---

En Lotus Notes R5 smtp-server er den eneste service der er åben til gennem
NAT. Muligvis skal der gives krypteret adgang til hele det interne netværk
via VPN.

Er der nogen her, som kan anbefale et godt og billigt IDS?

Kan det evt. arbejde sammen med en PIX 506/515 (eller er det fuldstændig
underordnet)?

Er det ovehovedet nødvendigt med IDS i ovenstående situation?

/Jens Ulrik

---

Jens U. K. <1jk2@3bsopatent4.dk> wrote:
> En Lotus Notes R5 smtp-server er den eneste service der er åben til gennem
> NAT. Muligvis skal der gives krypteret adgang til hele det interne netværk
> via VPN.
>
> Er der nogen her, som kan anbefale et godt og billigt IDS?
>
> Kan det evt. arbejde sammen med en PIX 506/515 (eller er det fuldstændig
> underordnet)?
>
> Er det ovehovedet nødvendigt med IDS i ovenstående situation?

Den beslutning skal drives af jeres sikkerhedspolitik. Hvis I ikke har
saadan en har du ikke nogen maade at bekaefte at jeres firewall og/eller IDS
er sat korrekt op.

Naar du siger IDS gaar jeg ud fra, at du taler om et netvaerks IDS. Hvis der
kun er aaben for SMTP porten vil jeres IDS kun kunne se SMTP traffik. Der er
kun eet produkt, og jeg gaar ud fra at I overvaager sikkerhedsmeldinger om
dette produkt fra producenten?

Hvis dette er tilfaeldet virker et netvaerks IDS lidt overkill paa mig.
Tilgengaeld boer der arrangeres at et host-based IDS er sat op paa maskinen,
saa du har mulighed for at vide hvis bestemte system filer bliver aendret.

Snort er et udemaerket netvaerk IDS og et IDS behoever ikke have noget med
din firewall at goere.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Jens U. K. wrote:
> En Lotus Notes R5 smtp-server er den eneste service der er åben til gennem
> NAT. Muligvis skal der gives krypteret adgang til hele det interne netværk
> via VPN.
>
> Er der nogen her, som kan anbefale et godt og billigt IDS?

hostsentry fra http://www.psionic.com/abacus/hostsentry (så vidt jeg husker).
Ellers check http://www.cotse.com/tools/ids.htm

Jeg har ikke selv erfaring med hostsentry, men i kombination med tripwire,
og logcheck (og måske portsentry (to sidste også fra psionic)) har
du en rimelig stærk cocktail - såfremt du forstår at konfigurere
tingene ordenligt, og holde øje med de alarmer du får.

--
Ole Michaelsen
Copenhagen, Denmark

---

Ole Michaelsen <omic+usenet3@fys.ku.dk> wrote:
> Jeg har ikke selv erfaring med hostsentry, men i kombination med tripwire,
> og logcheck (og måske portsentry (to sidste også fra psionic)) har

Jeg har fantastisk mange ting imod Portsentry. Den virker ved at bind()e sig
til forskellige porte, som ved et portscan faar en maskine til at se
saerdeles interessant ud fra en angribers oejne. Der har tidligere vaeret
sikkerhedsfejl i Portsentry som gjorde en angriber i stand til at bryde ind
paa en maskine med Portsentry koerende. Sidst jeg kiggede paa den virkede
den alene ved at melde om connect forsoeg, ligesom personlige firewalls
goer, ikke ved signature matching.

Portsentry er ikke et IDS. Det er blot et stykke fjollet software.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:
>
> Jeg har fantastisk mange ting imod Portsentry. Den virker ved at bind()e sig
> til forskellige porte, som ved et portscan faar en maskine til at se
> saerdeles interessant ud fra en angribers oejne. Der har tidligere vaeret

Ja. Man vælger under konfigurationen de porte den skal binde sig til. En
portscan vil følgelig afsløre at der er noget på disse porte, men da
portsentry allerede da lukker af for den host, der portscanner, mener
jeg ikke dette er et problem: De ser der "er" noget - sekundet efter
er der lukket for alt.

Det eneste jeg har at udsætte på det er, at man nemt kan bliver offer
for DOS angreb - de onde kan lokke portsentry til at blokere for vilkårlige
adresser ved blot at portscanne med falsk afsenderadresse.

Det skal man selvfølgelig være klar over, når/hvis man vælge at bruge
systemet. I nogle tilfælde er det bedre at miste tilgængeligheden
end det er at miste data/blive cracket/whatever.

> sikkerhedsfejl i Portsentry som gjorde en angriber i stand til at bryde ind
> paa en maskine med Portsentry koerende. Sidst jeg kiggede paa den virkede

Jeg har kun brugt det eet sted (men der kører det endnu (og jeg har ikke
længere noget med dette sted at gøre)), og har derfor ikke fulgt med -
har du et link til noget info om de problemer, med portsentry, du nævner?

> den alene ved at melde om connect forsoeg, ligesom personlige firewalls
> goer, ikke ved signature matching.

Jep.

> Portsentry er ikke et IDS. Det er blot et stykke fjollet software.

Selvfølgelig er det ikke et IDS - alene. Men mener du, at det, at holde
øje med connectforsøg, ikke kan give tidlig advarsel/indikation om et
forsøg på cracking? Sammen med bl.a. de værktøjer jeg nævnte før: tripwire,
logcheck, hostsentry, og en årvågen sysadmin, der kender sit system,
sine processer og sine brugere, mener jeg godt portsentry kan betegnes
som værende en delpart af et IDS.

Men det er måske mere et spørgsmål om definition. Jeg er i hvertfald ikke
så meget imod portsentry, som du åbenbart er

Vh,

--
Ole Michaelsen
Copenhagen, Denmark

---

Ole Michaelsen <omic+usenet3@fys.ku.dk> wrote:
[portsentry]
> Det eneste jeg har at udsætte på det er, at man nemt kan bliver offer
> for DOS angreb - de onde kan lokke portsentry til at blokere for vilkårlige
> adresser ved blot at portscanne med falsk afsenderadresse.

Nemlig. Automatiske svar af denne art er farlige og kan relativt let gaa
galt. Alene af den grund vil jeg fraraade brug af portsentry.

De gange jeg er blevet bedt om at evaluere sikkerhed paa en maskine der
koerer noget tilsvarende, forsoeger jeg at forklare hvorfor det er en
daarlig ide. Hvis den ansvarlige ikke lader til at forstaa det, portscanner
jeg maskinen min source adresse sat til deres DNS server. De som ikke
forstaar problemet paa dette tidspunkt er de samme mennesker som stadigt
ikke har en aaben IIS der venter paa en Code Red.

> Det skal man selvfølgelig være klar over, når/hvis man vælge at bruge
> systemet. I nogle tilfælde er det bedre at miste tilgængeligheden
> end det er at miste data/blive cracket/whatever.

Hvis man har lidt fornuft koerer man nyeste versioner af sine services, og
man holder oeje med meldinger paa bugtraq og fra producenten. Hvis der ikke
findes kendte sikkerhedsfejl i det software man koerer udelukker det 98% af
angreb.

Man kan ikke beskytte sig imod onde mennesker der har evnerne til at saette
sig ned og finde sikkerhedsfejl i f.eks. sshd eller apache -- medmindre man
selv har everne og tiden.

Det burde virkeligt ikke spille nogen rolle om man bliver portscannet eller
ej.

> Jeg har kun brugt det eet sted (men der kører det endnu (og jeg har ikke
> længere noget med dette sted at gøre)), og har derfor ikke fulgt med -
> har du et link til noget info om de problemer, med portsentry, du nævner?

Securityfocus lader til at have det haardt nu. Led i bugtraq arkiverne efter
en reference.

> Selvfølgelig er det ikke et IDS - alene. Men mener du, at det, at holde
> øje med connectforsøg, ikke kan give tidlig advarsel/indikation om et
> forsøg på cracking?

Portsentry kan ikke se forskel paa en tastefejl og et indbrudforsoeg. Hvis
du blot vil vide om connect forsoeg kan du saette dine services op til at
logge naar nogen connecter og disconnecter uden at gennemfoere en hel
session. F.eks. kan sendmail og sshd brokke sig gevaldigt i loggen hvis
saadan noget sker.

> Sammen med bl.a. de værktøjer jeg nævnte før: tripwire,
> logcheck, hostsentry, og en årvågen sysadmin, der kender sit system,
> sine processer og sine brugere, mener jeg godt portsentry kan betegnes
> som værende en delpart af et IDS.

Jeg vil ikke hives ud af sengen fordi en af vores medarbejdere for foerste
gang er i Kina og derfor logger ind kl 4 om natten for at laese email.

Jeg vil hives ud af sengen hvis SHA-1 fingerprintet paa /usr/bin/ssh og
/usr/bin/sshd aendrer sig. Jeg vil hives ud af sengen hvis vores DNS server
begynder at hente local root exploits ned fra packetstorm via HTTP.

Istedet for at bruge tid paa portsentry og hostsentry virker det mere
passende at bruge tid paa at faa evnerne til at kunne lave kode reviews paa
det software man installerer.

"I suggest you buy insurance. Lots of it." -- Elias Levy

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) writes:

> jeg maskinen min source adresse sat til deres DNS server. De som ikke
> forstaar problemet paa dette tidspunkt er de samme mennesker som stadigt
> ikke har en aaben IIS der venter paa en Code Red.

Jeg har ikke en åben IIS der venter på en microsoft-orm, og jeg synes
nok jeg har gennemskuet hvad det er du prøver at sige.

Derudover burde du ikke være i stand til at portskanne mine maskiner med en
forfalsket source-adresse, det skulle dørvogteren (hvis ikke routeren
gør det) gerne forhindre.

..Henrik

--
"Det er fundamentalt noget humanistisk vås, at der er noget,
der hedder blød matematik."
--- citat Henrik Jeppesen, dekan for det naturvidenskabelige fakultet

---

Henrik Christian Grove <grove@sslug.dk> wrote:
> Derudover burde du ikke være i stand til at portskanne mine maskiner med en
> forfalsket source-adresse, det skulle dørvogteren (hvis ikke routeren
> gør det) gerne forhindre.

Det kan den ikke medmindre jeg forsoeger at bruge IP adresser som den ved
ikke findes paa Internettet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) writes:

> Det kan den ikke medmindre jeg forsoeger at bruge IP adresser som den ved
> ikke findes paa Internettet.

Du har ret. Det jeg mente var at du ikke kunne gøre det du beskrev mod
mig, for jeg ved min DNS-server er bag dørvogteren.

..Henrik

--
"Det er fundamentalt noget humanistisk vås, at der er noget,
der hedder blød matematik."
--- citat Henrik Jeppesen, dekan for det naturvidenskabelige fakultet

---

Henrik Christian Grove <grove@sslug.dk> wrote:
>> Det kan den ikke medmindre jeg forsoeger at bruge IP adresser som den ved
>> ikke findes paa Internettet.
>
> Du har ret. Det jeg mente var at du ikke kunne gøre det du beskrev mod
> mig, for jeg ved min DNS-server er bag dørvogteren.

Ja, saa skal der lidt mere arbejde til: man skal portscanne dig med IP
adresserne paa root DNS serverne.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) writes:

> Ja, saa skal der lidt mere arbejde til: man skal portscanne dig med IP
> adresserne paa root DNS serverne.

Og det har du ganske ret i at min dørvogter ikke spærrer for, men nu gav
jeg dig jo også allerede ret for flere indlæg siden.

..Henrik

--
"Det er fundamentalt noget humanistisk vås, at der er noget,
der hedder blød matematik."
--- citat Henrik Jeppesen, dekan for det naturvidenskabelige fakultet

---

On Thu, 6 Sep 2001 16:57:10 +0200, "Jens U. K."
<1jk2@3bsopatent4.dk> wrote:

> Er der nogen her, som kan anbefale et godt og billigt IDS?
>
> Kan det evt. arbejde sammen med en PIX 506/515

Der er indbygget IDS-funktionalitet i en PIX. Selvfølgelig får
man ikke et kæmpe netværksbaseret IDS med tonsvis af signaturer,
men der er dog noget der ligner.

> Er det ovehovedet nødvendigt med IDS i ovenstående situation?

Umiddelbart vil jeg mene, det er overkill for en enkelt åben
service, naturligvis forudsat at de der driver den service
(Notes-serveren) er opmærksom på de sikkerhedsrettelser, der
måtte komme til produktet.

Men basalt set er det et spørgsmål om, hvad I har beskrevet, da I
tog stilling til jeres sikkerhedsniveau.

Man kan ikke forhindre angreb, og man kan ikke forhindre indbrud
(givet nok tid og midler), så for mig er Sikker Nok(TM) primært
et spørgsmål om, at man kan opdage og stoppe en angriber før hans
forehavende lykkes. Et IDS kan være et væsentligt værktøj til at
stoppe den slags.

-A
--
http://www.hojmark.org/

---

Hej

>
> Er der nogen her, som kan anbefale et godt og billigt IDS?

Det billigste jeg har fundet, er SNORT, der logger i en MYSQL database, og med
en af de grafiske frontends, f.eks ACID. Det er nemlig gratis (OSF).

Prøv at se på:

http://www.wmsecurity.dk/acid

>
> Er det ovehovedet nødvendigt med IDS i ovenstående situation?

Det beror selvfølgelige på hvor interesseret man er i at følge med i
eventuelle indbrudsforsøg. Det er ikke mange SMTP angreb i disse dage, så det
bliver nok lidt kedeligt at se på, men hvis man har en Webserver, så kan man
altid hygge sig med at se på alle de forsøg der er på at hacke IIS.... og så
glæde sig over at man benytter et andet mærke

--
Med venlig hilsen

Lars P. Møller

Ringvænget 1A
8722 Hedensted
Tlf. 22 49 97 58 - 76 74 04 14
mailto://larsmo@post3.tele.dk
http://www.kristian-klarvand.com

---

Lars Møller <larsmo@post3.tele.dk> wrote:
>> Er der nogen her, som kan anbefale et godt og billigt IDS?
>
> Det billigste jeg har fundet, er SNORT, der logger i en MYSQL database, og
> med en af de grafiske frontends, f.eks ACID. Det er nemlig gratis (OSF).

Vi lavede et code review af ACID, og smed derefter produktet ud da vi var i
stand til at bryde ind paa en maskine med ACID koerende. Der skal en raekke
aendringer til baade kode og installations instruktionerne foer at den kan
modstaa et maalrettet angreb.

Desvaerre var Roman ikke interesseret i et sammenarbejde af nogen art da jeg
kontaktede ham om dette, og han var bestemt heller ikke interesset i forslag
om at skrive lidt bedre PHP kode.

Marty Roesch (Snort's forfatter) brokker sig regelmaessigt over Roman og
kvaliteten af ACID. Jeg kan ikke anbefale brug af ACID.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

>

Hej


>
> Vi lavede et code review af ACID, og smed derefter produktet ud da vi var i
> stand til at bryde ind paa en maskine med ACID koerende. Der skal en raekke
> aendringer til baade kode og installations instruktionerne foer at den kan
> modstaa et maalrettet angreb.
>

Jeg tror jeg nævnte at der var flere alternativer til den grafiske fremstilling
af resultatet, jeg har blot haft lejlighed til at kigge på ACID. Man kan jo
vælge IKKE at give offentlig adgang til Webgrænsefladen

>
> Desvaerre var Roman ikke interesseret i et sammenarbejde af nogen art da jeg
> kontaktede ham om dette, og han var bestemt heller ikke interesset i forslag
> om at skrive lidt bedre PHP kode.
>

På mailing.unix.snort gruppen er der da ellers en livlig debat. umiddelbart på
de indlæg jeg har set, virker det ikke somom at han afviser at samarbejde
omkring forslag til forbedringer. Måske er der et attitude problem.

>
> Marty Roesch (Snort's forfatter) brokker sig regelmaessigt over Roman og
> kvaliteten af ACID. Jeg kan ikke anbefale brug af ACID.
>

Det må være andre steder end jeg læser.


--
Med venlig hilsen

Lars P. Møller

Ringvænget 1A
8722 Hedensted
Tlf. 22 49 97 58 - 76 74 04 14
mailto://larsmo@post3.tele.dk
http://www.kristian-klarvand.com