senci86
Goto Top

Intrusion Detection-Prevention bei verschlüsselten Verbindungen

Hallo Zusammen,

wir beginnen, uns mit IDS/IPS Systemen zu befassen. Zum testen nutzen wir eine PFSense mit Snort auf dem WAN Interface. Kann mir jemand erklären, wie IDS/IPS Systeme mit verschlüsselten Verbindungen umgehen? Wie erkennt ein IDS/IPS einen Angriff wenn eine SSL verschlüsselte Verbindung genutzt wird?

Danke

Content-Key: 358224

Url: https://administrator.de/contentid/358224

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 14.12.2017 um 20:10:17 Uhr
Goto Top
Hallo Senci,

wer ist denn "wir"?

Grundsätzlich nach Erkennungsmuster, speziell woher, mit welcher Frequenz etc, daneben können solche Systeme je nach dem auch die Verschlüsselung brechen (und neu Verschlüsseln). White zu Black Hat ist eben nur ein wenig Farbe + Ideologie.

VG
Mitglied: Senci86
Senci86 14.12.2017 um 21:23:39 Uhr
Goto Top
Hallo,

ich teste mit einem Freund.

Ich verstehe das so, dass weniger Verschlüsselung an sich ein Problem darstellt sondern die nutzbaren Erkennungsmuster möglichst "ausgefeilt" sein sollten. Somit kann zwar eine Verbindung verschlüsselt sein, dennoch kann ein IDS/IPS ggf. anhand der Muster im Verbindungsaufbau (bspw. zeitlich, o. regional) einen möglichen Angriff als solchen Einstufen. Ist das richtig?

danke soweit
Mitglied: the-buccaneer
Lösung the-buccaneer 15.12.2017 um 03:42:44 Uhr
Goto Top
Also mein Verständnis sagt: Innerhalb der verschlüsselten Verbindung ist das IPS machtlos. Denn die Entschlüsselung findet auf dem Client statt. Sonst könnte ja jeder mitlesen. (Es gibt aber Möglichkeiten, das per "Man in the Middle" z.B. für ClamAV aufzubrechen.)
Trotzdem kann ein IDS z.B. noch IP's nach Filterlisten blocken. Es filtert auch Verbindungen, die per NAT z.B. auf einen VNC-Port laufen oder DynDns Adressen. Snort schaut nach Unregelmässigkeiten und Auffälligkeiten im Traffic. Portscans laufen bei mir teils noch dort auf.

Interessant ist es, das Snort mal auf dem LAN laufen zu lassen. Es erkennt nur wenige "False-Positives" und liefert immer die IP des bösen Clients. Habe ich so im Einsatz.

Ansonsten bleibt dir nix, als mal die Rules (z.B. ET) genauer zu betrachten: http://docs.emergingthreats.net/bin/view/Main/EmergingFAQ

Gruß
Buc
Mitglied: Dani
Dani 15.12.2017 um 22:14:04 Uhr
Goto Top
Moin,
IDS/IPS spielt doch eigentlich nur eingehende Verbindungen eine Rolle? Bestes Beispiel wäre ein Webserver in der DMZ. Um den Datenverkehr (auch SSL) einsehen zu können, terminert man die Verbindung auf der Firewall und diese baut eine neue Verbindung zum Zielhost auf. (Stichwort Reverse Proxy).

Kollege @aqui wird das sicherlich ausführlicher kommentieren. face-smile


Gruß,
Dani