[Admins] intrusion detection system

Network Operation Center noc at mur.at
Wed Oct 9 11:16:00 CEST 2002 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hi leute!

wir betreiben seit ca. einem monat hier ein intrusion detection system
(snort) das in eine postgres db logged. seit gestern nachmittag nun
'ueberwacht' das teil den GESAMTEN traffic von mur.at. wir haben eine
maschine als bridge zwischen das LWL modem und den router gehaengt.

bis gestern war unser IDS sehr 'kurzsichtig'. da es im KO an einem hub
angeschlossen war, konnte es grosse teile des netzwerkes nicht sehen. seit
es aber sozusagen im 'haupttor' steht, sieht es alles.

ich hab hier mal eine liste der incidents zwischen heute 0.00 uhr und
'jetzt' erstellt, und zwar nach ziel IPs. die liste ist NICHT um sog.
'false positivies' breinigt. ist also durchaus moeglich, dass ein paar
dinge aus durchaus 'legitimem' traffic resultieren. erklaerung einiger
dinge weiter unten.

- ---start---
ACID Unique Destination Address(es)
Queried DB on: Wed October 09,2002 10:28:32
time=[10/09/2002][anytime]

Sensor Total Unique Src.

DestIPaddr.	    FQDN		Sensor	Total	Unique	Src. Addr.
- --------------------------------------------------------------------------
193.171.120.88	    algo.mur.at		1	71	15	28
193.171.120.77	    fox.mur.at		1	67	7	42
193.171.120.91	    alien.mur.at	1	37	5	9
unknown		    Unabletoresolve	1	21	19	0
193.171.120.92	    mail.med-user.net	1	20	6	5
193.171.120.114	    shark.mur.at	1	19	6	4
193.171.113.181	    0181.reinisch.at	1	17	4	3
193.171.120.163	    snail.plagi.at	1	8	3	1
193.171.120.4	    www.ortlos.at	1	6	2	3
193.171.120.87	    zope.mur.at		1	5	3	4
66.28.13.251	    66-28-13-251.quantu	1	4	1	1
193.171.120.94	    ALG-94.mur.at	1	4	2	3
143.50.30.160	    Unabletoresolve	1	3	1	1
193.171.120.71	    www.agora.at	1	3	2	3
193.171.120.90	    elektro.mur.at	1	3	2	3
193.171.120.162	    rat.mur.at		1	3	2	3
193.171.120.206	    FSP-LG.mur.at	1	3	2	2
193.171.120.234	    STA-KO.mur.at	1	3	3	2
193.171.113.192	    Unabletoresolve	1	2	2	1
193.171.113.203	    IAC-203.mur.at	1	2	2	1
193.171.120.73	    mail.neretva.net	1	2	2	2
193.171.120.89	    crop.mur.at		1	2	2	1
193.171.120.158	    GKV-158.mur.at	1	2	2	1
193.171.120.230	    MID-KW.mur.at	1	2	2	2
192.153.180.6	    tug.mur.at		1	1	1	1
193.171.120.74	    cripo.mur.at	1	1	1	1
193.171.120.93	    umlaeute.mur.at	1	1	1	1
193.171.120.124	    FSP-124.mur.at	1	1	1	1
193.171.120.196	    Unabletoresolve	1	1	1	1
193.171.120.218	    KW-KO.mur.at	1	1	1	1
193.171.120.238	    MIN-KO.mur.at	1	1	1	1

[Loaded in 18 seconds]

ACIDv0.9.6b20(byRomanDanyliwaspartoftheAirCERTproject)
- ---end---

Sensor: unser IDS (wir haben 'nur' eines)
Total: anzahl der totalen alerts
Unique: anzahl der einigartigen alerts
Src. Addr.: adresse von wo aus der alert registriert wurde.

* dort wo die ziel IP unbekannt ist, handelt es sich um portscans, die
leider in der datenbank nicht sehr gut erfasst sind.

* die ziel IPs, die nicht aus unserem subnetz kommen, sind IPs die einen
code 403 von einem unserer webserver bekommen haben.

* schoen zu sehen ist IMHO, dass auch 'unbekannte' maschinen gefunden
werden, also rechner, die im buero benutzt werden und eine echte IP haben.

was soll das ganze nun? also, eigentlich geht's um sowas wie
'sicherheitsbewusstsein'. machts die huetten dicht :) insbesondere sollten
alle rechner, die keine services hosten entweder hinter einer firewall
verschwinden, oder selber durch iptables oder aehnliches geschuetzt
werden.

fuer uns stellt sich noch die frage, was wir mit den ganzen daten machen.
einerseits ist schon klar, dass wir das IDS noch tunen muessen (also
schauen, dass nur 'echte' alerts gelogged werden). wenn euch bei
irgendeiner maschine was auffaellt, koennen wir jetzt aber auch mit
relativ genauer information was event. attacken angeht aufwarten.

um das IDS zu tunen, brauchen wir allerdings auch ein wenig mitarbeit von
eurer seite. es gibt z.b. sehr viele MS/IIS spezifische exploits, die
natuerlich alle in der datenbank landen. wenn niemand im gesamten netz
einen IIS betreibt (was ich eigentlich stark hoffe :) ), dann koennen wir
diese signatures getrost ignorieren ... usw. usw. wir werden uns
diesbezueglich vielleicht mal mit einem fragebogen an euch wenden ... aber
das kommt noch.

in der zwischenzeit beobachten wir mal, was sich so tut und werden der
einen oder anderen sache nachgehen (speziell den portscans), indem wir die
verantwortlichen kontaktieren.

abschliessend: wer das beduerfnis hat, solche oder aehnliche dinge zu
diskutieren, oder einfach nur mehr wissen moechte, ist herzlich
eingeladen, jeden 2. freitag zum 'open house' des NOC zu kommen.

naechster termin: FR 11. okt. 2002 um 14.00 uhr im buero, leitnergasse 7.

so, wuensche noch einen schoenen tag!
- -- 
j.hofmueller
noc at mur.at
	NetworkOperationCenter
	^      ^        ^
				jogi hofmueller  <-> mur.at
				ludwig zeininger <-> mur.at
- ---------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Made with pgp4pine 1.75-6

iD8DBQE9o/PUAPrjdblyzsERArzGAJ9LrGgnjP35uFnVL9ybp+ZiKVDTwQCfR3xE
ehTI5wk1gP+XBl/lbyM1DiE=
=8izu
-----END PGP SIGNATURE-----

More information about the Admins mailing list