Intrusion Detection Systems

Veranstaltung

➢ Rechnernetze II

Übersicht

➢ Was ist eine Intrusion?

➢ Und was die Intrusion Detection?

➢ Arten von IDS

➢ Rechtliche Fragen

➢ Angriffspunkte von IDS

➢ IDS sinnvoll einsetzen

Was ist eine Intrusion?

➢ Intrusion = Eindringen, Einmischung

➢ In der Literatur häufig als Einbruch bezeichnet

➢ Interpretation was eine Intrusion ist, ist nicht immer eindeutig

Was ist eine Intrusion?

➢ Portscan (heutzutage sehr häufig)

➢ Modifikation von Firewallregeln

➢ Modifikation eine Routingtabelle

➢ Austausch von Systemkomponenten/Programmen

➢ Einbruch in einen Webserver und Installation eines Passwortsniffers

Intrusion Detection

➢ Angriffs­/Einbruchserkennung

➢ Nicht authorisierter Zugriff von außen

➢ Missbrauchserkennung

➢ Missbrauch von innen

➢ Anomaly Erkennung

➢ Erkennung ungewöhnlicher Zustände im System

Aufbau eines IDS

Datenmonitor

➢ Sammeln und (vor­)filtern von Daten

➢ Quellen

➸ Netzwerkdurchsatz

➸ Logdateien von Sicherheitssoftware

➸ Betriebsmittelvergabe des Betriebssystems

➸ Vom BS überwachte Komponenten (Dateisysteme, Netzwerkdienste, Logdateien)

Analyzer

➢ Datenanalyse in Echtzeit gefordert

➢ Verfahren:

➸ Passive Analyse (z.B. Logdateien)

➸ Signaturanalyse

➸ Anomaliedetektion

Signaturanalyse

➢ Funktionsweise analog zum Virenscanner

➢ Auditdaten werden nach bekannten Mustern durchsucht

➢ Sehr schneller Erfolg

➢ Muss ständig auf dem neusten Stand gehalten werden

➢ Beschreibt Art des Angriffs und evtl. Gegenmaßnahmen

Anomalie Detektion

➢ IDS wird auf den 'Normalfall' trainiert

➢ Abweichungen werden nach dem

➸ statistischen Ansatz

➸ Logischen Ansatz

bewertet

➢ Liefert als Ergebnis eine Verdachtsbewertung

Anomalie Detektion

Statistischer Ansatz

➢ Parametermenge wird überwacht:

➸ Seitenzugriffsrate

➸ Prozessorlast

➸ Pakettypen

Anomalie Detektion

Logischer Ansatz

➢ Erweiterung des statistischen Ansatzes

➢ Zeitliche Abfolge von Ereignissen wird berücksichtigt

Ergebnisdarstellung

➢ Reaktionsmöglichkeiten in Abhängigkeit des Gefahrenpotentials

➸ Mail mit Art des Angriffs an Administrator

➸ Lokaler Alarm, z.B. Popup Fenster auf der Sicherheitskonsole

➸ Alarmmeldung über Pager oder Handy

Ergebnisdarstellung

➢ Es muß sichergestellt werden, daß 

➸ die Daten nicht nach einem Angriff verschleiert oder verfälscht werden können

➸ Eine Benachrichtigung auch im Falle eines DoS Angriffes stattfindet

Response

➢ Sobald ein Alarm mit entspechendere Priorität ausgelöst wurde, muß entweder

➸ der Administrator aktiv werden und Maßnahmen ergreifen

➸ Ein IRS leitet automatisierte Maßnahmen ein 

Response

Passive Maßnahmen

➢ Rekonfiguration der Firewall/Router

➢ Abschalten von Diensten

➢ Abschalten des Routers (nur in sehr schwerwiegenden Fällen!)

Response

Aktive Maßnahmen

➢ Ermitteln der Angreifer IP

➢ Weitere Maßnahmen (Trojaner zurückschicken, ebenfalls DoS starten) fallen in den Bereich der Selbstjustiz!

Arten von IDS

➢ Hostbasierte IDS (HIDS)

➢ Überwacht Ereignisse eines Gerätes

➢ Netzbasierte IDS (NIDS)

➢ Überwacht vorbeifließenden Netzwerkverkehr

Lokale Analyse – HIDS

➢ Betriebssystemdaten, z.B. Logdateien

➢ Anwendungsdaten

➢ Daten des Protokollstapels (z.B. TCP/IP)

Erkennbare Angriffe

➢ Modifikation der Webseite (Defacement)

➢ Installation von Trojanern und Rootkits

➢ Ausführung von priviligierten Befehlen

➢ Aufruf sicherheitsbedenklicher Befehle

➢ Zusätzlich angelegte Rootuser (einfache Hintertür)

HIDS Technologien

➢ Protokollanalyse

➢ Protokolle werden auf bekannte Ereignisse geprüft, bei Übereinstimmung wird alamiert (Positivliste)

➢ Um unbekannte Meldungen nicht zu übersehen gibt es das Gegenstück, die Negativliste

➢ Gute Analysatoren sind zudem in der Lage Meldungen zusammenzufassen

HIDS Technologien

➢ Integritätstest

➢ Zustand des Systems wird gespeichert

➢ Um Speicherplatz zu sparen werden meist nur Dateieigenschaften + Prüfsumme gespeichert

➢ „Schnappschuss“ des Systems wird regelmäßig geprüft

➢ IDS mit dieser Eigenschaft werden auch alsSystem Integrity Verifier (SIV) oder File Integrity Assessment (FIA) bezeichnet

HIDS Technologien

➢ Echtzeitanalyse von Systemaufrufen und Dateizugriffen

➢ Das IDS wartet nicht bis etwas passiert ist, sondern überwacht jeden (relevanten) Schritt des Systems

➢ Zeitlich sehr aufwendig

➢ Kann zur Prävention eingesetzt werden

Vor­/und Nachteile

➢ Gute Überwachung des Hosts

➢ Erkennung verschlüsselter Angriffe

➢ Unanfällig gegenüber gefälschten Paketen

➢ Aufwendige Administration

➢ Hohes Datenaufkommen

NIDS

➢ Überwachung des Netzwerkverkehrs

➢ Besonders für Angriffserkennung von außen geeignet

➢ Funktionsweise ähnlich wie ein „Sniffer“

Erkennbare Angriffe

➢ DoS mit Bufferoverflow, z.B. NOP Sled

➢ Ungültige Pakete (Tear Drop, Ping of Death)

➢ Angriffe auf Applikationsebene

➢ „Inkorrekte“ Datenströme können Applikationen zu unerwartetem Verhalten veranlassen

➢ Zugriff auf vertrauliche Daten, z.B. Passwortdatenbank

Erkennbare Angriffe

➢ Informationsdiebstahl, sofern Übertragung unverschlüsselt stattfindet

➢ Angriffe auf Firewall oder IDS

➢ Spoofing Angriffe

➢ Portscans

➢ Verdachtsbestätigung bei DDoS Angriffen

NIDS Technologien

➢ Signatur­Erkennung

➢ Zustandsorientierte Signatur­Erkennung

➢ Damit das IDS nicht mit sinnlosen Paketen blockiert werden kann, werden nur im Zusammenhang sinnvolle Pakete bearbeitet

➢ Protokolldekodierung

➢ Inhaltsanalyse auf oberster Schicht

NIDS Technologien

➢ Statistische Anomalie­Analyse

➢ Neue Angriffsformen und versteckte Scans können hiermit ggf. entdeckt werden

➢ Heuristische Analyse

➢ Optimiert den Signaturvergleich, es wird nicht jedes Pakete untersucht, um Rechenzeit zu sparen

➢ Reaktion

➢ Alarmierung, Konfiguration, Rückverfolgung

Vor­/und Nachteile

➢ Wenige Knoten reichen zur Überwachung aus

➢ Geringerer administrativer Aufwand

➢ Verschlüsselte Angriffe werden nicht erkannt

➢ Anfällig gegenüber gefälschten Paketen

➢ Bei hoher Netzlast werden Pakete ausgelassen

Anforderungen an ein IDS

➢ Verfügbarkeit der Dienst

➢ Integrität und Verfügbarkeit der Daten

➢ Unterstützung bei einem Angriff

➢ Fehlertoleranz

➢ Kontinuierlicher Lauf

➢ Geringer Overhead

➢ Leichte Integration

➢ Schwer zu umgehen

Rechtliche Fragen

➢ Datenschutz 

➢ Verwendbarkeit der Daten

➢ Gegenmaßnahmen

Datenschutz und IDS

➢ Recht auf informationelle Selbstbestimmung (Art 1 Abs. 1 GG)

➢ Zweckbindung der Daten (BDSG §3, §14(4) und §31)

➢ Innerbetriebliche Mitbestimmung (BtrVG §87 (1))

➢ Gesetz über die Nutzung der Teledienste (TDG)

➢ Teledienstdatenschutzgesetz (TDDSG §4­6)

Datenschutz

➢ Personenbezogene Daten dürfen nach dem BDSG nicht verwendet werden

➢ Anonymisierte Daten dürfen nur verwendet werden wenn keine Rückschlüsse (oder unverhältnismäßig aufwendig) auf Personen möglich sind

➢ Ausnahmen

➢ Schriftliche Einwilligung der betroffenen Person

➢ Vereinbarung durch Arbeitsvertrag

➢ Gesetzliche Vorschrift

Datenschutz

➢ Private Emails fallen unter das Fernmeldegeheimnis

➢ Dienstliche Emails dürfen in Abwesendheit vom Vorgesetzten gelesen werden, Ein­ Ausgang und Ziel können festgehalten werden

➢ Bei Verdacht einer Straftat entfällt der Schutz

➢ Nach §31 BDSG dürfen Daten nicht zur Leistungskontrolle verwendet werden

Angriffspunkte von IDS

➢ Verschlüsselte Verbindungen

➢ Selbstmodifizierender Code

➢ Fragmentierung

➢ Insertion

➢ Evasion

Fragmentierung

➢ Fragmentüberlappung

1. Fragment .../cgi­bin/harmlos

2. Fragment                 phf?Qalias=x%0...

wird je nach BS zu

.../cgi­bin/harmlosias=x%0... oder

.../cgi­bin/phf?Qalias=x%0...

Insertion

➢ Angriffsbeispiel: GET /cgi­bin/phf?

➢ Fehlerhafte Pakete werden dem Datenstrom hinzugefügt:

➸ leasedontdetectt

➸ is

➸ orme

➢ IDS sieht GET /cgi­bin/pleasedontdetectthisforme => Signaturanalyse schlägt fehl

Evasion

➢ Übermäßig korrekte Implementierung vermeidet Insertion führt aber zu Evasion

➢ Pakete die vom IDS als ungültig erkannt werden, werden vom Host akzeptiert

➢ Führt u.U. zum Verlust des Zusammenhangs

Evasion

 

Verfügbare IDSkommerziell   

➢ NetRanger/Cisco Secure IDS (NIDS)

➢ 45­500 Mbit/s (je nach Preisklasse)

➢ Signatur­Analyse auf IP Ebene

➢ Als Reaktion TCP Reset möglich

➢ Grafischer Client für Win und Solaris

Verfügbare IDSkommerziell   

➢ RealSecure (NIDS + HIDS Modul)

➢ Sensoren für Win, Solaris, Linux

➢ Client nur Win

➢ Signaturanalyse inkl. Zustand und Protokoll

➢ Konfiguration der Checkpoint FW möglich

Verfügbare IDSkommerziell   

➢ Network Flight Recorder (N/HIDS)

➢ Durchsatz 100­1000MBit/s

➢ Signaturanalyse inkl. Zustand und Protokoll

➢ TCP Reset und Konfiguration einer FW möglich

➢ Nur Win

Verfügbare IDSkommerziell   

➢ Dragon (N/HIDS)

➢ Signaturanalyse inkl. Zustand und Protokoll

➢ Benutzerdefinierte Befehle als Reaktion

➢ Sensoren für alle BS, grafischer Client UNIX/Linux

Verfügbare IDSkommerziell   

➢ Entercept (HIDS)

➢ Überwachung der Prozessaufrufe, Protokolldaten, Zugriffe/Modifikation der Registry (Nur Win)

➢ Reaktion ­ Als Angriff erkannte Befehle werden nicht ausgeführt

➢ Grafischer Client für Win

➢ Agenten für Solaris und Win

Verfügbare IDSfrei verfügbar   

➢ Snort (NIDS)

➢ Unterstützt alle gängigen BS

➢ Signaturanalyse inkl. Zustand und Protokoll

➢ Reaktion TCP Reset, ICMP Unreachable, Konfiguration von Checkpoint FW, Cisco Router

➢ Grafische Clients für gängige BS

Verfügbare IDSfrei verfügbar   

➢ Linux IDS (HIDS)

➢ Kernelbasiertes IDS

➢ Überwacht Benutzerverhalten, Portscans, Protokolldateien, Prozesse und Module

➢ Reaktion, Abmeldung des Benutzers, Zugriffsverweigerung

➢ Bedienung ausschließlich über CLI

Verfügbare IDSfrei verfügbar   

➢ Tripwire (HIDS)

➢ Überwachung von Dateien und deren Inhalt

➢ Als einzige Reaktion steht die Alarmierung per Email zur Verfügung

➢ Grafische Clients nur kommerziell Verfügbar, sonst CLI

IDS/IRS sinnvoll einsetzen

➢ Prävention

➢ Begünstigung eines Einbruch

➢ Erkennung

➢ Reaktion

➢ Analyse

➢ Recovery

➢ Konsequenzen

Prävention

➢ Update der Betriebssysteme

➢ Deaktivierung unnötiger Dienste

➢ Installation von Virenscannern

➢ Audit und Reorganisation des Netzwerkes

➢ Räumliche Trennung/physikalische Sicherheit

Prävention

➢ Deaktivierung nicht verwendeter Netzzugänge

➢ Installation einer Firewall

➢ Installation eines IDS

➢ Verschlüsselte Anmeldung

➢ Erstellung eines Notfallplans

Begünstigung eines Einbruchs

➢ Schlampige Systemwartung

➢ Fehler in der Konfiguration von Firewall/Router

➢ Vergessene Testsysteme/­zugänge

➢ Neue unbekannte Sicherheitslücken in scheinbar sicheren Systemen

Erkennung

➢ Automatische Erkennung durch IDS

➢ Problem, nicht alle Bereiche werden überwacht (z.B. Arbeitsplatzrechner)

➢ Erfahrung des verantwortlichen Personals

➢ Kritisch, Social Engineering

Reaktion

➢ Einbruch stoppen (Verbindung trennen, Dienste deaktivieren, Konten sperren)

➢ Analyse und Dokumentation der Umstände

➢ Spiegelung des Systems für spätere Analyse

➢ Einschätzung des Vorfalls

➢ Berichterstattung

Analyse

➢ Welche Methoden hat der Angreifer verwendet?

➢ Welche Komponente wurde angegriffen?

➢ Welche Tätigkeiten hat der Angreifer anschließend durchgeführt?

➢ Welches Ziel wurde möglicherweise Verfolgt?

➢ Wurde wichtige Daten modifiziert oder gelöscht?

➢ Wie kann dieser Angriff zukünftig verhindert werden?

Recovery

➢ Vorherige Analyse sollte Kenntnis über den Vorfall geben

➢ Vollständige Analyse kann nicht garantiert werden

➢ System muss von Originaldatenträgern oder garantiert unverfälschten Backups neu eingespielt werden

➢ Sicherheitslücke(n) werden wieder mit eingespielt

➢ Rekonfiguration des Systems ist erforderlich

Konsequenzen

➢ Wünschenswert aber häufig vernachlässigt

➢ Untersuchung der Netzwerkstruktur

➢ Begutachtung des Personals (speziell Kompetenz)

➢ Ggf. neu Sicherheitsstrukturen

➢ Evaluation des alten/neuen Systems

Honeypot

➢ System, welches Angreifer anlocken soll aber sonst keine wichtigen Aufgaben erfüllt

➢ Vorteile

➢ Datensammlung kann auf das eigentliche Ziel konzentriert werden, d.h. es fallen weniger Datenmengen an

➢ Durch die Konzentration werden Ressourcen geschont, d.h. im Vergleich zu realen System ist der Verlust von Datenpaketen deutlich geringer

Honeypot

➢ Nachteile

➢ Singularität – Der Rechner muss gefunden werden, „Werbung“ ist nicht möglich

➢ Auch ein Honeypot ist nicht gegen jeden Angriff gefeit und kann missbraucht werden

Rechtliche Probleme

➢ § 26 und 27 StGB stellen vorsätzliche Beihilfe zu einer Straftat unter Strafe

➸ Absichtliches Installieren eines fehlerhaften System könnte diesen Punkt erfüllen

➸ Simulierte Systeme (z.B. Honeyd) fallen höchstwahrscheinlich nicht darunter, da sie keine weiteren Funktionen nachahmen können

Zusammenfassung

➢ IDS stellen selber Angriffspunkt dar

➢ Moderne Angriffsmethoden und Verschlüsselung erschweren den Einsatz von IDS

➢ IDS bieten zusätzliche Sicherheit

➸ Netzinterne Angriffe können festgestellt werden