IDMEF Specifics

  • View
    221

  • Download
    0

Embed Size (px)

Text of IDMEF Specifics

  • IntervendorIDSkoppelingenStefanDeelen&MarjuJalloh

    Praktischonderzoek

  • Doelstellingproject

    Het project Intervendor IDS heeft als doelstelling het verrichten van:1. Onderzoek naar een gewenste intervendor methodiek voor het uitwisselen van security alerts,

    2. en het doen van praktisch onderzoek ter beoordeling van deze methodiek.

  • Agenda:Aanleiding&doelstellingprojectIntroIDMEF,IDXP,BEEP,IDWG,(IODEF).IntervendorcommercielPreludeenSnortIDMEFtestbed,introMetingen(marju)

    Introductietestbedenaanpaknmap>XMLmetingnmap>performancemeting

    Conclusiesonderzoek

  • ToepassingsgebiedvanIDMEFis(wordt)tussensensorenconsole(ookwelanalyzerenmanager)

    IDMEFinrfc4765(maart2007)

    IDXPinrfc4767.

    IDMEF

  • IDMEFmessagestructuurnuttig..?bijaanleverenmessagesaaneventcorrelatiesystemen

    bijopslagenaanleveringbijcentraalarchiefsysteem

    monitorsystemen

    Algemeenformatmaakthetvoorverschillendeorgs(users,vendors,responseteams..)makkelijkerdatauittewisselen

  • IDMEFalsoplossingvoor(potentile)problematiek:Alertszijnheterogeen,objectgeorinteerdIDMEFdatamodelweethiermeeomtegaan,eenattackdetectiedoorverschillendesensorsystemenofOSenwordtverschillendafgemeld,IDMEFstructureertdit,dealertinfomoetna(re)presentatiegemakkelijkopuniformewijzeverwerkbaarzijn..XML!(Commercile)vendorswensenflexibeldatamodel,.

  • ManagerSensorIDMEFmessage

  • Intervendorcommerciel

    GeeneffortvoorIDMEFsupport

    CheckpointOPSEC,geenopenstandaard,ookin1997gestart

    Intervendorkoppelingengerichtopaansluitenbijdesterkste..

  • OpensourcePreludeIDS

    VolledigIDMEFbased

    Koppelingenopbasisvan(IDMEF)pluginsnaar:

    Snort,Nessus,Nagios,Argus,Honeyd,LibSafe,SysTrace,BroIDS

  • Snortarchitectuur

  • Wathebbenwijgetest

    OverheadIDMEFXMLcode Overheadmetprelude Overheadmetmysqlclient CPUPerformance

  • TLS,Tcp/IP(4690)MySQL,Tcp/IP(3306)

    SnortIDMEFSnortPreludeSnortMySQL

    BlackhathostIDSSensor,VendorA

    IDSManager,VendorB

    PreludemanagerSnortmanager

    Koppelingenvia:MySQL

    (Custom)Rules

    nmapenping

  • Problemen

    Versieproblemen:

    Pluginszijnversieafhankelijk, Rulesetszijnversieafhankelijk..

  • OverheadIDMEFXMLcode

    6,221597225679sSv2.4.4

    6,221242519997sTv2.4.4

    6,22887514295sTv2.4.4

    6,2253258563sSv2.4.4

    6,2217762861Ov2.4.4

    6,2217752851sSv2.4.4

    Overheadfactor

    IDMEFfile(byte)

    Alertfile(bytes)

    Aantalnmap

    Nmapflag

    Snortversie

  • Overheadmetprelude

    4,70246005225v2.6.1.4

    4,88224184593v2.6.1.4

    4,93195293956v2.6.1.4

    5,04136212699v2.6.1.4

    5,984665780v2.6.1.4

    Overheadfactor

    Tcpdumpfile(byte)

    Alertfile(bytes)Snortversie

  • Overheadmetmysql

    5.211022719635Ov2.3.3

    11.6850714342sTv2.3.3

    6,28630310033sSv2.3.3

    Overheadfactor

    Tcpdumpfile(byte)

    Alertfile(bytes)

    Aantalnmap

    Nmapflag

    Snortversie

  • CPUPerformance

    38.32576755v2.3.3nr.4

    53.62042255V2.6.1.4nr.3

    13.31513253v2.4.4nr.2

    31.42555652v2.3.3nr.1

    Maxcpu(Snortpid)

    Alertfile(bytes)

    Aantalalert

    Snortversie

    Testsituatie

    ?

  • Samenvatting&Conclusies.. IDMEFincombinatiemetIDXPbeschouwenwijwelalsdemeest

    wenselijketoekomstigeIntervendorkoppelmethodiek,omdatheteenIETFstandaardis..

    DeconversievansnortsecuritymessagesnaardevoorgeschrevenIDMEFXMLbeschrijvingleverteengemiddeldeoverheadfactorvan6.22,

    InverhoudingtotvergelijkbareXMLoverhead(inbijv.webomgevingen)isdezeconversieredelijkefficientuitgevoerd,

    Depreludekoppelingpasteenextraconversietoe,maarheefteenproprietarycommunicatieinterface,

    Welisdepreludekoppelingmeteenoptimalisatieuitgerust,diedeXMLcomprimeertvoortransport.Defactoroverheaddaaltdaardoortotonderde5.

  • OPSECisgeeninteressanteintervendormethodiekomdatditgeenopenstandaardis,isooknietindegeestvanos3,Deverrichttemetingeninditkaderlietenblijkendatdecpuimpactvan50%alsgevolgvandeXMLenTLSbewerkingenbehoorlijkis:Eenonderzoek naarhetnutendehaalbaarheidvandeinzetvaneenXML/TLScombiacceleratorverdientaanbevelingvoorheavyenvironments..(Wijhebbennietonderzochtofditreedswordttoegepastmetsnortconfiguraties).

    Conclusies,vervolg..

  • Vragen..??