Friday, July 23, 2004

A Different Take on Intrusion Prevention Systems

Today while perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Incident Handler's Diary, I noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Handler On Duty" was Tom Liston, and his Web site was listed as LaBrea Technologies. I remembered Tom from his July 2001 post to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusions@incidents.org mailing list. There he cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orized on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea for his LaBrea "tarpit," code to trap malware visiting non-existent local IPs using various TCP tricks. Fearing DMCA, Tom no longer hosts LaBrea at his site, but it's available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD ports tree as security/labrea, and elsewhere.

A visit to LaBrea Technologies shows Tom is working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "LaBrea Sentry IPS - Next Generation Intrusion Prevention System." From Tom's description:

"LaBrea Sentry connects to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local network and monitors attempts to access unused IP addresses. Once such attempts are detected, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LaBrea Sentry creates virtual machines to emulate an active server on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unused IP address, executes countermeasures defined by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, logs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity, and coordinates with LaBrea Central to proactively block known scanners.

LaBrea Central compiles and analyzes data from all LaBrea units, generating a global 'Bad Guy List,' providing proactive protection from known hostile sources."

A check at archive.org shows references to this product from at least April 2003, so Tom's been working on it for a while. This sort of product reminds me of a sort of passive-aggressive honeyd. I'd be interested in seeing what comes out of this work.

Keep in mind that an "intrusion prevention system" as currently implemented by vendors is simply an access control device with visibility of layer 7 traffic. Vendors like TippingPoint, Intruvert (now part of NAI), and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would be crushed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall giants of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 2000's if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se start-ups competed as "improved firewalls." Instead, TippingPoint and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs followed MBA strategy 101 and defined a "new market" for "Intrusion Prevention Systems." The firewall market took a while to catch on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layer 7 inspection and denial routine, but by late 2002 vendors like Netscreen and Checkpoint were waking up. Marty Roesch participated in threads on focus-ids and snort-users that validate my viewpoint.

LaBrea is different in that it doesn't operate at layer 7, inspecting and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n dropping traffic presumed to be malicious. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it watches unused IP addresses and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n interacts with malware attempting to connect to services which could be offered by those nonexistent hosts. An intrusion is "prevented" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware gets "stuck" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tarpit prior to exploiting a live host -- maybe. It depends on a lot on luck, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real target might get hit before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tarpit.

No comments: