home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / misc / netprobe.txt < prev    next >
Text File  |  2001-07-11  |  10KB  |  192 lines
  1.  
  2. How to Handle and Identify 
  3. Network Probes
  4.  
  5. "What to do when your DNS server gets FIN-SYN 
  6. scanned from Russia at 4:00 in the morning."
  7.  
  8. By Ron Gula
  9. April 1999
  10.  
  11. rgula@network-defense.com
  12. http://www.network-defense.com
  13. Copyright 1999 Network Defense Consulting
  14.  
  15. Abstract
  16.  
  17. Do you know what to do when suspicious network probes are detected on 
  18. your network? It's surprising, but many people do not follow common 
  19. sense and simple logic when analyzing malicious network activity. Even 
  20. worse, when contacting other organizations to complain, security incidents 
  21. can be misrepresented because all of the facts are not in order, incorrect or 
  22. even erroneous theories. This paper details a variety of steps that you can 
  23. take to get the most effectiveness and accuracy from your intrusion 
  24. detection system. It also concentrates on determining the who, what, why, 
  25. where, when and how of any network security event so that you can 
  26. accurately relay this information to others. 
  27.  
  28.  
  29. Introduction
  30. This paper is loosely organized into a list of rules that can be applied to
  31.  your network operation in the event of an external network scan. Each rule
  32.  has several examples of what can go wrong and what can go right for a given
  33.  situation. The rules are also in the order they should be applied in a network
  34.  security situation. 
  35. The last section discusses how to handle internal security events at a high level.
  36.  Please use this paper as a guide. Think about it and what it means for your
  37.  particular network. It may make the difference between deterring a network attack
  38.  and having to respond to a network compromise.
  39.  
  40. Rule #1: Don't Panic
  41.  
  42. It's 2:00 AM. You are in a deep sleep when suddenly the phone comes to life.
  43.  Speaking to you is a late shift network operator who is frantically describing
  44.  a list of  ISS RealSecure events. The operator also describes that the firewalls
  45.  are also going crazy and two NT machines just mysteriously rebooted.
  46.  The VP of Operations has been notified and she is on her way in. What do you do?
  47.  
  48. Even though network security events are reported in the media and they are
  49.  a very serious threat, they are not likely to occur to you on a daily basis.
  50.  (If they are occurring to you on a daily basis you must be pretty good at
  51.  dealing with them by now and probably don't need this paper.) Most network
  52.  organizations that suffer multiple attacks and probes experience them in groups.
  53.  They are not sporadic events. 
  54.  
  55. With this in mind we can roughly classify network probes into two categories.
  56.  First, the security event could actually be the result of a non-security event.
  57.  This is known as a 'false positive'. In this case there is nothing to worry about.
  58.  Second, the security event could be a probe that tested your site for something. 
  59. Tests could include determining the type of operating system of a server or even
  60.  sweeping the network for open ports. If the probe turns up negative, there is a
  61.  good chance that 'they' won't be coming back. With this situation, there is also
  62.  little to worry about. At your leisure, you can pursue those responsible for the probe. 
  63. If the probe seems to have found something that is vulnerable, then you may 
  64. have returning visitors. Regardless of the outcome of the probe, it requires
  65.  careful analysis and some judgement calls to determine its nature. That's what
  66.  the rest of this paper is about. 
  67.  
  68. When presented with a security event, all you really know is that further
  69.  investigation is required. Knowing that these things don't happen that often
  70.  shouldn't cause you to put the analysis of the event off to long though.
  71.  Timely analysis of any security event is the key to quickly finding the real
  72.  ones from the false positives.
  73.  
  74. Panic or at least an adrenaline rush is experienced by many network administrators
  75.  when security incidents occur. Here are some rules of thumb to keep in mind when
  76.  handling the situation. 
  77.  
  78. Initially, only tell people about the security event on a need to know basis 
  79.  
  80. Telling one person who tells another can cause any office or operations center
  81.  to quickly fill with people who are not the right ones to deal with the problem.
  82.  They may also get in the way. Discretion is highly recommended.
  83.  
  84. Watch out for overworked people
  85.  
  86. When any network event occurs, there is a tendency for normal people to rise
  87.  to the challenge and work long hours to see the event through. Security events
  88.  are no different. If an event occurs at the end of a normal duty day or a shift,
  89.  people working extra hours may suffer from fatigue, irritability and hunger.
  90.  All of these can impair the judgement of any human. It may also endanger them
  91.  for their ride home. Later on we discuss the importance of documentation.
  92.  Documentation and tracking of a security event can make change over between
  93.  employees much easier.
  94.  
  95. Don't let people jump to conclusions 
  96.  
  97. During high pressure situations, some people may feel the need to blame others
  98.  in an attempt to find answers. It's important to downplay any of these comments
  99.  until all of the facts are considered.
  100.  
  101. Get second opinions on 'rash' decisions 
  102.  
  103. When conducting a security investigation, it is very important to get input
  104.  from peers and even management about your current theories and plans. For example,
  105.  it may seem like a good idea to take the corporate web server offline for analysis,
  106.  but a second opinion might ask you to stand up a replacement. If probes are
  107.  occurring in real time, it is also temping to take certain courses of action
  108.  such as 'hack backs', setting up of honey-pots or even trying
  109.  to slow the scanning down. All of these actions may have unintended
  110.  repercussions on your company or network.
  111.  
  112. Focus on any obvious explanations 
  113.  
  114. It may not seem obvious, but suspicious activity can be explained away most of
  115.  the time with normal network events. Consider recent network changes or scheduled
  116.  network testing when analyzing a security event.
  117.  
  118. Like it or not, as the network security guru you are also in a position of
  119.  leadership during security events. If you are not sure of yourself, panicked
  120.  or exhibiting a high level of stress, these traits can easily spread to other
  121.  people. In ideal situations, the network security staff
  122.  (if there are more than one of you) is regularly involved in network operations.
  123.   Knowing your coworkers and making sure that they know you will reduce stress
  124.  and panic during security events.
  125.  
  126. "Don't worry", you say to the late shift operator, "I will dial in and
  127.  check the logs. Tell Beth I'll give her an initial status report in about
  128.  fifteen minutes. If it looks bad, I'll be coming in."
  129.  
  130. Rule #2: Document Activity
  131.  
  132. It's Monday morning and you receive a call from the Vice President of
  133.  Information Security. He wants to know how many network probes we have
  134.  received over the last three months and if any of them came from our competitors.
  135.  What would you tell him?
  136.  
  137. When any network security event occurs, you should document it. It doesn't
  138.  matter how you record the information as long as it is secure, accurate and
  139.  can be stored for some time. I like to keep a log book, but log books
  140.  can be lost. Some network shops record suspicious logs directly to CD-ROM.
  141.  More and more network shops are using ticketing systems to track security events.
  142.  These have the advantage of existing in a database which can easily be
  143.  searched for event correlation. You need a solution which is right for you. 
  144.  
  145. Why document? There are several reasons: 
  146.  
  147. People forget, even security gurus 
  148.  
  149. Having a physical record of security events from days gone past is
  150.  an immense help when analyzing security events of today and tomorrow.
  151.  Being able to answer questions like, "Has this IP address ever scanned
  152.  us before?", or "How many other IMAP probes have we had this year?" can
  153.  only be answered by reviewing historical logs. 
  154.  
  155. Security systems may not keep logs forever 
  156.  
  157. Some security programs do not keep logs forever. They delete old logs
  158.  to make room for new ones. If you have a system such as this, then those
  159.  security events from last month might not be in your security system any more.
  160.  Keeping logs separate from the production systems ensures a greater level of
  161.  data protection also. What happens if you have a hard drive crash? Many security
  162.  systems do not use back-ups for data 
  163. integrity. 
  164.  
  165. It might be evidence in court 
  166.  
  167. If you keep good logs (and good is subject to lawyer's interpretation)
  168.  then those logs may be used as evidence in a court case. It is very
  169.  important to keep a 'chain of evidence' with any log system. This means
  170.  you need to have proper access control on the log information. If the
  171.  security or integrity of the log can be questioned, then the log may not
  172.  be admissible in court. Paper print outs and CD-ROMs tend to be more believable
  173.  than electronic media. Even logging of DNS names instead of IP addresses
  174.  may be an issue, since DNS name resolution can be corrupted. 
  175.  
  176. It helps you sell security 
  177.  
  178. If you are like most companies, network security is viewed as an
  179.  important but expensive thing. Firewalls, intrusion detection systems
  180.  and conferences to Black-Hat are all expensive. Keeping logs can help
  181.  show management that there is indeed a threat and they are getting their
  182.  money's worth from you and the fancy security equipment.
  183.  
  184. Final thoughts:
  185.  
  186. During the heat of the moment is when it is most important to write
  187.  down or record any information about a security event. Don't forget
  188.  to record the people involved, their phone numbers and what they have said.
  189.  Recording all of the information allows for more efficient processing of
  190.  the data once it is assembled together. 
  191.  
  192.