Archief
- De topics van lang geleden
IDS en IPS houden echte hackers niet buiten de deur
Intrusion detectie en preventie systemen worden voor bedrijven en organisaties die hun beveiliging serieus nemen als onmisbaar beschouwd. Elk jaar verschijnen er weer nieuwe modellen en IPS/IDS leveranciers doen goede zaken.
Toch is het maar de vraag wat je aan een IDS/IPS hebt. Voor hackers zijn deze appliances en software een interessant doelwit, omdat al het verkeer er doorheen gaat. Weet je het systeem over te nemen, dan heb je vrij spel en kun je naar hartelust wachtwoorden en andere vertrouwelijke informatie sniffen.
Dat brengt ons meteen bij het tweede nadeel, en dat is het aantal beveiligingslekken waar deze oplossingen mee te maken hebben. Zo zijn er in het verleden regelmatig lekken en kwetsbaarheden in Snort gevonden, het populaire "open source network intrusion prevention en detection systeem."
Daarnaast blijft het de vraag of een echte hack wel wordt opgemerkt. Bekende aanvallen herkennen is voor de meeste oplossingen geen probleem, maar hoe zit het met zero day exploits en andere aanvallen, die grote kans onopgemerkt blijven?
Last but not least geven IPS/IDS veel false positives, wat uiteindelijk ervoor kan zorgen dat echte waarschuwingen in alle ruis verloren gaan en beheerders van het IPS/IDS lui worden omdat er "waarschijnlijk toch niets aan de hand is".
Onze stelling luidt derhalve: IDS en IPS houden echte hackers niet buiten de deur
Reacties (32)
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false
positives.
En het is hoofdzakelijk een DETECTION mechanisme. Goede
security is toch gebaseerd op prevention-detection-response.
positives.
En het is hoofdzakelijk een DETECTION mechanisme. Goede
security is toch gebaseerd op prevention-detection-response.
31-10-2006, 16:40 door
awesselius
Eerst zo'n stelling en vervolgens een foto plaatsen van een
social engineer eerste klas waar een IDS/IPS inderaad niets
tegen zou kunnen doen. Priceless....
- Unomi -
social engineer eerste klas waar een IDS/IPS inderaad niets
tegen zou kunnen doen. Priceless....
- Unomi -
IDS kan niets buiten houden, daar is het ook niet voor
gemaakt. IPS kan wel wat buiten houden, maar is een
maatregel tegen een beperkt aantal dreigingen.
gemaakt. IPS kan wel wat buiten houden, maar is een
maatregel tegen een beperkt aantal dreigingen.
31-10-2006, 17:53 door
G-Force
Ik heb al 7 jaar hackers buiten de deur gehouden dankzij een
IDS...moet ook gecombineerd worden met aanvalshandtekeningen, die weer geconfigureerd staat in de firewall/virusscanner.
Ook een geweer kun je verkeerd gebruiken....
IDS...moet ook gecombineerd worden met aanvalshandtekeningen, die weer geconfigureerd staat in de firewall/virusscanner.
Ook een geweer kun je verkeerd gebruiken....
Het is slechts een hulpmiddel. Je moet als bedrijf de
spulleboel pas in huis halen als je ervan doordrongen bent
er actief mee aan de gang te gaan.
De engine van ISS bijv. werkt op basis van signatures, met
wat onschuldige scans kun je redelijk gemakkelijk
achterhalen 'dat' er een beveiligingsmechanisme is.
Vervolgens is het net aanpassen van je code in vele gevallen
voldoende om de standaard afgestelde ids/ips zonder blikken
of blozen te omzeilen, al doen de fabrikanten "natuurlijk"
je anders geloven.
Ik zie het als een hulpmiddel, één stuk tooling en ben het
derhalve eens met de stelling.
spulleboel pas in huis halen als je ervan doordrongen bent
er actief mee aan de gang te gaan.
De engine van ISS bijv. werkt op basis van signatures, met
wat onschuldige scans kun je redelijk gemakkelijk
achterhalen 'dat' er een beveiligingsmechanisme is.
Vervolgens is het net aanpassen van je code in vele gevallen
voldoende om de standaard afgestelde ids/ips zonder blikken
of blozen te omzeilen, al doen de fabrikanten "natuurlijk"
je anders geloven.
Ik zie het als een hulpmiddel, één stuk tooling en ben het
derhalve eens met de stelling.
Tegen een echte hacker helpt zo'n prut IDS/IPSje niet. Die
dingen filteren op static content.... >.> Zoals snort vaak
filtert op grote nop-sleds, bepaalde HTTP requests en de
cmd.exe banner (bij een bind of reverse shell). Het is
triviaal deze systemen te omzeilen, wat de "security
experts" je ook wijs proberen te maken.
- Nomenumbra -
dingen filteren op static content.... >.> Zoals snort vaak
filtert op grote nop-sleds, bepaalde HTTP requests en de
cmd.exe banner (bij een bind of reverse shell). Het is
triviaal deze systemen te omzeilen, wat de "security
experts" je ook wijs proberen te maken.
- Nomenumbra -
Ik denk dat het niet zo zeer met een IDS of IPS te maken heeft maar eerder
met de ying yang gedachte zonder wit is er geen zwart maar zonder zwart
ook geen wit.Het is onvermijdelijk en zou altijd mogelijk zijn of nog anders
gezecht het is gewoon een kwestie van tijd.
Dit is net zo met blackhats en whitehats.
met de ying yang gedachte zonder wit is er geen zwart maar zonder zwart
ook geen wit.Het is onvermijdelijk en zou altijd mogelijk zijn of nog anders
gezecht het is gewoon een kwestie van tijd.
Dit is net zo met blackhats en whitehats.
01-11-2006, 00:57 door
SirDice
Ik heb al 7 jaar hackers buiten de deur gehouden
dankzij een IDS...
Knap.. De D is voor Detection en houdt dus niets tegen. Een IDS detecteert alleen mogelijke (bekende) problemen.dankzij een IDS...
moet ook gecombineerd worden met aanvalshandtekeningen, die weer geconfigureerd staat in de firewall/virusscanner.
SirDice
Er is wel een verchil tussen onderneming als low leveld onderneming
en "aantrekkelijk" ;)
Er is wel een verchil tussen onderneming als low leveld onderneming
en "aantrekkelijk" ;)
Door Krak des Chevalliers
Ik heb al 7 jaar hackers buiten de deur gehouden dankzij een
IDS...
Ik heb al 7 jaar hackers buiten de deur gehouden dankzij een
IDS...
Hoe ben je daar zo zeker van?
Een IDS kan alleen goed worden gebruikt als ie goed is ingericht en goed
wordt onderhouden. Daarnaast vergeet deze hele stelling dat het gaat om
detectie en LOGGING!!! Binnen veel bedrijven is er grote behoefte aan
logging om bijv. een aanklacht te onderbouwen. Heb je geen logging dan
sta je nergens met je rechtzaak.
wordt onderhouden. Daarnaast vergeet deze hele stelling dat het gaat om
detectie en LOGGING!!! Binnen veel bedrijven is er grote behoefte aan
logging om bijv. een aanklacht te onderbouwen. Heb je geen logging dan
sta je nergens met je rechtzaak.
01-11-2006, 08:25 door
splinter
taal is ZO limiterend af en toe..
taal is ZO limiterend af en toe..
De mate waarin iemand een taal als beperkend ervaart, hangtnatuurlijk ook af van diens taalvaardigheid?! :)
Toch is het maar de vraag wat je aan een IDS/IPS
hebt. Voor hackers zijn deze appliances en software een
interessant doelwit, omdat al het verkeer er doorheen gaat.
Weet je het systeem over te nemen, dan heb je vrij spel en
kun je naar hartelust wachtwoorden en andere vertrouwelijke
informatie sniffen.
hebt. Voor hackers zijn deze appliances en software een
interessant doelwit, omdat al het verkeer er doorheen gaat.
Weet je het systeem over te nemen, dan heb je vrij spel en
kun je naar hartelust wachtwoorden en andere vertrouwelijke
informatie sniffen.
... Een IPS staat transparant in het netwerk en de
management poort zit doorgaans op een ander out-of-band
segment. Om dat over te nemen moet je dus a) een station
hebben dat kan connecteren naar het management, b) voor
sommige vendors daar de correcte GUI op hebben, c) de
paswoorden van de admin kennen en d) een hele policy kunnen
herconfigureren om packet dumps te nemen van wat hopelijk
voor jou de juiste LANs / VLANs zijn.
Heeft deze redactie ooit al in een grote productieomgeving
met een echte IPS (dus geen signature-only snort maar een
McAfee, TippingPoint, ISS, Juniper, Radware die meerdere
detectie technieken combineren en interageren met
vulnerability assessment tools) gewerkt?
Dit artikel is door zo'n larie te schrijven herleid tot je
reinste amateuristische flauwekul. Graag wat meer niveau als
men zoiets wil posten.
Door Anoniem
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false
positives.
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false
positives.
Maar hoe weet je of je niet slecht geconfigureerde IDS/IPS geen false
negative geeft?
01-11-2006, 16:43 door
SirDice
Door Anoniem
Maar hoe weet je of je niet slecht geconfigureerde IDS/IPS geen false negative geeft?
Liever 10 false positives dan 1 false negative. Een goed geconfigureerde IDS geeft altijd wel wat false positives.Door Anoniem
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false positives.
Inderdaad slecht geconfigureerde IDS/IPS geeft veel false positives.
Maar hoe weet je of je niet slecht geconfigureerde IDS/IPS geen false negative geeft?
02-11-2006, 10:36 door
SirDice
Door Anoniem
free kevin
Die is al een tijdje op vrije voeten hoor..free kevin
02-11-2006, 11:39 door
fubar
Een IDS/IPS is één van de zaken in de gereedschapskist van
een beveiliger. Uiteraard is de effectiviteit van een
dergelijke oplossing afhankelijk van de implementatie en
uiteraard de kennis van de security analisten die ermee
werken. Wel dient men zich te realiseren dat een
gedetecteerde hack of hack poging een gefaalde is. Indien
het incident respons proces goed is ingericht en real time
gereageerd kan worden zal er dus een hoog niveau van
beveiliging zijn. Wie echter denkt dat een IDS/IPS een
exacte wetenschap is met 100% garantie zal bedrogen uitkomen.
In de praktijk is het echter zo dat de IDS/IPS onderdeel
uitmaakt van een scala aan maatregelen die ook op semantisch
en organisatorisch niveau controle implementeren. Hierdoor
kan bijvoorbeeld een 0day wel degelijk gedetecteerd worden
omdat er vaak policy violations zijn. Daardoor is de
stelling dat een IDS/IPS waardeloos is niet correct. Een
virus scanner vangt in principe ook "maar" 98% van alle
virussen maar dat maakt deze niet waardeloos.
Carlo Seddaiu
http://www.pragmasec.com
een beveiliger. Uiteraard is de effectiviteit van een
dergelijke oplossing afhankelijk van de implementatie en
uiteraard de kennis van de security analisten die ermee
werken. Wel dient men zich te realiseren dat een
gedetecteerde hack of hack poging een gefaalde is. Indien
het incident respons proces goed is ingericht en real time
gereageerd kan worden zal er dus een hoog niveau van
beveiliging zijn. Wie echter denkt dat een IDS/IPS een
exacte wetenschap is met 100% garantie zal bedrogen uitkomen.
In de praktijk is het echter zo dat de IDS/IPS onderdeel
uitmaakt van een scala aan maatregelen die ook op semantisch
en organisatorisch niveau controle implementeren. Hierdoor
kan bijvoorbeeld een 0day wel degelijk gedetecteerd worden
omdat er vaak policy violations zijn. Daardoor is de
stelling dat een IDS/IPS waardeloos is niet correct. Een
virus scanner vangt in principe ook "maar" 98% van alle
virussen maar dat maakt deze niet waardeloos.
Carlo Seddaiu
http://www.pragmasec.com
wel, de stelling is correct. Maar er had even goed
"Virusscanner en spyware scanner houden echte hackers niet
buiten de deur" kunnen staan. Saagt dus nergens op...
"Virusscanner en spyware scanner houden echte hackers niet
buiten de deur" kunnen staan. Saagt dus nergens op...
02-11-2006, 15:54 door
SirDice
Probleem met virusscanners, IDS en al dat soort spul is dit.. (false positives buiten beschouwing gelaten)
90% vd aanvallen wordt veroorzaakt door virussen/wormen. Eenvoudig te detecteren en te verhelpen..
9% wordt veroorzaakt door scriptkiddies. Eenvoudig te detecteren en te verhelpen.
De overgebleven 1% is waar ik me echt zorgen om maak.. Die zijn niet of moeilijk te detecteren en dus ook niet makkelijk te verhelpen.. Maar dankzij de IDS/virusscanner etc. kan ik me wel hierop concentreren wetende dat die andere 99% toch wel afgevangen wordt.
90% vd aanvallen wordt veroorzaakt door virussen/wormen. Eenvoudig te detecteren en te verhelpen..
9% wordt veroorzaakt door scriptkiddies. Eenvoudig te detecteren en te verhelpen.
De overgebleven 1% is waar ik me echt zorgen om maak.. Die zijn niet of moeilijk te detecteren en dus ook niet makkelijk te verhelpen.. Maar dankzij de IDS/virusscanner etc. kan ik me wel hierop concentreren wetende dat die andere 99% toch wel afgevangen wordt.
IDS en IPS zijn leuke systemen, maar hebben het zelfde grote
nadeel als virusscanners: Ze lopen altijd achter de zaken aan.
Ik heb het nog nooit mogen zien, maar mij lijkt anomaly
detection een beter systeem, omdat je kijkt naar wat niet
aan de norm voldoet.
nadeel als virusscanners: Ze lopen altijd achter de zaken aan.
Ik heb het nog nooit mogen zien, maar mij lijkt anomaly
detection een beter systeem, omdat je kijkt naar wat niet
aan de norm voldoet.
03-11-2006, 13:46 door
SirDice
Door Koekie
SirDice een goede expoit van bugtrack kan ook tot de 1% horen ;)
Als het op bugtraq staat is het inmiddels scriptkiddie voer.. Bovendien is het dan ook vrij makkelijk om een signature (voor IDS en/of virusscanner) te maken..SirDice een goede expoit van bugtrack kan ook tot de 1% horen ;)
Het gaat juist om het spul wat niet aan de grote klok gehangen wordt..
03-11-2006, 16:26 door
joashh
IPS/IDS systemen werken alleen goed als ze icm een veelvoud
aan andere ook noodzakelijk security systemen worden ingezet.
SEMS, een goede security policy, een goed geconfigde
firewall, vulnerability management, het zijn allemaal
noodzakelijke gegevens om "hackers" en aanverwante gasten
buiten de deur te houden.
conclusie, een IPS is zeer zinvol, maar het is zeker niet
"de gouden oplossing voor al uw security problemen".
aan andere ook noodzakelijk security systemen worden ingezet.
SEMS, een goede security policy, een goed geconfigde
firewall, vulnerability management, het zijn allemaal
noodzakelijke gegevens om "hackers" en aanverwante gasten
buiten de deur te houden.
conclusie, een IPS is zeer zinvol, maar het is zeker niet
"de gouden oplossing voor al uw security problemen".
Het gaat juist om het spul wat niet aan de grote klok gehangen
wordt..
wordt..
Dit hoefd niet in de periode voor dat de exploit bekent is zijn er nog genoeg
script kids die via "irc" of wat dan ook de data in handen krijgen om
als "expert" uit de voeten te komen.Hierdoor lijkt het alsof ze bij de 1%
horen maar zijn het totaal niet.
Door Anoniem
natuurlijk ook af van diens taalvaardigheid?! :)
taal is ZO limiterend af en toe..
De mate waarin iemand een taal als beperkend ervaart, hangtnatuurlijk ook af van diens taalvaardigheid?! :)
Sommige begrippen zijn niet in 'normale' taal uit te drukken
en moet worden overgestapt op vaardigheden als wiskunde.
Maar misschien is het overbodig deze discussie te voeren;
wat is het alternatief? Geen internettoegang of geen IDS/IPS?
Ik prefereer dan toch naar 'best practices' te kijken en
zorg ervoor dat je veiliger bent dan je "buurman"...
wat is het alternatief? Geen internettoegang of geen IDS/IPS?
Ik prefereer dan toch naar 'best practices' te kijken en
zorg ervoor dat je veiliger bent dan je "buurman"...
over false positives en negatives gesproken.
Leuke uitslag op icsa labs vind ik.
Opvallend is dat het consortium van verschillende IPS (inline) vendors zelf
de requirements hebben gesteld voor de test.
http://www.icsalabs.com/icsa/topic.php?tid=4d56$eed283d1-
c66d427c$af04-d91faa8c
certified products:
http://www.icsalabs.com/icsa/topic.php?tid=e6cb$36ebf2b4-fe67b635
$6cb5-d675a991
Leuke uitslag op icsa labs vind ik.
Opvallend is dat het consortium van verschillende IPS (inline) vendors zelf
de requirements hebben gesteld voor de test.
http://www.icsalabs.com/icsa/topic.php?tid=4d56$eed283d1-
c66d427c$af04-d91faa8c
certified products:
http://www.icsalabs.com/icsa/topic.php?tid=e6cb$36ebf2b4-fe67b635
$6cb5-d675a991
Door SirDice
Probleem met virusscanners, IDS en al dat soort spul is dit.. (false
positives buiten beschouwing gelaten)
90% vd aanvallen wordt veroorzaakt door virussen/wormen. Eenvoudig te
detecteren en te verhelpen..
9% wordt veroorzaakt door scriptkiddies. Eenvoudig te detecteren en te
verhelpen.
De overgebleven 1% is waar ik me echt zorgen om maak.. Die zijn niet of
moeilijk te detecteren en dus ook niet makkelijk te verhelpen.. Maar dankzij
de IDS/virusscanner etc. kan ik me wel hierop concentreren wetende dat
die andere 99% toch wel afgevangen wordt.
Probleem met virusscanners, IDS en al dat soort spul is dit.. (false
positives buiten beschouwing gelaten)
90% vd aanvallen wordt veroorzaakt door virussen/wormen. Eenvoudig te
detecteren en te verhelpen..
9% wordt veroorzaakt door scriptkiddies. Eenvoudig te detecteren en te
verhelpen.
De overgebleven 1% is waar ik me echt zorgen om maak.. Die zijn niet of
moeilijk te detecteren en dus ook niet makkelijk te verhelpen.. Maar dankzij
de IDS/virusscanner etc. kan ik me wel hierop concentreren wetende dat
die andere 99% toch wel afgevangen wordt.
Beste sir: kun je mij vertellen waar je deze cijfers vandaan hebt, naar mijn
idee kloppen ze niet.
Ik denk dat die laatste 1% in je post vele malen hoger moet zijn, de attakcs
zijn meer en meer doel gericht (afpersing) en profesioneler (simpel
voorbeeld is phishing)
Ik ben benieuwd naar de onderzoeken waar je deze cijfers vandaan hebt
groet
rob
07-11-2006, 11:41 door
SirDice
Door Anoniem
Beste sir: kun je mij vertellen waar je deze cijfers vandaan
hebt, naar mijn idee kloppen ze niet.
Jarenlange, eigen ervaring.Beste sir: kun je mij vertellen waar je deze cijfers vandaan
hebt, naar mijn idee kloppen ze niet.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.