Post on 06-Apr-2019
Intrusion Detection Systems
Veranstaltung
➢ Rechnernetze II
Übersicht
➢ Was ist eine Intrusion?
➢ Und was die Intrusion Detection?
➢ Arten von IDS
➢ Rechtliche Fragen
➢ Angriffspunkte von IDS
➢ IDS sinnvoll einsetzen
Was ist eine Intrusion?
➢ Intrusion = Eindringen, Einmischung
➢ In der Literatur häufig als Einbruch bezeichnet
➢ Interpretation was eine Intrusion ist, ist nicht immer eindeutig
Was ist eine Intrusion?
➢ Portscan (heutzutage sehr häufig)
➢ Modifikation von Firewallregeln
➢ Modifikation eine Routingtabelle
➢ Austausch von Systemkomponenten/Programmen
➢ Einbruch in einen Webserver und Installation eines Passwortsniffers
Intrusion Detection
➢ Angriffs/Einbruchserkennung
➢ Nicht authorisierter Zugriff von außen
➢ Missbrauchserkennung
➢ Missbrauch von innen
➢ Anomaly Erkennung
➢ Erkennung ungewöhnlicher Zustände im System
Aufbau eines IDS
Datenmonitor
➢ Sammeln und (vor)filtern von Daten
➢ Quellen
➸ Netzwerkdurchsatz
➸ Logdateien von Sicherheitssoftware
➸ Betriebsmittelvergabe des Betriebssystems
➸ Vom BS überwachte Komponenten (Dateisysteme, Netzwerkdienste, Logdateien)
Analyzer
➢ Datenanalyse in Echtzeit gefordert
➢ Verfahren:
➸ Passive Analyse (z.B. Logdateien)
➸ Signaturanalyse
➸ Anomaliedetektion
Signaturanalyse
➢ Funktionsweise analog zum Virenscanner
➢ Auditdaten werden nach bekannten Mustern durchsucht
➢ Sehr schneller Erfolg
➢ Muss ständig auf dem neusten Stand gehalten werden
➢ Beschreibt Art des Angriffs und evtl. Gegenmaßnahmen
Anomalie Detektion
➢ IDS wird auf den 'Normalfall' trainiert
➢ Abweichungen werden nach dem
➸ statistischen Ansatz
➸ Logischen Ansatz
bewertet
➢ Liefert als Ergebnis eine Verdachtsbewertung
Anomalie Detektion
Statistischer Ansatz
➢ Parametermenge wird überwacht:
➸ Seitenzugriffsrate
➸ Prozessorlast
➸ Pakettypen
Anomalie Detektion
Logischer Ansatz
➢ Erweiterung des statistischen Ansatzes
➢ Zeitliche Abfolge von Ereignissen wird berücksichtigt
Ergebnisdarstellung
➢ Reaktionsmöglichkeiten in Abhängigkeit des Gefahrenpotentials
➸ Mail mit Art des Angriffs an Administrator
➸ Lokaler Alarm, z.B. Popup Fenster auf der Sicherheitskonsole
➸ Alarmmeldung über Pager oder Handy
Ergebnisdarstellung
➢ Es muß sichergestellt werden, daß
➸ die Daten nicht nach einem Angriff verschleiert oder verfälscht werden können
➸ Eine Benachrichtigung auch im Falle eines DoS Angriffes stattfindet
Response
➢ Sobald ein Alarm mit entspechendere Priorität ausgelöst wurde, muß entweder
➸ der Administrator aktiv werden und Maßnahmen ergreifen
➸ Ein IRS leitet automatisierte Maßnahmen ein
Response
Passive Maßnahmen
➢ Rekonfiguration der Firewall/Router
➢ Abschalten von Diensten
➢ Abschalten des Routers (nur in sehr schwerwiegenden Fällen!)
Response
Aktive Maßnahmen
➢ Ermitteln der Angreifer IP
➢ Weitere Maßnahmen (Trojaner zurückschicken, ebenfalls DoS starten) fallen in den Bereich der Selbstjustiz!
Arten von IDS
➢ Hostbasierte IDS (HIDS)
➢ Überwacht Ereignisse eines Gerätes
➢ Netzbasierte IDS (NIDS)
➢ Überwacht vorbeifließenden Netzwerkverkehr
Lokale Analyse – HIDS
➢ Betriebssystemdaten, z.B. Logdateien
➢ Anwendungsdaten
➢ Daten des Protokollstapels (z.B. TCP/IP)
Erkennbare Angriffe
➢ Modifikation der Webseite (Defacement)
➢ Installation von Trojanern und Rootkits
➢ Ausführung von priviligierten Befehlen
➢ Aufruf sicherheitsbedenklicher Befehle
➢ Zusätzlich angelegte Rootuser (einfache Hintertür)
HIDS Technologien
➢ Protokollanalyse
➢ Protokolle werden auf bekannte Ereignisse geprüft, bei Übereinstimmung wird alamiert (Positivliste)
➢ Um unbekannte Meldungen nicht zu übersehen gibt es das Gegenstück, die Negativliste
➢ Gute Analysatoren sind zudem in der Lage Meldungen zusammenzufassen
HIDS Technologien
➢ Integritätstest
➢ Zustand des Systems wird gespeichert
➢ Um Speicherplatz zu sparen werden meist nur Dateieigenschaften + Prüfsumme gespeichert
➢ „Schnappschuss“ des Systems wird regelmäßig geprüft
➢ IDS mit dieser Eigenschaft werden auch alsSystem Integrity Verifier (SIV) oder File Integrity Assessment (FIA) bezeichnet
HIDS Technologien
➢ Echtzeitanalyse von Systemaufrufen und Dateizugriffen
➢ Das IDS wartet nicht bis etwas passiert ist, sondern überwacht jeden (relevanten) Schritt des Systems
➢ Zeitlich sehr aufwendig
➢ Kann zur Prävention eingesetzt werden
Vor/und Nachteile
➢ Gute Überwachung des Hosts
➢ Erkennung verschlüsselter Angriffe
➢ Unanfällig gegenüber gefälschten Paketen
➢ Aufwendige Administration
➢ Hohes Datenaufkommen
NIDS
➢ Überwachung des Netzwerkverkehrs
➢ Besonders für Angriffserkennung von außen geeignet
➢ Funktionsweise ähnlich wie ein „Sniffer“
Erkennbare Angriffe
➢ DoS mit Bufferoverflow, z.B. NOP Sled
➢ Ungültige Pakete (Tear Drop, Ping of Death)
➢ Angriffe auf Applikationsebene
➢ „Inkorrekte“ Datenströme können Applikationen zu unerwartetem Verhalten veranlassen
➢ Zugriff auf vertrauliche Daten, z.B. Passwortdatenbank
Erkennbare Angriffe
➢ Informationsdiebstahl, sofern Übertragung unverschlüsselt stattfindet
➢ Angriffe auf Firewall oder IDS
➢ Spoofing Angriffe
➢ Portscans
➢ Verdachtsbestätigung bei DDoS Angriffen
NIDS Technologien
➢ SignaturErkennung
➢ Zustandsorientierte SignaturErkennung
➢ Damit das IDS nicht mit sinnlosen Paketen blockiert werden kann, werden nur im Zusammenhang sinnvolle Pakete bearbeitet
➢ Protokolldekodierung
➢ Inhaltsanalyse auf oberster Schicht
NIDS Technologien
➢ Statistische AnomalieAnalyse
➢ Neue Angriffsformen und versteckte Scans können hiermit ggf. entdeckt werden
➢ Heuristische Analyse
➢ Optimiert den Signaturvergleich, es wird nicht jedes Pakete untersucht, um Rechenzeit zu sparen
➢ Reaktion
➢ Alarmierung, Konfiguration, Rückverfolgung
Vor/und Nachteile
➢ Wenige Knoten reichen zur Überwachung aus
➢ Geringerer administrativer Aufwand
➢ Verschlüsselte Angriffe werden nicht erkannt
➢ Anfällig gegenüber gefälschten Paketen
➢ Bei hoher Netzlast werden Pakete ausgelassen
Anforderungen an ein IDS
➢ Verfügbarkeit der Dienst
➢ Integrität und Verfügbarkeit der Daten
➢ Unterstützung bei einem Angriff
➢ Fehlertoleranz
➢ Kontinuierlicher Lauf
➢ Geringer Overhead
➢ Leichte Integration
➢ Schwer zu umgehen
Rechtliche Fragen
➢ Datenschutz
➢ Verwendbarkeit der Daten
➢ Gegenmaßnahmen
Datenschutz und IDS
➢ Recht auf informationelle Selbstbestimmung (Art 1 Abs. 1 GG)
➢ Zweckbindung der Daten (BDSG §3, §14(4) und §31)
➢ Innerbetriebliche Mitbestimmung (BtrVG §87 (1))
➢ Gesetz über die Nutzung der Teledienste (TDG)
➢ Teledienstdatenschutzgesetz (TDDSG §46)
Datenschutz
➢ Personenbezogene Daten dürfen nach dem BDSG nicht verwendet werden
➢ Anonymisierte Daten dürfen nur verwendet werden wenn keine Rückschlüsse (oder unverhältnismäßig aufwendig) auf Personen möglich sind
➢ Ausnahmen
➢ Schriftliche Einwilligung der betroffenen Person
➢ Vereinbarung durch Arbeitsvertrag
➢ Gesetzliche Vorschrift
Datenschutz
➢ Private Emails fallen unter das Fernmeldegeheimnis
➢ Dienstliche Emails dürfen in Abwesendheit vom Vorgesetzten gelesen werden, Ein Ausgang und Ziel können festgehalten werden
➢ Bei Verdacht einer Straftat entfällt der Schutz
➢ Nach §31 BDSG dürfen Daten nicht zur Leistungskontrolle verwendet werden
Angriffspunkte von IDS
➢ Verschlüsselte Verbindungen
➢ Selbstmodifizierender Code
➢ Fragmentierung
➢ Insertion
➢ Evasion
Fragmentierung
➢ Fragmentüberlappung
1. Fragment .../cgibin/harmlos
2. Fragment phf?Qalias=x%0...
wird je nach BS zu
.../cgibin/harmlosias=x%0... oder
.../cgibin/phf?Qalias=x%0...
Insertion
➢ Angriffsbeispiel: GET /cgibin/phf?
➢ Fehlerhafte Pakete werden dem Datenstrom hinzugefügt:
➸ leasedontdetectt
➸ is
➸ orme
➢ IDS sieht GET /cgibin/pleasedontdetectthisforme => Signaturanalyse schlägt fehl
Evasion
➢ Übermäßig korrekte Implementierung vermeidet Insertion führt aber zu Evasion
➢ Pakete die vom IDS als ungültig erkannt werden, werden vom Host akzeptiert
➢ Führt u.U. zum Verlust des Zusammenhangs
Evasion
Verfügbare IDSkommerziell
➢ NetRanger/Cisco Secure IDS (NIDS)
➢ 45500 Mbit/s (je nach Preisklasse)
➢ SignaturAnalyse auf IP Ebene
➢ Als Reaktion TCP Reset möglich
➢ Grafischer Client für Win und Solaris
Verfügbare IDSkommerziell
➢ RealSecure (NIDS + HIDS Modul)
➢ Sensoren für Win, Solaris, Linux
➢ Client nur Win
➢ Signaturanalyse inkl. Zustand und Protokoll
➢ Konfiguration der Checkpoint FW möglich
Verfügbare IDSkommerziell
➢ Network Flight Recorder (N/HIDS)
➢ Durchsatz 1001000MBit/s
➢ Signaturanalyse inkl. Zustand und Protokoll
➢ TCP Reset und Konfiguration einer FW möglich
➢ Nur Win
Verfügbare IDSkommerziell
➢ Dragon (N/HIDS)
➢ Signaturanalyse inkl. Zustand und Protokoll
➢ Benutzerdefinierte Befehle als Reaktion
➢ Sensoren für alle BS, grafischer Client UNIX/Linux
Verfügbare IDSkommerziell
➢ Entercept (HIDS)
➢ Überwachung der Prozessaufrufe, Protokolldaten, Zugriffe/Modifikation der Registry (Nur Win)
➢ Reaktion Als Angriff erkannte Befehle werden nicht ausgeführt
➢ Grafischer Client für Win
➢ Agenten für Solaris und Win
Verfügbare IDSfrei verfügbar
➢ Snort (NIDS)
➢ Unterstützt alle gängigen BS
➢ Signaturanalyse inkl. Zustand und Protokoll
➢ Reaktion TCP Reset, ICMP Unreachable, Konfiguration von Checkpoint FW, Cisco Router
➢ Grafische Clients für gängige BS
Verfügbare IDSfrei verfügbar
➢ Linux IDS (HIDS)
➢ Kernelbasiertes IDS
➢ Überwacht Benutzerverhalten, Portscans, Protokolldateien, Prozesse und Module
➢ Reaktion, Abmeldung des Benutzers, Zugriffsverweigerung
➢ Bedienung ausschließlich über CLI
Verfügbare IDSfrei verfügbar
➢ Tripwire (HIDS)
➢ Überwachung von Dateien und deren Inhalt
➢ Als einzige Reaktion steht die Alarmierung per Email zur Verfügung
➢ Grafische Clients nur kommerziell Verfügbar, sonst CLI
IDS/IRS sinnvoll einsetzen
➢ Prävention
➢ Begünstigung eines Einbruch
➢ Erkennung
➢ Reaktion
➢ Analyse
➢ Recovery
➢ Konsequenzen
Prävention
➢ Update der Betriebssysteme
➢ Deaktivierung unnötiger Dienste
➢ Installation von Virenscannern
➢ Audit und Reorganisation des Netzwerkes
➢ Räumliche Trennung/physikalische Sicherheit
Prävention
➢ Deaktivierung nicht verwendeter Netzzugänge
➢ Installation einer Firewall
➢ Installation eines IDS
➢ Verschlüsselte Anmeldung
➢ Erstellung eines Notfallplans
Begünstigung eines Einbruchs
➢ Schlampige Systemwartung
➢ Fehler in der Konfiguration von Firewall/Router
➢ Vergessene Testsysteme/zugänge
➢ Neue unbekannte Sicherheitslücken in scheinbar sicheren Systemen
Erkennung
➢ Automatische Erkennung durch IDS
➢ Problem, nicht alle Bereiche werden überwacht (z.B. Arbeitsplatzrechner)
➢ Erfahrung des verantwortlichen Personals
➢ Kritisch, Social Engineering
Reaktion
➢ Einbruch stoppen (Verbindung trennen, Dienste deaktivieren, Konten sperren)
➢ Analyse und Dokumentation der Umstände
➢ Spiegelung des Systems für spätere Analyse
➢ Einschätzung des Vorfalls
➢ Berichterstattung
Analyse
➢ Welche Methoden hat der Angreifer verwendet?
➢ Welche Komponente wurde angegriffen?
➢ Welche Tätigkeiten hat der Angreifer anschließend durchgeführt?
➢ Welches Ziel wurde möglicherweise Verfolgt?
➢ Wurde wichtige Daten modifiziert oder gelöscht?
➢ Wie kann dieser Angriff zukünftig verhindert werden?
Recovery
➢ Vorherige Analyse sollte Kenntnis über den Vorfall geben
➢ Vollständige Analyse kann nicht garantiert werden
➢ System muss von Originaldatenträgern oder garantiert unverfälschten Backups neu eingespielt werden
➢ Sicherheitslücke(n) werden wieder mit eingespielt
➢ Rekonfiguration des Systems ist erforderlich
Konsequenzen
➢ Wünschenswert aber häufig vernachlässigt
➢ Untersuchung der Netzwerkstruktur
➢ Begutachtung des Personals (speziell Kompetenz)
➢ Ggf. neu Sicherheitsstrukturen
➢ Evaluation des alten/neuen Systems
Honeypot
➢ System, welches Angreifer anlocken soll aber sonst keine wichtigen Aufgaben erfüllt
➢ Vorteile
➢ Datensammlung kann auf das eigentliche Ziel konzentriert werden, d.h. es fallen weniger Datenmengen an
➢ Durch die Konzentration werden Ressourcen geschont, d.h. im Vergleich zu realen System ist der Verlust von Datenpaketen deutlich geringer
Honeypot
➢ Nachteile
➢ Singularität – Der Rechner muss gefunden werden, „Werbung“ ist nicht möglich
➢ Auch ein Honeypot ist nicht gegen jeden Angriff gefeit und kann missbraucht werden
Rechtliche Probleme
➢ § 26 und 27 StGB stellen vorsätzliche Beihilfe zu einer Straftat unter Strafe
➸ Absichtliches Installieren eines fehlerhaften System könnte diesen Punkt erfüllen
➸ Simulierte Systeme (z.B. Honeyd) fallen höchstwahrscheinlich nicht darunter, da sie keine weiteren Funktionen nachahmen können
Zusammenfassung
➢ IDS stellen selber Angriffspunkt dar
➢ Moderne Angriffsmethoden und Verschlüsselung erschweren den Einsatz von IDS
➢ IDS bieten zusätzliche Sicherheit
➸ Netzinterne Angriffe können festgestellt werden