4
Intrusion Detection-Prevention bei verschlüsselten Verbindungen
Hallo Zusammen,
wir beginnen, uns mit IDS/IPS Systemen zu befassen. Zum testen nutzen wir eine PFSense mit Snort auf dem WAN Interface. Kann mir jemand erklären, wie IDS/IPS Systeme mit verschlüsselten Verbindungen umgehen? Wie erkennt ein IDS/IPS einen Angriff wenn eine SSL verschlüsselte Verbindung genutzt wird?
Danke
wir beginnen, uns mit IDS/IPS Systemen zu befassen. Zum testen nutzen wir eine PFSense mit Snort auf dem WAN Interface. Kann mir jemand erklären, wie IDS/IPS Systeme mit verschlüsselten Verbindungen umgehen? Wie erkennt ein IDS/IPS einen Angriff wenn eine SSL verschlüsselte Verbindung genutzt wird?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 358224
Url: https://administrator.de/contentid/358224
Printed on: April 23, 2024 at 11:04 o'clock
4 Comments
Latest comment
Hallo Senci,
wer ist denn "wir"?
Grundsätzlich nach Erkennungsmuster, speziell woher, mit welcher Frequenz etc, daneben können solche Systeme je nach dem auch die Verschlüsselung brechen (und neu Verschlüsseln). White zu Black Hat ist eben nur ein wenig Farbe + Ideologie.
VG
wer ist denn "wir"?
Grundsätzlich nach Erkennungsmuster, speziell woher, mit welcher Frequenz etc, daneben können solche Systeme je nach dem auch die Verschlüsselung brechen (und neu Verschlüsseln). White zu Black Hat ist eben nur ein wenig Farbe + Ideologie.
VG
Hallo,
ich teste mit einem Freund.
Ich verstehe das so, dass weniger Verschlüsselung an sich ein Problem darstellt sondern die nutzbaren Erkennungsmuster möglichst "ausgefeilt" sein sollten. Somit kann zwar eine Verbindung verschlüsselt sein, dennoch kann ein IDS/IPS ggf. anhand der Muster im Verbindungsaufbau (bspw. zeitlich, o. regional) einen möglichen Angriff als solchen Einstufen. Ist das richtig?
danke soweit
ich teste mit einem Freund.
Ich verstehe das so, dass weniger Verschlüsselung an sich ein Problem darstellt sondern die nutzbaren Erkennungsmuster möglichst "ausgefeilt" sein sollten. Somit kann zwar eine Verbindung verschlüsselt sein, dennoch kann ein IDS/IPS ggf. anhand der Muster im Verbindungsaufbau (bspw. zeitlich, o. regional) einen möglichen Angriff als solchen Einstufen. Ist das richtig?
danke soweit
Also mein Verständnis sagt: Innerhalb der verschlüsselten Verbindung ist das IPS machtlos. Denn die Entschlüsselung findet auf dem Client statt. Sonst könnte ja jeder mitlesen. (Es gibt aber Möglichkeiten, das per "Man in the Middle" z.B. für ClamAV aufzubrechen.)
Trotzdem kann ein IDS z.B. noch IP's nach Filterlisten blocken. Es filtert auch Verbindungen, die per NAT z.B. auf einen VNC-Port laufen oder DynDns Adressen. Snort schaut nach Unregelmässigkeiten und Auffälligkeiten im Traffic. Portscans laufen bei mir teils noch dort auf.
Interessant ist es, das Snort mal auf dem LAN laufen zu lassen. Es erkennt nur wenige "False-Positives" und liefert immer die IP des bösen Clients. Habe ich so im Einsatz.
Ansonsten bleibt dir nix, als mal die Rules (z.B. ET) genauer zu betrachten: http://docs.emergingthreats.net/bin/view/Main/EmergingFAQ
Gruß
Buc
Trotzdem kann ein IDS z.B. noch IP's nach Filterlisten blocken. Es filtert auch Verbindungen, die per NAT z.B. auf einen VNC-Port laufen oder DynDns Adressen. Snort schaut nach Unregelmässigkeiten und Auffälligkeiten im Traffic. Portscans laufen bei mir teils noch dort auf.
Interessant ist es, das Snort mal auf dem LAN laufen zu lassen. Es erkennt nur wenige "False-Positives" und liefert immer die IP des bösen Clients. Habe ich so im Einsatz.
Ansonsten bleibt dir nix, als mal die Rules (z.B. ET) genauer zu betrachten: http://docs.emergingthreats.net/bin/view/Main/EmergingFAQ
Gruß
Buc
Moin,
IDS/IPS spielt doch eigentlich nur eingehende Verbindungen eine Rolle? Bestes Beispiel wäre ein Webserver in der DMZ. Um den Datenverkehr (auch SSL) einsehen zu können, terminert man die Verbindung auf der Firewall und diese baut eine neue Verbindung zum Zielhost auf. (Stichwort Reverse Proxy).
Kollege @aqui wird das sicherlich ausführlicher kommentieren.
Gruß,
Dani
IDS/IPS spielt doch eigentlich nur eingehende Verbindungen eine Rolle? Bestes Beispiel wäre ein Webserver in der DMZ. Um den Datenverkehr (auch SSL) einsehen zu können, terminert man die Verbindung auf der Firewall und diese baut eine neue Verbindung zum Zielhost auf. (Stichwort Reverse Proxy).
Kollege @aqui wird das sicherlich ausführlicher kommentieren.
Gruß,
Dani
