IDMEF Specifics
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

IDMEF Specifics

on

  • 342 views

 

Statistics

Views

Total Views
342
Views on SlideShare
336
Embed Views
6

Actions

Likes
0
Downloads
1
Comments
0

2 Embeds 6

http://www.linkedin.com 4
https://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

IDMEF Specifics Presentation Transcript

  • 1. Intervendor IDS koppelingen Stefan Deelen & Marju Jalloh Praktisch onderzoek  
  • 2. Doelstelling project Het project ”Intervendor IDS” heeft als doelstelling het verrichten van: 1. Onderzoek naar een gewenste intervendor methodiek voor het uitwisselen van security alerts, 2. en het doen van praktisch onderzoek ter beoordeling van deze methodiek.  
  • 3. Agenda: • Aanleiding & doelstelling project • Intro IDMEF, IDXP, BEEP, IDWG, (IODEF). • Intervendor commerciëel • Prelude en Snort • IDMEF testbed, intro • Metingen (marju) • Introductie testbed en aanpak • nmap ­> XML meting • nmap ­> performance meting • Conclusies onderzoek  
  • 4. IDMEF • Toepassingsgebied van IDMEF is (wordt) tussen  sensor en console (ook wel ‘analyzer en manager’) • IDMEF in rfc4765 (maart 2007) • IDXP in rfc4767.  
  • 5. IDMEF message structuur nuttig..? • bij aanleveren messages aan event correlatie systemen • bij opslag en aanlevering bij centraal archief systeem • monitor systemen • Algemeen format maakt het voor verschillende org’s (users,  vendors, responseteams..) makkelijker data uit te wisselen  
  • 6. IDMEF als oplossing voor  (potentiële) problematiek: • Alerts zijn heterogeen, object georiënteerd IDMEF data­ model weet hier mee om te gaan, • een attackdetectie door verschillende sensor systemen of  OS’en wordt verschillend afgemeld, IDMEF structureert  dit, • de alert­info moet na (re)presentatie gemakkelijk op  uniforme wijze verwerkbaar zijn..XML! • (Commerciële) vendors wensen flexibel data­model, •  …….  
  • 7. Sensor Manager IDMEF message  
  • 8. Intervendor commerciëel • Geen effort voor IDMEF support • Checkpoint OPSEC, geen open standaard, ook in 1997  gestart • Intervendor koppelingen gericht op aansluiten bij de  sterkste..  
  • 9. Opensource Prelude­IDS • Volledig IDMEF based • Koppelingen op basis van (IDMEF) plugin’s naar: • Snort, Nessus, Nagios, Argus, Honeyd,  LibSafe, SysTrace, Bro IDS  
  • 10. Snort architectuur  
  • 11. Wat hebben wij getest • Overhead IDMEF XML code • Overhead met prelude • Overhead met mysql client • CPU Performance  
  • 12. IDS­Sensor, “Vendor A” Black hat host (Custom) Rules nmap en ping Snort IDMEF Snort Prelude Snort MySQL IDS­Manager, “Vendor B” MySQL Koppelingen via: TLS, Tcp/IP (4690) MySQL, Tcp/IP (3306) Prelude­manager Snort­manager  
  • 13.  
  • 14.  
  • 15. Problemen • Versie problemen: – Plugins zijn versie afhankelijk, – Rulesets zijn versie afhankelijk..  
  • 16. Overhead IDMEF XML code Snort  Nmap  Aantal  Alert file  IDMEF file  Overhead  versie flag nmap (bytes) (byte) factor v2.4.4 ­sS 1 285 1775 6,22 v2.4.4 ­O 1 286 1776 6,22 v2.4.4 ­sS 3 856 5325 6,22 v2.4.4 ­sT 5 1429 8875 6,22 v2.4.4 ­sT 7 1999 12425 6,22 v2.4.4 ­sS 9 2567 15972 6,22  
  • 17. Overhead met prelude Snort  Alert file (bytes) Tcpdump Overhead  versie file (byte) factor v2.6.1.4 780 4665 5,98 v2.6.1.4 2699 13621 5,04 v2.6.1.4 3956 19529 4,93 v2.6.1.4 4593 22418 4,88 v2.6.1.4 5225 24600 4,70  
  • 18. Overhead met mysql Snort  Nmap Aantal  Alert file  Tcpdump file  Overhead  versie flag nmap (bytes) (byte) factor v2.3.3 ­sS 3 1003 6303 6,28 v2.3.3 ­sT 2 434 5071 11.68 v2.3.3 ­O 5 1963 10227 5.21  
  • 19. CPU Performance Test Snort Aantal  Alert file Max cpu situatie versie alert  (bytes) (Snort pid) nr.1 v2.3.3 52 25556 31.4 nr.2 v2.4.4 53 15132 13.3 nr.3 V2.6.1.4 55 20422 53.6 nr.4 v2.3.3 55 25767 38.3 ?  
  • 20. Samenvatting & Conclusies.. • IDMEF in combinatie met IDXP beschouwen wij wel als de meest  wenselijke toekomstige Intervendor koppelmethodiek, omdat het  een IETF standaard is.. • De conversie van snort security messages naar de voorgeschreven  IDMEF XML beschrijving levert een gemiddelde overhead factor  van 6.22, • In verhouding tot vergelijkbare XML overhead (in bijv.  webomgevingen) is deze conversie redelijk efficient uitgevoerd, • De prelude koppeling past een extra conversie toe, maar heeft een  proprietary communicatie interface, • Wel is de prelude koppeling met een optimalisatie uitgerust, die de  XML comprimeert voor transport. De factor overhead daalt  daardoor tot onder de 5.  
  • 21. Conclusies, vervolg.. • OPSEC is geen interessante intervendor methodiek omdat dit  geen open standaard is, is ook niet in de geest van os3, • De verrichtte metingen in dit kader lieten blijken dat de cpu­ impact van 50% als gevolg van de XML en TLS bewerkingen  behoorlijk is: Een onderzoek naar het nut en de haalbaarheid van  de inzet van een XML/TLS combi­accelerator verdient aanbeveling  voor heavy environments.. (Wij hebben niet onderzocht of dit reeds wordt toegepast met snort  configuraties).  
  • 22. Vragen..??