SANS SEC503 Intrusion Detection In-Depth - Ein persönlicher Erfahrungsbericht

SANS SEC503 Intrusion Detection In-Depth

Ein persönlicher Erfahrungsbericht

Dominik Altermatt
von Dominik Altermatt
am 19. März 2020
Lesezeit: 11 Minuten

Keypoints

Das lernen Sie bei SANS über Einbruchserkennung

  • Empfehlenswerter Kurs in hoher Qualität
  • Sehr viel Stoff in relativ kurzer Zeit
  • Solide Grundlagen für die Packet-Captures Analyse
  • Threat-Modelling/ -Analyse kommt etwas zu kurz

Ein Persönlicher Erfahrungsbericht über den Kurs SEC503: Intrusion Detection In-Depth. Anhand der ausgeschrieben Learnings des Kurses, wird reflektiert wie der vermittelte Stoff aufgenommen wurde. Danach eine kurze Zusammenfassung der Kurstage.

Auszug aus der Kursbeschreibung auf der SANS Webseite.

You Will Learn:

Kursablauf

Der Kurs findet an 5 Tagen von 9:00 bis ca 19:00 Uhr im Frontalunterricht statt. Am 6. Tag findet die obligate Challenge statt, wobei die Teilnehmer das Erlernte anhand von gamifizierten Aufgaben lösen und in Teams oder solo gegeneinander um den höchsten Score antreten.

Die Informationen werden anhand einer Präsentation am Beamter vermittelt, sowie in gedruckter Form an die Teilnehmer abgegeben. Neben der Mittagspause sind jeweils eine Pause am Morgen sowie zwei am Nachmittag vorgesehen.

Zwischen den Theorieblöcken lockern diverse Hands-on Übungen eben erlernter Materie die Situation auf. Auch finden sich immer wieder Momente für den Austausch von Erfahrungen zwischen Instruktor und Teilnehmern. Die letzte Stunde des Unterrichtstages ist jeweils für weiter praktische hands-on Übungen reserviert.

Alle Übungen, die besprochenen Tools sowie Szenarien werden auf einer Linux VM geliefert. Diese enthält ausserdem diverse Daten und Paket-Captures als Grundlage für die Analysen der Aufgaben und Challenges.

Ablauf aus der SANS Webseite:

Day Topic
Day 1/2 Fundamentals of Traffic Analysis
Day 3 Application Protocols
Day 4 Network Monitoring: Signatures vs. Behaviors
Day 5 Network Traffic Forensics
Day 6 Advanced IDS Capstone Event

Tag 1 & 2 – Grundlegende Netzwerkanalysen

The first two days will likely be rough steht auf einer der ersten Slides am Kursbeginn. Danach folgen knapp 360(!) Slides über Paket- und Header-Grundlagen sowie die Vorstellung einiger Tools auf 2 Tage verteilt.

Grundlagenbegriffe wie Bits, Nibbles and Bytes sowie dezimale, binäre und hexadezimale Systemen werden erläutert. Strukturen von Protokoll-Headern werden durchgegangen. Spezifisch wird auf die einzelne Header-Felder und -Optionen von Link-Layer und IPv4 und IPv6 sowie den gängigen Protokollen (z.B. TCP, UDP, ARP) eingegangen.

Dazwischen immer wieder kurze Aufgaben, welche die Teilnehmen im Plenum lösen, z.B. das Lesen eines IP-Headers in einer hexadezimalen Repräsentation und die Identifikation von dessen Eigenschaften (z.B. IP-Version, Länge des Headers, Time To Live) anhand eines tcpdump Outputs.

Wireshark wird relativ rasch als eines der ersten Tools eingehender vorgestellt. Auf einigen Slides wird die Software erklärt und wenige aber nützlich Features (vor allem in den Wireshark Tool Menüs Statistics und Analyze) sowie die Anwendung von Display-Filters werden erläutert.

Weiter wird erklärt wie für tcpdump BPF-Filter geschrieben werden können. Dazu werden Grundlagen und einige spezifischen Informationen zur konkreten Anwendung erklärt. Zum Beispiel die Anwendung von Bit-Masken.

Die Bit-Masken werden z.B. für die korrekte Identifikation von den TCP-Flags benötigt. Da die ersten 2 Bits des “higher-order”-Nibble im Byte TCP-Header Offset[13] keine TCP-Flags sondern zwei ECN Bits sind, müssen diese bei der Anwendungen von BPF-Filtern mit tcpdump maskiert werden. (Nach dem Besuch des Kurses, kann der letzte Satz problemlos verstanden werden.)

Die Thematik Intrusion Detection wird zwischendurch an wenigen Beispielen für die Erläuterung der Grundlagenmaterie angeschnitten

Tag 3 – Applikationsprotokolle

Nach den ersten zwei Grundlagentagen transformierte sich der Content langsam in Richtung Intrusion Detection. Der dritte Tag weist aber weitere Grundlagen Themen auf. Ein kurzer Abstecher mit Scapy für das Erzeugen von eigenen Paketen (z.B. um eine IDS Installation zu testen) wird mit Live-Demos präsentiert. Weitere Features für Wireshark werden vorgestellt, z.B. das Extrahieren von Dateien aus Wireshark oder das Zusammensetzen von SMTP Nachrichten.

Snort und das Schreiben von Snort-Alerts werden vorgestellt. Detailliert wird erklärt, wie die Content-Search Funktion der Snort-Alerts eingesetzt werden kann und wie damit effiziente Rules geschrieben werden können.

Danach kommen weitere Grundlagen zu Applikations-Protokollen wie SMB, DNS oder SMTP sowie entsprechenden Detektions-Möglichkeiten mit Snort oder BPF-Filter/tcpdump. Die Grundlagen werden nicht so extensiv wie bei den tieferen Protokollen von Tag 1 & 2 behandelt. Trotzdem lose gespickt mit Besonderheiten im Kontext der Intrusion Detection und im Umgang (Verarbeitung, Filterung, Detektion) mit den vorgestellten Tools.

Der Theorieblock des dritten Tages wird mit Grundlagen zum Thema IDS/IPS Evasion abgeschlossen. Anhand einiger Beispielen wird gezeigt, wie man IDS/IPS System umgehen könnte.

Tag 4 – Netzwerkmonitoring

Der vierte Tag startet mit übergeordneten und grundlegenden Konzepten zu IDS/IPS. Wie und wo können Sensoren platziert werden und mit welchen Problemen man zu rechnen hat. Danach ein Abstecher zum Thema TLS. Der Grossteil des Tages wurde jedoch mit dem Tool Zeek verbracht. Es werden Grundlagen zur Funktionsweise von Zeek vorgestellt. Rasch wurde mit der Analyse von durch Zeek geneierte Logfiles begonnen. Spähtestens hier sind gewisse Bash-Kenntnisse (z.B. die Befehle cat, cut, awk, grep, wc, uniq) zur Manipulation von Daten von grossem Vorteil.

Eines der mächtigen Features von Zeek, ist die Möglichkeit Zeek-Scripting zu nutzen. Dazu werden Grundlagen vermitteln und diverse kleiner Übungen durchgespielt. Die Thematik wird mit einem kleinen Einschub durch das Thema Threat Modeling aufgelockert. Anhand eines Beispiels (Phishing) wird aufgezeigt, wie man durch Threat-Analyse zu einer guten Definition für Zeek-Scripts im Kontext von (in diesem Falle verhaltensbasierten) Intrusion Detection kommt.

Tag 5 – Forensik im Netzwerk

Am fünften Tag wurde kurz mit dem Thema forensische Analyse gestartet. Dann der Wechsel zu Flows und wie mittels dem Tool SiLK Netflow-Daten analysiert werden können. Bezüglich SilK wird vor allem der Umgang mit den tools rwfilter, rwcut und rwstats aufgezeigt. Dazwischen auch methodologische Hinweise z.B. Alert-vs Data-Driven Sensors, respektive des Analysepotentials daraus generierten Alerts oder Events. Abschliessend werden auch Möglichkeiten der Visualisierung von Daten diskutiert, um damit Informationen/Anomalien aus den Daten (besser) lesen zu können.

Ein grosser Block des fünften Tags widmet sich dem Thema Maschine Learning. Dazu wird sehr oberflächlich über die mathematischen Grundlagen von ML diskutiert. Mittels einem Jupyter Notebook Setup wird einem Python Code zur Verfügung gestellt und Beispiele zum Thema werden durchgegangen. High-Level wird darauf eingegangen, wie der eingesetzt ML-Algorithmus für bessere Resultate getrimmt werden kann sowie warum die Wahl und Formatierung des Datensets für die ML-Lernphase nicht ganz trivial ist.

Tag 6 – Die Challenge

Der letzte Tag ist ausschliesslich für die Challenge reserviert.

Fazit

Die 6 Tage in diesem Kurs sind intensiv. Dies allein schon durch die ca. 700+ Slides inkl. zusätzlichem Begleit-Text, exklusive Übungen. Wer etwas an Vorkenntnissen von Informatikgrundlagen (spezifisch zum Thema Netzwerk) sowie etwas Übung mit Bash mit sich bringt, ist klar im Vorteil.

Die ersten Tage können als Repetition von Stoff aus dem Informatik-Studium oder Lehre gesehen werden. Wer hingegen diese Konzepte das erste Mal erlernt, kann wohl an seine Grenzen kommen und nicht ideal von der Fülle der vermittelten Informationen profitieren. Nicht zuletzt, weil das Kurstempo relativ hoch getaktet ist.

Das Verständnis der Grundlagen ist essenziell für die Nutzung der vorgestellten Analyse-Tools und -Techniken. Dies deckt das angepriesene Learning:

TCP/IP and common application protocols to gain insight about your network traffic, enabling you to distinguish normal from abnormal traffic

Die schrittweise Heranführung an die Analyse von Netzwerk-Paket-Captures mit den vorgestellten Tools, erscheint als ein solides und gut strukturiertes Konzept. Die grundsätzliche Verwendung der eingesetzten Tools sowie die Anwendung deren Basis-Features für eine Paket-Analyse werden sehr gut erklärt.

Dies decken die angepriesenen Learnings:

How to analyze traffic traversing your site to avoid becoming another “Hacked!” headline

The benefits of using signature-based, flow, and hybrid traffic analysis frameworks to augment detection

Hands-on detection, analysis, and network forensic investigation with a variety of open-source tools

Die Menge des Stoffes begrenzt die Zeit für Übungen relativ stark. So konnte nicht die effektiv vorgesehen Zeit aufgewendet und gewisse Übungen mussten ausgelassen werden.

Bringt man entsprechendes Wissen über Angriffstechniken/Muster mit, kann man das Potential der Analyse von Paketen sofort erkennen und nun den Syntax der entsprechenden Tools konkret anwenden.

Meiner Meinung zu kurz kam das Thema Threat-Modelling und Analyse im Kontext von IDS (Intrusion Detection Systeme). Dazu wären Methoden und Ansätze für gängige und bekannte Angriffe spannend gewesen sowie Konzepte zur Erfassung von “Normal”-Zuständen als Basis für die Detektion von unbekannten Angriffen. Dafür könnte man das Thema rund um Maschine Learning (ML) stark verkürzen, da es im Vergleich zu den anderen vorgestellten Tools (noch) keine effektiven Ansätze für die Produktion bietet.

Weiter erschienen konzeptionelle und übergeordnete Aspekte als Auflockerung zwischen den technischen Blöcken. Dies mindert etwas den Lerneffekt und die Auffassung der Konzepte als Ganzes. Obwohl nicht im Haupt-Fokus des Kurses, kommen die konzeptionelle Information etwas zerstückelt daher.

Konkret könnte auf die folgendes beworbenen Learnings vertiefter und strukturierter eingegangen werden:

Zugegeben, dabei entsteht ein Dilemma. Relevante Punkte zum Thema in eine Kurs-Woche zu packen ohne “Abschreiber” zu machen, erscheint schwierig.

Nichtsdestotrotz kann der Kurs wärmsten empfohlen werden. Qualität der Unterlagen, Übungen sowie des Instruktors sind auf einem sehr hohen Niveau.

Über den Autor

Dominik Altermatt

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

Sie wollen die Awareness Ihrer Benutzer prüfen?

Lassen Sie durch uns einen Social Engineering Test durchführen!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Traffic-Analyse mit Windows-Boardmitteln

Traffic-Analyse mit Windows-Boardmitteln

Dominik Altermatt

Cisco WebEx Online Meeting Security

Cisco WebEx Online Meeting Security

Dominik Altermatt

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv