1. Intervendor IDS koppelingen
Stefan Deelen & Marju Jalloh
Praktisch onderzoek

2. Doelstelling project
Het project ”Intervendor IDS” heeft als
doelstelling het verrichten van:
1. Onderzoek naar een gewenste intervendor
methodiek voor het uitwisselen van security
alerts,
2. en het doen van praktisch onderzoek ter
beoordeling van deze methodiek.

3. Agenda:
• Aanleiding & doelstelling project
• Intro IDMEF, IDXP, BEEP, IDWG, (IODEF).
• Intervendor commerciëel
• Prelude en Snort
• IDMEF testbed, intro
• Metingen (marju)
• Introductie testbed en aanpak
• nmap ­> XML meting
• nmap ­> performance meting
• Conclusies onderzoek

4. IDMEF
• Toepassingsgebied van IDMEF is (wordt) tussen
sensor en console (ook wel ‘analyzer en manager’)
• IDMEF in rfc4765 (maart 2007)
• IDXP in rfc4767.

5. IDMEF message structuur nuttig..?
• bij aanleveren messages aan event correlatie systemen
• bij opslag en aanlevering bij centraal archief systeem
• monitor systemen
• Algemeen format maakt het voor verschillende org’s (users,
vendors, responseteams..) makkelijker data uit te wisselen

6. IDMEF als oplossing voor
(potentiële) problematiek:
• Alerts zijn heterogeen, object georiënteerd IDMEF data­
model weet hier mee om te gaan,
• een attackdetectie door verschillende sensor systemen of
OS’en wordt verschillend afgemeld, IDMEF structureert
dit,
• de alert­info moet na (re)presentatie gemakkelijk op
uniforme wijze verwerkbaar zijn..XML!
• (Commerciële) vendors wensen flexibel data­model,
• …….

7. Sensor Manager
IDMEF message

8. Intervendor commerciëel
• Geen effort voor IDMEF support
• Checkpoint OPSEC, geen open standaard, ook in 1997
gestart
• Intervendor koppelingen gericht op aansluiten bij de
sterkste..

9. Opensource Prelude­IDS
• Volledig IDMEF based
• Koppelingen op basis van (IDMEF) plugin’s naar:
• Snort, Nessus, Nagios, Argus, Honeyd,
LibSafe, SysTrace, Bro IDS

10. Snort architectuur

11. Wat hebben wij getest
• Overhead IDMEF XML code
• Overhead met prelude
• Overhead met mysql client
• CPU Performance

12. IDS­Sensor, “Vendor A” Black hat host
(Custom)
Rules
nmap en ping
Snort IDMEF
Snort Prelude
Snort MySQL IDS­Manager, “Vendor B”
MySQL
Koppelingen via:
TLS, Tcp/IP (4690)
MySQL, Tcp/IP (3306) Prelude­manager
Snort­manager

15. Problemen
• Versie problemen:
– Plugins zijn versie afhankelijk,
– Rulesets zijn versie afhankelijk..

16. Overhead IDMEF XML code
Snort Nmap Aantal Alert file IDMEF file Overhead
versie flag nmap (bytes) (byte) factor
v2.4.4 ­sS 1 285 1775 6,22
v2.4.4 ­O 1 286 1776 6,22
v2.4.4 ­sS 3 856 5325 6,22
v2.4.4 ­sT 5 1429 8875 6,22
v2.4.4 ­sT 7 1999 12425 6,22
v2.4.4 ­sS 9 2567 15972 6,22

17. Overhead met prelude
Snort Alert file (bytes) Tcpdump Overhead
versie file (byte) factor
v2.6.1.4 780 4665 5,98
v2.6.1.4 2699 13621 5,04
v2.6.1.4 3956 19529 4,93
v2.6.1.4 4593 22418 4,88
v2.6.1.4 5225 24600 4,70

18. Overhead met mysql
Snort Nmap Aantal Alert file Tcpdump file Overhead
versie flag nmap (bytes) (byte) factor
v2.3.3 ­sS 3 1003 6303 6,28
v2.3.3 ­sT 2 434 5071 11.68
v2.3.3 ­O 5 1963 10227 5.21

19. CPU Performance
Test Snort Aantal Alert file Max cpu
situatie versie alert (bytes) (Snort pid)
nr.1 v2.3.3 52 25556 31.4
nr.2 v2.4.4 53 15132 13.3
nr.3 V2.6.1.4 55 20422 53.6
nr.4 v2.3.3 55 25767 38.3 ?

20. Samenvatting & Conclusies..
• IDMEF in combinatie met IDXP beschouwen wij wel als de meest
wenselijke toekomstige Intervendor koppelmethodiek, omdat het
een IETF standaard is..
• De conversie van snort security messages naar de voorgeschreven
IDMEF XML beschrijving levert een gemiddelde overhead factor
van 6.22,
• In verhouding tot vergelijkbare XML overhead (in bijv.
webomgevingen) is deze conversie redelijk efficient uitgevoerd,
• De prelude koppeling past een extra conversie toe, maar heeft een
proprietary communicatie interface,
• Wel is de prelude koppeling met een optimalisatie uitgerust, die de
XML comprimeert voor transport. De factor overhead daalt
daardoor tot onder de 5.

21. Conclusies, vervolg..
• OPSEC is geen interessante intervendor methodiek omdat dit
geen open standaard is, is ook niet in de geest van os3,
• De verrichtte metingen in dit kader lieten blijken dat de cpu­
impact van 50% als gevolg van de XML en TLS bewerkingen
behoorlijk is: Een onderzoek naar het nut en de haalbaarheid van
de inzet van een XML/TLS combi­accelerator verdient aanbeveling
voor heavy environments..
(Wij hebben niet onderzocht of dit reeds wordt toegepast met snort
configuraties).

22. Vragen..??