Intrusion Detection
Sven DiesendorfINF02
Übersicht 1 Einführung
Intrusion Intrusion Detection Firewall und Intrusion Detection System
2 Technik Aufbau und Funktionsweise von IDS Host Intrusion Detection System Networt Intrusion Detection System Honeypot
Übersicht 3 Praxis
Einfaches Host Intrusion Detection System Einfaches Network Intrusion Detection
System 4 Zusammenfassung
1 Einführung
Intrusion Was ist Intrusion, wie kann man diese
definieren „Eine Intrusion ist ein unerlaubter Zugriff
auf oder Aktivität in einem Informationssystem“
Handlungen von Personen Unterscheidung in Angriff, Missbrauch,
Anomalie
1 Einführung es beginnt alles mit einem Portscan Wer führt den Portscan durch? Wieso wird der Portscan durchgeführt? sind diese Informationen bekannt, kann
man unterscheiden zwischen Angriff und Missbrauch
1 Einführung
Intrusion Detection Drei Kategorien von Intrusion
Detection: Angriffs/Einbruchserkennung Missbraucherkennung Anomalieerkennung
1 Einführung Angriffs-/Einbruchserkennung
Angriffe von Außen erkennen Missbrauchserkennung
Angriffe durch Insider erkennen Anomalieerkennung
Erkennung von ungewöhnlichen Systemzuständen
1 Einführung
Firewall und Intrusion Detection System
Firewall trennendes Glied zwischen 2 Netzen erlaubt nur bestimmte Informationen
auszutauschen ist im OSI-Modell zwischen Schicht 2 und
7 implementiert
1 Einführung
1 Einführung kann Kommunikation einschränken kann den Verkehr analysieren und
einschränken kann Angreifer von innen nicht erkennen Abhilfe durch Intrusion Detection System
1 Einführung Intrusion Detection System
2 Arten: Host Intrusion Detection System Network Intrusion Detection System
Ziele: bei einem Angriff muss die Unterstützung bei der
Reaktion vorhanden sein Fehlertoleranz Geringer Administrationsaufwand und
selbstständige Lauffähigkeit Leichte Installation in das vorhandene System
1 Einführung Funktionalitäten:
Analyse der Rohdaten muss dasselbe Ergebnis bringen
mögliche Angriffe und Einbrüche erkennen Rückschluss auf die Rohdaten erlauben Die Alarmierungsschwelle muss
konfigurierbar sein Die Speicherung der Daten und des
Berichts muss in einem anerkannten Format erfolgen
Ein IDS sollte eine automatische Reaktion auf einen Angriff unterstützen
2 Technik
Aufbau und Funktionsweise Besteht aus drei Hauptkomponenten:
Network Engine Agent Management
2 Technik
Network Engine analysiert Datenpakete in Echtzeit sendet Alarmmeldungen trifft Gegenmaßnahmen besteht aus Netzwerkadapter, Packet
Capture, Filter, Angriffsdetektor und Response Modul
2 TechnikResponse Modul
Angriffsdetektor
FilterBenutzer
Packet CaptureKernel-Software
NetzwerkadapterHardware
Netzwerk
2 Technik Netzwerkadapter
der gesamte Verkehr wird aufgenommen und an die Network Engine weiter geleitet
Packet Capture Pakete werden für den Transport an die
Network Engine organisiert Filter
es können Protokolle gefiltert werden
2 Technik Angriffsdetektor
Untersucht den Datenstrom nach bekannten Angriffsmustern
Response Modul Leitet Gegenmaßnahmen ein und
alarmiert zuständige Person
2 Technik Agent
überwacht Systemaktivitäten zusätzliche Überwachung von CPU-Last,
log-Dateien, etc. überwacht Benutzer-logons und -logoffs überwacht die Aktivitäten des
Administrators überwacht wichtige Dateien gegen
Manipulation
2 Technik
Managementsystem administriert und konfiguriert die
Network Engine und den Agenten Kommunikation erfolgt verschlüsselt fängt alle Events von der Network
Engine oder von dem Agent erstellt Statistiken für weitere
Analysen
2 Technik
Host Intrusion Detection System HIDS
analysiert Daten auf dem lokalen Rechner
Daten können Protokolle oder sonstige von Anwendungen erzeugte Daten sein
prüfen die Integrität des Systems System Integrity Verify oder File
Integrity Assessment
2 Technik erkennen Angriffe durch Insider können auch Angriffe von außen
erkennen Nachteile:
Überwachung bei einer großen Anzahl von Rechnern
muss auf jedem Rechner installiert sein
dadurch Verwaltung und Administration schwierig
2 Technik Erkennbare Angriffe
Der bereitgestellte Zugang für externe Personen wurde nicht deaktiviert
Alte Konten sind nicht gelöscht Versuch eine Hintertür einzubauen Modifikation kritischer Daten Verwendung von
Administrationsrechten von unbekannten Personen
Installation von Trojanern
2 Technik Technologien
kommerzielle Systeme setzen auf mehrere Technologien, Open-Source Lösungen meist auf eine
viele Technologien, z.B.: Protokollanalyse – Protokolle von
Anwendungen werden ausgewertet Integritätstest – Systemdateien und andere
Dateien werden mithilfe von Snapshots geprüft
Echtzeitanalyse – Überwachung von Zugriffen auf Systemdateien und andere Dateien
2 Technik
Network Intrusion Detection System NIDS
bezieht seine Daten aus dem Netzwerk einige Systeme untersuchen nur Protokolle Bestens dafür geeignet Angriffe zu
erkennen Kann auch Angreifer von innen erkennen Installation und Administration mit deutlich
weniger Aufwand verbunden als bei HIDS oft reicht nur ein NIDS-Sensor pro Netzwerk
2 Technik Erkennbare Angriffe
Denial of Service mit Bufferoverflow Ungültige Pakete Angriffe auf der Applikationsschicht Zugriff auf vertrauliche Daten Angriffe gegen die Firewall oder IDS Distributed Denial of Service Spoofing Angriffe Portscans
2 Technik Technologien
Verfügt wie HIDS über mehrere Technologien, wie:
Signaturerkennung – über eine Datenbank werden Pakete verglichen
Protokolldekodierung – der Datenstrom wird normalisiert, gut gegen Angriffe mit Unicode oder ASCII
statistische Anomalie-Analyse – durch die Häufigkeit der „Fehler“ als Angriff gewertet
heuristische Analyse – mithilfe von Algorithmen wie z.B.: Bayer-Moore
2 Technik
Honeypot Honeypot
kann aus einem Rechner oder einem Rechnernetzwerk bestehen
stellt keine Verteidigung dar sondern als Ablenkung gedacht liefert nützliche Ergebnisse bei der
Analyse von Angriffen und Einbrüchen
2 Technik Tiny Honeypot
„entschärfte“ Variante des Honeypots auf bestimmten Ports werden nur Dienste
simuliert meist kleine Perl-Programme Bsp.:
wird eine Verbindung mit Port 1433 hergestellt, dann wird diese Verbindung mithilfe der Netfilter-Architektur an den Port 65334 weiter geleitet
2 Technik Honeypot-Varianten
Forschungssystem dienen zum Erkenntnis über das Verhalten der
Angreifer sollen neue Angriffe herausfinden
Produktionssystem dienen der Sicherheit dienen zur Erkennung und Verfolgung der
Angriffe und Einbrüche
2 Technik Vorteile und Nachteile Vorteile
Datensammlung – Daten sind interessant, da es potentielle Angriffe sein können
Ressourcen – Honeypots entlasten den Netwerkverkehr, da viele Angriffe dann auf dem Honeypot stattfinden
2 Technik Nachteile
Singularität – eine Maschine kann man schlecht im Internet finden
erhöhtes Risiko – wurde auf dem Honeypot eingebrochen, können weitere Angriffe gegen das Netzwerk stattfinden
2 Technik Honeypot und das Gesetz
in Deutschland problematisch da Beihilfe zu einer Straftat unter
Strafe steht es werden folgende Gesetze wirksam,
wenn ein Honeypot in Betrieb gesetzt wird:
StGB §26 Anstiftung StGB §27 Beihilfe
3 Praxis Einfaches HIDS
die Implementierung eines einfachen HIDS
soll das Verzeichnis /etc unter Linux überwacht werden
wird mit den Werkzeugen find und less von Linux realisiert
ist erweiterbar auf andere Verzeichnisse, z.B.: Eigene Dateien bzw. Persönlicher Ordner
3 Praxis Vorgehensweise :
der Ist-Zustand des Sytems wird mit Hilfe von find in einem Snapshot gespeichert
3 Praxis In der Datei baseline.2005-11-24 ist
nun jeder Dateieintrag (find –type f) des Verzeichnisses /etc mit seiner Inodenummer(-i), den Rechten, dem Besitzer, der Größe und dem Änderungsdatum(-l) abgespeichert
dabei ruft der Befehl find für jede gefundene Datei den Befehl ls –ail auf und übergibt ihm den Namen der gefundenen Datei {}
3 Praxis Nun kann man mit less den Inhalt von
baseline.2005-11-24 betrachten:
3 Praxis
3 Praxis Jetzt wird zu den Testzwecken ein neuer
Benutzer im System angelegt das Anlegen eines neuen Benutzer
modifiziert die Systemdaten und man kann somit eine Veränderung des Systems feststellen
geht man davon aus, dass das Anlegen eines neuen Benutzers nicht vorgesehen war, kann man das als ein Angriff bewerten
3 Praxis Um zu wissen was nun verändert wurde, kann man in regelmäßigen Abständen mithilfe von diff das System vergleichen und die Änderungen in eine Textdatei abspeichern
3 Praxis nach der Prüfung der Systemintegrität,
kann man im Verzeichnis /root eine Datei Namens and.txt finden
3 Praxis nachdem betrachten der Datei and.txt mit less
kann man alle Änderungen seit dem erstellen des Snapshots finden
3 Praxis Dieses System leicht austricksbar
der Angreifer erzeugt eine Datei, in der die baseline Datei neu abgespeichert wird, wird das vor dem Integritätstest nicht geprüft, findet der Vergleich mit der modifizierten Datei statt
zweite Gefahr stellt die Tatsache, dass man Mithilfe von bestimmten Programmen den Inhalt und die Größe der Datei so verändert, dass es nie eine Modifikation an der Datei stattgefunden hätte
3 Praxis
eine Prüfsumme mittels –exec md5sum zusätzlich erzeugen werden nun enthält die Baseline-Datei für jede Datei zusätzlich einen MD5 Hash
3 Praxis nun wird wieder ein neuer Benutzer angelegt und
der Integritätstest durchgeführt danach kann man in der Datei and2.txt auch die
Prüfsumme der Dateien sehen, diese kann man sowohl in der baseline als auch in der Protokoll-Datei(and2.txt) sehen
3 Praxis Fazit
sehr einfach keine besonderen Funktionen reicht es aus, um z.B. festzustellen ob
jemand an dem Rechner in der Abwesenheit war und ob diese Person irgendwelche Systemdateien oder normale Dateien verändert hat.
weiter entwickeltes HIDS ist z.B. LIDS – Linux Intrusion Detection System
3 Praxis
Einfaches NIDS Tcpdump
tcpdump ist in allen Distributionen von Linux vorhanden
in diesem Beispiel soll tcpdump die Verbindung über ein Modem überwachen
es soll zusätzlich eine log-Datei im libpcap-Format angelegt werden
3 Praxis unter der Benutzung des BPF-Filters
werden nur bestimmte Pakete gesammelt
tcpdump arbeitet automatisch im promiscuous-Mode und bekommt somit alle Pakete vom Netzwerk, auch wenn sie nicht für den Rechner bestimmt waren.
3 Praxis Vorgehensweise : Tcpdump ohne log-Datei
Man ruft tcpdump mit dem Befehl tcpdump –i ppp0
tcpdump soll mithilfe von –i ppp0 das Modem verwenden.
3 Praxis nach dem Aufruf beginnt tcpdump sofort mit der Analyse der
Pakete man dann sehen, was vom Rechner zu einem Webserver und
zurück geschickt wird
3 Praxis 19:15:05.633235 IP dialin-212-144-
065-212.pools.arcor-ip.net.32976 > dd6908.kasserver.com.http: P414:758 (344) ack 969 win 8129 <nop, nop, timestamp 2912842 298842810>
es wird nun kurz das Ausgabeformat erläutert:
der Zeitstempel erlaubt es die Pakete zeitlich zuzuordnen
19:15:05.633235
3 Praxis dann werden die Kommunikationspartner
angezeigt inklusive ihrer Ports: IP dialin-212-144-065-
212.pools.arcor-ip.net.32976 > dd6908.kasserver.com.http
in diesem Falle Port des Clients: 32976 und des Webservers http (80)
hier handelt es sich um eine ACK Nummer ack 969
3 Praxis damit der Webserver weiß, wie viele
Informationen vom Client verarbeitet werden können, übermittelt der Client die Window-Größe
win 8129 beim Aufbau der Verbindung werden noch
weitere Informationen vom Client übermittelt, diese werden dann als TCP-Optionen übermittelt
<nop, nop, timestamp 2912842 298842810>
3 Praxis wenn man tcpdump beendet, wird eine
Statistik aufgerufen es wird angezeigt, wie viele Pakete es
insgesamt waren wie viele durch den Filter durchgelassen
wurden und wie viele durch das Kernel abgewiesen
wurden
3 Praxis Tcpdump mit einer log-Datei
mit dem Befehl –s 100 wird die Anzahl der protokollierenden Bytes eines Pakets festgelegt, mit –w tcpdump.log werden die Pakete in der abgespeichert
die Datei wird im libpcap-Format erzeugt und kann somit zusätzlich von snort oder ethereal gelesen werden.
3 Praxis die Datei wird mittels tcpdump –X –r tcpdump.log
gelesen und die Pakete werden im Hexadezimalen als auch im ASCII Format angezeigt.
3 Praxis Einrichtung eines Filters BPF-Filter
definieren, welche Pakete gesammelt werden.
der Filterausdruck kann aus mehreren Teilen bestehen
jeder dieser Teilausdrücke enthält mindestens eine oder drei folgenden Eigenschaften vorangestellt wird.
Typ – host, net oder port Richtung – dst, src Protokoll – z.B.: tcp, udp
den Filter startet man mit Protokoll, Ziel, Ziel-Port
3 Praxis In diesem Beispiel wäre das Protokoll tcp
Ziel http://diesy.diesendorf.net und der Port 80 (http) und 443 (https)
Dieser Filter wird alle zutreffenden Pakete in der Datei server.log abspeichern.
Und hier kann man erkennen, dass nur die Anfragen und Antworten vom Client und Webserver abgespeichert wurden.
3 Praxis
3 Praxis Fazit
tcpdump ist ein mächtiges Werkzeug wenn man es richtig einstellt und die vielen
Einstellungsmöglichkeiten auch richtig ausnutzt
die log-Dateien kann man zum besseren Verständnis am besten mit snort lesen
tcpdump eignet sich sowohl für analoge als auch Netzwerkverbindungen und ist somit für jeden nutzbar
4 Zusammenfassung ein hochwirksames Mittel für die Erkennung,
Analyse und Verhinderung von Einbrüchen in Rechnersystemen und Netzinfrastrukturen.
der Einsatz lohnt sich auf jeden Fall, denn mit einem IDS und einer Firewall kann man zwar nicht die 100% Sicherheit schaffen, man kann jedoch den höchsten Sicherheitsgrad schaffen
beide Systeme ergänzen sich gut. wo es wirklich überlegt werden muss, ob man
lieber ein Open Source IDS verwendet oder doch lieber Geld für ein kommerzielles System ausgibt
ENDE
Das Skript „Intrusion Detection“ ist unter
http://diesy.diesendorf.net zu finden.
Top Related