank bekannter Verhaltensweisen übereinstimmt. Ein Intrusion Prevention System (IPS) geht einen Schritt weiter, indem es jedes Paket untersucht, während es eine Netzwerkschnittstelle durchläuft, um festzustellen, ob das Paket in irgendeiner Weise verdächtig ist. Wenn es mit einem bekannten Muster übereinstimmt, kann das System das Paket verwerfen und so versuchen, eine Bedrohung zu entschärfen.
Die Suricata-Software kann sowohl als IDS- als auch als IPS-System arbeiten.
Auswählen einer Schnittstelle
Sie können das System auf verschiedenen Schnittstellen konfigurieren. Eine der am häufigsten gestellten Fragen ist, welche Schnittstelle zu wählen ist. In Anbetracht der fortgesetzten Verwendung von IPv4, in der Regel in Kombination mit Network Address Translation, ist es ziemlich wichtig, die richtige Schnittstelle zu verwenden. Wenn Sie den Verkehr auf einer WAN-Schnittstelle aufzeichnen, sehen Sie nur den Verkehr nach der Adressübersetzung. Das bedeutet, dass der gesamte Verkehr von Ihrer Firewall ausgeht und nicht von dem tatsächlichen Rechner dahinter, der wahrscheinlich den Alarm auslöst.
Regeln für ein IDS/IPS-System müssen in der Regel ein klares Verständnis über das interne Netzwerk haben; diese Informationen gehen verloren, wenn Pakete hinter NAT erfasst werden.
Ohne zu versuchen, alle Details einer IDS-Regel zu erklären (das können die Leute von Suricata viel besser <https://suricata.readthedocs.io/en/suricata-5.0.5/rules/index.html>`__), hilft ein kleines Beispiel einer der ET-Open-Regeln in der Regel, die Bedeutung für Ihr Heimnetzwerk zu verstehen.
alert tls $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN Observed Glupteba CnC Domain in TLS SNI"; flow:established,to_server; tls_sni; content:"myinfoart.xyz"; depth:13; isdataat:!1,relative; metadata: former_category MALWARE; reference:md5,4cc43c345aa4d6e8fd2d0b6747c3d996; classtype:trojan-activity; sid:2029751; rev:2; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, signature_severity Major, created_at 2020_03_30, updated_at 2020_03_30;)Die $HOME_NET kann konfiguriert werden, aber normalerweise ist es ein statisches Netz, das in RFC 1918 definiert ist. Im erweiterten Modus können Sie eine externe Adresse wählen, aber bedenken Sie, dass Sie nicht wissen, welcher Rechner wirklich an dem Angriff beteiligt war, und es sollte wirklich eine statische Adresse oder ein statisches Netz sein.
$EXTERNAL_NET ist so definiert, dass es sich nicht um das Heimatnetz handelt, was erklärt, warum Sie nicht den gesamten Verkehr als Heimatnetz auswählen sollten, da wahrscheinlich keine der Regeln zutreffen wird.
Da die Firewall standardmäßig eingehende Pakete verwirft, bringt es in der Regel keine Verbesserung der Sicherheit, die WAN-Schnittstelle im IPS-Modus zu verwenden, da sie die Pakete verwirft, die auch von der Firewall verworfen worden wären.
Der IDS-Modus ist auf fast allen (virtuellen) Netzwerktypen verfügbar. Der IPS-Modus ist nur mit unterstützten physikalischen Adaptern verfügbar.
Allgemeine Einrichtung
Die Einstellungsseite enthält die Standardoptionen, um Ihr IDS/IPS-System in Betrieb zu nehmen.
Aktiviert | Suricata freigeben |
IPS-Modus | Wenn diese Funktion aktiviert ist, kann das System verdächtige Pakete verwerfen. Damit dies funktioniert, muss Ihre Netzwerkkarte Netmap unterstützen. Die Aktion für eine Regel muss „drop“ sein, um das Paket zu verwerfen, dies kann pro Regel oder Regelsatz konfiguriert werden (mit einem Eingabefilter) |
Promiscuous-Modus | Hören Sie den Datenverkehr im Promiscuous-Modus ab. (alle Pakete anstelle von nur den an diese Netzwerkschnittstelle adressierten) |
Aktivieren von Syslog-Warnungen | Senden von Alarmen an Syslog, unter Verwendung des schnellen Protokollformats |
eve syslog-Ausgabe einschalten | Senden Sie Alarme im EVE-Format an Syslog, unter Verwendung von Log-Level-Informationen. Dies ändert nichts an der vom Produkt selbst verwendeten Alarm-Protokollierung. Abwurfprotokolle werden aufgrund von Einschränkungen in Suricata nur an den internen Logger gesendet. |
Musterprüfer | Steuert den Algorithmus für den Mustervergleich. Aho-Corasick ist der Standard. Auf unterstützten Plattformen ist Hyperscan die beste Option. Auf Commodity-Hardware, wenn Hyperscan nicht verfügbar ist, wird die Einstellung „Aho-Corasick Ken Steele-Variante“ empfohlen, da sie eine bessere Leistung als „Aho-Corasick“ bietet. |
Schnittstellen | Zu schützende Schnittstellen. Im IPS-Modus müssen dies echte Schnittstellen sein, die Netmap unterstützen. (Wenn Sie VLANs verwenden, aktivieren Sie IPS auf dem übergeordneten Netzwerk). |
Protokoll rotieren | Log-Rotationshäufigkeit, wird auch für die interne Ereignisprotokollierung verwendet (siehe Registerkarte „Alert“) |
Protokolle speichern | Anzahl der zu haltenden Protokolle |
Wenn Sie ein externes Reporting-Tool verwenden, können Sie syslog verwenden, um Ihr EVE log einfach zu versenden. Aktivieren Sie einfach „Enable EVE syslog output“ und erstellen Sie ein Ziel in System ‣ Einstellungen ‣ Logging / Targets. (Filter Applikation „suricata“ und Level „info“)
Wenn Sie den IPS-Modus verwenden, stellen Sie sicher, dass alle Hardware-Offloading-Funktionen in den Schnittstelleneinstellungen deaktiviert sind (Schnittstellen ‣ Einstellungen).
Erweiterte Optionen
Einige weniger häufig verwendete Optionen sind unter dem Umschalter „Erweitert“ versteckt.
Heimnetzwerke | Definieren Sie benutzerdefinierte Heimnetzwerke, wenn sie sich von einem RFC1918-Netzwerk unterscheiden. In manchen Fällen neigen Leute dazu, IDPS auf einer Wan-Schnittstelle hinter NAT (Network Address Translation) zu aktivieren, in diesem Fall würde Suricata nur übersetzte Adressen anstelle von internen sehen. Mit dieser Option können Sie festlegen, welche Adressen Suricata als lokal betrachten soll. |
Standardpaketgröße | Sie können mit dieser Option die Größe der Pakete Ihres Netzwerks bestimmen. Es kann sein, dass manchmal größere Pakete verarbeit werden müssen. Die Engine kann dennoch größere Pakete verarbeiten, aber die Leistung ist schlechter. |
Regelwerke herunterladen
Bei der erstmaligen Aktivierung von IDS/IPS ist das System ohne Regeln zur Erkennung oder Blockierung von bösartigem Datenverkehr aktiv. Die Registerkarte „Download“ enthält alle auf dem System verfügbaren Regelsätze (die mit Plugins erweitert werden können).
In diesem Abschnitt finden Sie eine Liste der Regelsätze, die von verschiedenen Parteien bereitgestellt werden, und wann (falls installiert) sie zuletzt auf das System heruntergeladen wurden. Um das Standardverhalten der installierten Regeln zu ändern, verwenden Sie Policies, eine separate Funktion innerhalb des IDS/IPS-Moduls, die eine feinkörnige Kontrolle über die Regelsätze bietet.
Policen
Der Menüpunkt Richtlinie enthält ein Raster, in dem Sie Richtlinien definieren können, die auf installierte Regeln angewendet werden. Hier können Sie Richtlinien hinzufügen, aktualisieren oder entfernen und auch deaktivieren. Richtlinien helfen bei der Steuerung, welche Regeln Sie auf welche Weise verwenden möchten, und sind die bevorzugte Methode zur Änderung des Verhaltens. Sie können zwar immer noch einzelne Regeln auf der Registerkarte „Regeln“ aktualisieren, aber das Hinzufügen vieler benutzerdefinierter Überschreibungen ist empfindlicher gegenüber Änderungen und birgt das Risiko, die Benutzeroberfläche zu verlangsamen.
Ein Richtlinieneintrag enthält 3 verschiedene Abschnitte. Zunächst einige allgemeine Informationen, wie die Beschreibung und ob die Regel aktiviert ist, sowie eine Priorität. Sich überschneidende Richtlinien werden der Reihe nach abgearbeitet, wobei die erste Übereinstimmung mit der niedrigsten Prioritätsnummer verwendet wird.
Zweitens gibt es die Matching-Kriterien, diese enthalten die Regelsätze, auf die eine Richtlinie angewendet wird, sowie die für eine Regel konfigurierte Aktion (standardmäßig deaktiviert, Alarm oder Drop), schließlich gibt es den Abschnitt Regeln, der die Metadaten enthält, die von den installierten Regeln gesammelt werden, diese enthalten Optionen wie betroffenes Produkt (Android, Adobe Flash, …) und Bereitstellung (Rechenzentrum, Perimeter).
Die letzte Option, die Sie auswählen können, ist die neue Aktion, die verwendet werden soll: entweder die ausgewählten Regeln deaktivieren, nur bei ihnen eine Warnung ausgeben oder den Datenverkehr bei Übereinstimmung verwerfen.
Die Optionen im Abschnitt Regeln hängen vom Hersteller ab. Wenn in der Quellregel keine Metadaten angegeben sind, können auf unserer Seite keine verwendet werden.
Installierte Regeln
Die Registerkarte „Regeln“ bietet ein einfach zu bedienendes Raster, um die installierten Regeln und ihren Zweck zu finden. Mit dem Selektor oben kann man die Regeln anhand der gleichen Metadateneigenschaften filtern, die in der Richtlinienansicht verfügbar sind.
Nach dem Anwenden von Regeländerungen werden die Regelaktion und der Status (aktiviert/deaktiviert) gesetzt. Um die Richtlinie, die auf die Regel angewendet wurde, leicht zu finden, prüfen Sie die Option matched_policy im Filter. Manuelle Änderungen (einzelne Regel) werden als Richtlinie „__manuell__“ markiert.
Fingerabdrücke
Schulrouter Plus enthält eine sehr ausgefeilte Lösung zum Blockieren geschützter Websites auf der Grundlage ihres SSL-Fingerabdrucks. Sie können manuell Regeln in der Registerkarte „Benutzerdefiniert“ hinzufügen.
Alarmmeldungen
Auf der Registerkarte „Alarme“ können Sie die vom IDS/IPS-System ausgelösten Alarme einsehen. Verwenden Sie hier die Info-Schaltfläche, um Details über das erkannte Ereignis oder die Bedrohung zu sammeln.
Verfügbare Regelsätze
Aufkommende Bedrohungen
Emerging Threats (ET) verfügt über eine Vielzahl von IDS/IPS-Regelsätzen. Es ist eine kostenlose, BSD-lizenzierte Version und eine kostenpflichtige Version verfügbar.
ET offen
Der ETOpen-Regelsatz ist kein Regelsatz für eine vollständige Abdeckung und ist möglicherweise für viele regulierte Umgebungen nicht ausreichend und sollte daher nicht als eigenständiger Regelsatz verwendet werden.
Schulrouter Plus hat eine integrierte Unterstützung für ETOpen-Regeln.
-
Für Details und Richtlinien siehe: http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
-
Für die Regeldokumentation: http://doc.emergingthreats.net/
ETPro Telemetrie
Proofpoint bietet eine kostenlose Alternative für das bekannte Regelwerk ET Pro Telemetrie-Ausgabe.
Missbrauch.ch
Abuse.ch bietet mehrere Blacklists zum Schutz vor betrügerischen Netzwerken.
SSL-Blacklist
Die SSL Blacklist (SSLBL) ist ein Projekt, das von abuse.ch gepflegt wird. Das Ziel ist es, eine Liste von „schlechten“ SSL-Zertifikaten bereitzustellen, die von abuse.ch als mit Malware oder Botnet-Aktivitäten in Verbindung stehend identifiziert wurden. SSLBL stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an.
Siehe für Details: https://sslbl.abuse.ch/
Feodo Tracker
Feodo (auch bekannt als Cridex oder Bugat) ist ein Trojaner, der verwendet wird, um ebanking-Betrug zu begehen und sensible Informationen vom Computer des Opfers zu stehlen, wie z. B. Kreditkartendetails oder Anmeldedaten. Im Moment verfolgt Feodo Tracker vier Versionen von Feodo, die von Feodo Tracker als Version A, Version B, Version C und Version D bezeichnet werden:
-
Version A Gehostet auf kompromittierten Webservern, auf denen ein Nginx-Proxy auf Port 8080 TCP läuft, der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet. Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domain-Namen zu verwenden.
-
Version B Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers gemietet und betrieben werden. In der Regel unter Ausnutzung eines Domain-Namens innerhalb der ccTLD .ru. Der Botnet-Verkehr erreicht diese Domain-Namen in der Regel über Port 80 TCP.
-
Version C Nachfolger von Feodo, komplett anderer Code. Wird auf der gleichen Botnet-Infrastruktur wie Version A gehostet (kompromittierte Webserver, nginx auf Port 8080 TCP oder Port 7779 TCP, keine Domainnamen), verwendet aber eine andere URL-Struktur. Diese Version ist auch als Geodo und Emotet. bekannt.
-
Version D Nachfolger von Cridex. Diese Version ist auch als Dridex bekannt.
Siehe für Details: https://feodotracker.abuse.ch/
URLHaus-Liste
Schulrouter Plus verwendet die URLHaus-Liste von abuse.ch, die kompromittierte Seiten sammelt, die Malware verteilen.
Siehe für Details: https://urlhaus.abuse.ch/
Regeln für die App-Erkennung
Der Schulrouter Plus verfügt über einen Regelsatz zur App-Erkennung. Da etwa 80 Prozent des Datenverkehrs Webanwendungen sind, sind diese Regeln darauf ausgerichtet, Webdienste und die dahinter stehenden URLs zu blockieren.