Geräte und Software 27.01.2011Psycholinguistisches Labor Carsten Schliewe.
IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2...
-
Upload
nelly-fertig -
Category
Documents
-
view
216 -
download
1
Transcript of IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2...
IDS
Intrusion Detection System
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
2
VortragendeVortragende
• Markus Kobe– 7. Semester Informatik
• Carsten Crantz- 7. Semester Informatik
IDS - Vortragende
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
3
InhaltInhalt• Was ist ein IDS ?• Warum IDS ?• IDS-Architekturen• Analysetechniken• Anforderungen / Grenzen an/von IDS• Weitere Maßnahmen (Honypots)• Common IDS Framework• Freeware IDS
IDS - Inhalt
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
4
Was ist ein IDS ?Was ist ein IDS ?
Signatur-Vergleichs-Automat (SCS)
Die Tätigkeit eines IDS ist derVERGLEICH
von auftretenden Ereignissen mit einem vorher bestimmten Muster
IDS – Was ist ein IDS ?
Intrusion Detection System ~ Eindringling-Erkennungs-Automat
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
5
Warum IDS einsetzen ?Warum IDS einsetzen ?
IDS – Warum IDS einsetzen ?
• Firewalls haben Grenzen- Arbeiten präventiv- Schutz nach Regeln- Unvorsichtige User
• Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206]
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
6
IDS-ArchitekturenIDS-Architekturen
IDS – IDS-Architekturen
• Hauptarten:– Host IDS (HIDS)– Network IDS (NIDS)
• Hybride Arten- Per-Host Network IDS (PHIDS)- Load Balanced Network IDS (LBNIDS)- Firewall IDS (FWIDS)
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
7
Host IDSHost IDS
• Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner
• Analysieren Systemkritische Bereiche• Protokollieren System- und Benutzeraktivitäten• Kann nur auswerten was schon gespeichert ist
– Wirkt im nachhinein– „aus Fehlern lernen“– Erkennung der Einbruchsstrategie– Fehlerbehebung
IDS – IDS-Architekturen - HIDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
8
Network IDSNetwork IDS
IDS – IDS-Architekturen - NIDS
• Lesen alle im Netz übertragenen Pakete– Kontinuierlich , Echtzeit
• Registrieren Angriffsversuche bereits im Vorfeld• Platzierung der IDS-“Sensoren“ abhängig von
Interessenlage
• S-NIDS AA-IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
9
Network IDS (II)Network IDS (II)
VOR der FW
- Überblick- Alle Aktivitäten- Stark ausgelastet
IDS – IDS-Architekturen - NIDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
10
Network IDS (III)Network IDS (III)
IDS – IDS-Architekturen - NIDS
HINTER der FW
- Kontrollinstanz
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
11
Network IDS (IV)Network IDS (IV)
IDS – IDS-Architekturen - NIDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
12
Hybride IDSHybride IDS
• N+HIDS• Per-Host NIDS
– Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS• Load Balanced NIDS
– Wie PH-IDS aber mit zentralem Lastverteiler• Firewall-IDS
– „Firewall AddOn“
IDS – IDS-Architekturen - Hybride IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
13
AnalysetechnikenAnalysetechniken
• Misuse Detection– Missbrauchserkennung– Signaturerkennung
• Anomaly Detection– Anomalieerkennung– Statische Erkennung
IDS – Analysetechniken
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
14
Misuse DetectionMisuse Detection
• Identifikation bekannter Angriffe• Bekannte Signaturen• Fester Regelsatz• Referenzdatenbank• Analogie Virenscanner
– Zustandsautomat zur Mustererkennung
IDS – Analysetechniken – Misuse Detection
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
15
Anomaly DetectionAnomaly Detection
• Voraussage der Folgen eines Angriffs • Erlernter Regelsatz• Normalzustand definieren
– Systemintegrität muss gesichert sein• Quantitative Analyse• Statische Messungen• Neuronale Netze
• Aktion erwartete Folgeaktion / Anomalie = Alarm
IDS – Analysetechniken – Anomaly Detection
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
16
Anforderungen an IDS (I)Anforderungen an IDS (I)• Ein ausgereiftes Sicherheitskonzept muss Grundlage
jedes IDS sein
• Nur eine speziell gesicherte IDS-Umgebung, die- Angriffe gegen sich selbst erschwert- einen Ausfall der eigenen Funktionalität meldet
ermöglicht einen effektiven Einsatz
• Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich
IDS – Anforderungen an IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
17
Anforderungen an IDS (II)Anforderungen an IDS (II)• Abstimmung auf menschliche Eingriffe, d.h.:
- Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen
- Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein
IDS – Anforderungen an IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
18
Schwächen von IDS (I)Schwächen von IDS (I)Allgemein:
• Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
19
Schwächen von IDS (II)Schwächen von IDS (II)NIDS• Uneffektiv in geswitchten Systemen, weil nicht der
gesamte Datenverkehr erfasst werden kann
• Performanceaspekte stellen häufig eine Schwachstelle dar- Netzverkehr (Pakete / Sekunde)- TCP-Verbindungen- Langzeitverhalten
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
20
Schwächen von IDS (III)Schwächen von IDS (III)NIDS• Häufig Probleme mit bestimmten Angriffsmethoden
- Fragmentation- Avoiding defaults- (Coordinated) slow scans
HIDS• Uneffektiv bei sich häufig ändernden Daten. Die Folge
ist eine Vielzahl von Fehlalarmen
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
21
Schwächen von IDS (IV)Schwächen von IDS (IV)Signaturerkennung:• Unflexibles Verhalten im Hinblick auf unbekannte Angriffe
bzw. Varianten• hohe Abhängigkeit von der Aktualität der Signatur-DB
Statistische Verfahren:• Unerkannte Angriffe in der Einführungsphase sind spätere
Schwachstellen• Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des
Lernprozesses
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
22
Weiterführende AnsätzeWeiterführende Ansätze• Honey Pots
- Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird.
- Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung
stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu
sammeln
IDS – Weiterführende Ansätze
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
23
Common IDS Framework (I)Common IDS Framework (I)
• Ziel: – allgemeingültige Architektur für IDS zu definieren– Zusammenarbeit verschiedener Hersteller
• Schwerpunkt– Spezifikation einer Sprache– Einheitliches Übertragungsprotokoll
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
24
Common IDS Framework (II)Common IDS Framework (II)
• Rohdaten
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
25
Common IDS Framework (III)Common IDS Framework (III)
• Event-Generator– Einheitliches Format– Monitormodule
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
26
Common IDS Framework (IV)Common IDS Framework (IV)
• Analyser– Auswerung– Kontext
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
27
Common IDS Framework (V)Common IDS Framework (V)
• Database– Kontext– Nicht Referenz-
datenbank bekannter Einbrüche
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
28
Common IDS Framework (V)Common IDS Framework (V)
• Aktionskomponente– Alarm– FW Modifikation
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
29
Freeware IDS - Tripwire (I)Freeware IDS - Tripwire (I)• Hostbasiertes IDS• Grundsätzliche Funktionsweise
- Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum)
- Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen
- regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job)
IDS - Freeware IDS - Tripwire
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
30
Freeware IDS - Tripwire (II)Freeware IDS - Tripwire (II)• Policy-File
- Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software
- Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können
- Es können Variablen für bestimmte Prüfkombinationen definiert werden
- Eine Gewichtung von Regelverletzungen ist möglich- Es können E-Mail Adressen für die Benachrichtigung
bei Regelverstößen angegeben werden
IDS - Freeware IDS - Tripwire
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
31
Freeware IDS - Snort (I)Freeware IDS - Snort (I)
• Netzwerkbasiertes IDS (Unix/Linux , Windows)• Primäre Basis sind Angriffssignaturen mit den
Eigenschaften verdächtiger IP-Pakete:- Protokoll- Ziel- / Absendeadresse- Source- / Destinationport- TCP-Flags- Größe
• Knapp 1000 fertige Regeln sind verfügbar
IDS - Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
32
Freeware IDS - Snort (II)Freeware IDS - Snort (II)• Weitere Features
• Portscan-Präprozessor- überwacht die Anzahl der Verbindungen von einer
IP-Adresse- erkennt typische Stealth-Scan-Pakete
• SPADE - Plugin für statistische Analysen - meldet Abweichungen von der typischen Verteilung
des Netzverkehrs- arbeitet mit festen Schwellwerte oder einer
dynamischen Anpassung
IDS - Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
33
Freeware IDS - Snort (III)Freeware IDS - Snort (III)• Weitere Features (Forts.)
• Flexible-Response-Modul (Alpha-Version)- Ermöglicht Kennzeichnung einzelner Regeln mit
Response-Anweisungen- Das Auslösen der Regel führt zum Beenden der
Verbindung• Präprozessoren zum Zusammensetzen
fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams
IDS - Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
34
Freeware IDS - Snort (IV)Freeware IDS - Snort (IV)• Reporting Tools (Freeware)
• SnortSnarf (Silicon Defense)- erstellt aus der Protokolldatei untereinander verlinkte
HTML-Seiten• ACID (CERT)
- besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität
IDS – Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
35
FragenFragen
www.markuskobe.dewww.crantz.derzpc1/18.415
IDS – Fragen
??
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
36
Literatur (I)Literatur (I)• [ct1] Elisabeth Bauer
Buchkritik: Intrusion Detection System c´t 15/02, Seite 206
• [ct2] Oliver DiedrichStolperdrahtc´t 11/02, Seite 198
• [ct3] Jürgen Schmidt, Martin FreissEinbrecheralarmc´t 8/01, Seite 212
IDS – Literatur
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
37
Literatur (II)Literatur (II)• [ct4] Patrick Brauch
Distributed Denial of Service – verteilte Angriffec´t 25/00, Seite 256
• [ct5] Bernd RudackIntrusion Detection Systeme im Testc´t 3/99, Seite 190
• [ct6] Bernd Rudack
Alarmanlagen fürs Netzc´t 3/99, Seite 186
IDS – Literatur
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
38
Literatur (III)Literatur (III)• [www1] http://www.domhan.de/ids.pdf • [www2] http://www.genua.de/produkte/snort/node1_html • [www3] http://www.bluemerlin-security.de/
Produkt_eTrust_Intrusion_Detection_010402.php3
• [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm
• [www5] http://www.pandacom.de/security/intrusiondetection.html
IDS – Literatur
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
39
Literatur (IV)Literatur (IV)• [www6] http://www.netsys.com/library/papers/
intrusion_detection_systems_0201_draft.pdf • [www7] http://www.uni-essen.de/hrz/beratung/
hrzblatt/hrz159/ids.html • [www8] http://www.suse.de/de/ private/support/howto/ids/ids1.html • [www9] http://www.sicherheit-im-internet.de/themes/
themes.phtml?ttid=1&tdid=572
• [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm
IDS – Literatur