1 / 39

IDS

IDS. Intrusion Detection System. IDS - Vortragende. Vortragende. Markus Kobe 7. Semester Informatik Carsten Crantz 7. Semester Informatik. Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots)

darius
Download Presentation

IDS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IDS Intrusion Detection System

  2. IDS - Vortragende Vortragende • Markus Kobe • 7. Semester Informatik • Carsten Crantz • 7. Semester Informatik Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  3. Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) Common IDS Framework Freeware IDS IDS - Inhalt Inhalt Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  4.  Signatur-Vergleichs-Automat (SCS) Die Tätigkeit eines IDS ist der VERGLEICH von auftretenden Ereignissen mit einem vorher bestimmten Muster IDS – Was ist ein IDS ? Was ist ein IDS ? Intrusion Detection System ~ Eindringling-Erkennungs-Automat Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  5. IDS – Warum IDS einsetzen ? Warum IDS einsetzen ? • Firewalls haben Grenzen • Arbeiten präventiv • Schutz nach Regeln • Unvorsichtige User • Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  6. IDS – IDS-Architekturen IDS-Architekturen • Hauptarten: • Host IDS (HIDS) • Network IDS (NIDS) • Hybride Arten • Per-Host Network IDS (PHIDS) • Load Balanced Network IDS (LBNIDS) • Firewall IDS (FWIDS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  7. IDS – IDS-Architekturen - HIDS Host IDS • Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner • Analysieren Systemkritische Bereiche • Protokollieren System- und Benutzeraktivitäten • Kann nur auswerten was schon gespeichert ist • Wirkt im nachhinein • „aus Fehlern lernen“ • Erkennung der Einbruchsstrategie • Fehlerbehebung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  8. IDS – IDS-Architekturen - NIDS Network IDS • Lesen alle im Netz übertragenen Pakete • Kontinuierlich , Echtzeit • Registrieren Angriffsversuche bereits im Vorfeld • Platzierung der IDS-“Sensoren“ abhängig von Interessenlage • S-NIDS  AA-IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  9. IDS – IDS-Architekturen - NIDS Network IDS (II) VOR der FW • Überblick • Alle Aktivitäten • Stark ausgelastet Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  10. IDS – IDS-Architekturen - NIDS Network IDS (III) HINTER der FW • Kontrollinstanz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  11. IDS – IDS-Architekturen - NIDS Network IDS (IV) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  12. IDS – IDS-Architekturen - Hybride IDS Hybride IDS • N+HIDS • Per-Host NIDS • Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS • Load Balanced NIDS • Wie PH-IDS aber mit zentralem Lastverteiler • Firewall-IDS • „Firewall AddOn“ Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  13. IDS – Analysetechniken Analysetechniken • Misuse Detection • Missbrauchserkennung • Signaturerkennung • Anomaly Detection • Anomalieerkennung • Statische Erkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  14. IDS – Analysetechniken – Misuse Detection Misuse Detection • Identifikation bekannter Angriffe • Bekannte Signaturen • Fester Regelsatz • Referenzdatenbank • Analogie Virenscanner • Zustandsautomat zur Mustererkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  15. IDS – Analysetechniken – Anomaly Detection Anomaly Detection • Voraussage der Folgen eines Angriffs • Erlernter Regelsatz • Normalzustand definieren • Systemintegrität muss gesichert sein • Quantitative Analyse • Statische Messungen • Neuronale Netze • Aktion  erwartete Folgeaktion / Anomalie = Alarm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  16. IDS – Anforderungen an IDS Anforderungen an IDS (I) • Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein • Nur eine speziell gesicherte IDS-Umgebung, die • Angriffe gegen sich selbst erschwert • einen Ausfall der eigenen Funktionalität meldet • ermöglicht einen effektiven Einsatz • Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  17. IDS – Anforderungen an IDS Anforderungen an IDS (II) • Abstimmung auf menschliche Eingriffe, d.h.: • Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen • Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  18. IDS – Schwächen von IDS Schwächen von IDS (I) • Allgemein: • Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  19. IDS – Schwächen von IDS Schwächen von IDS (II) • NIDS • Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann • Performanceaspekte stellen häufig eine Schwachstelle dar • Netzverkehr (Pakete / Sekunde) • TCP-Verbindungen • Langzeitverhalten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  20. IDS – Schwächen von IDS Schwächen von IDS (III) • NIDS • Häufig Probleme mit bestimmten Angriffsmethoden • Fragmentation • Avoiding defaults • (Coordinated) slow scans • HIDS • Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  21. IDS – Schwächen von IDS Schwächen von IDS (IV) • Signaturerkennung: • Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten • hohe Abhängigkeit von der Aktualität der Signatur-DB • Statistische Verfahren: • Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen • Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  22. IDS – Weiterführende Ansätze Weiterführende Ansätze • Honey Pots • Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird. • Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: • Angriffe können zweifelsfrei erkannt werden • Die für Reaktion des Administrators zur Verfügung stehende Zeit wird erhöht • Es ist möglich, Erfahrungen zu Vorgehensweisen zu sammeln Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  23. IDS – Common IDS Framework Common IDS Framework (I) • Ziel: • allgemeingültige Architektur für IDS zu definieren • Zusammenarbeit verschiedener Hersteller • Schwerpunkt • Spezifikation einer Sprache • Einheitliches Übertragungsprotokoll Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  24. IDS – Common IDS Framework Common IDS Framework (II) • Rohdaten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  25. IDS – Common IDS Framework Common IDS Framework (III) • Event-Generator • Einheitliches Format • Monitormodule Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  26. IDS – Common IDS Framework Common IDS Framework (IV) • Analyser • Auswerung • Kontext Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  27. IDS – Common IDS Framework Common IDS Framework (V) • Database • Kontext • Nicht Referenz- datenbank bekannter Einbrüche Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  28. IDS – Common IDS Framework Common IDS Framework (V) • Aktionskomponente • Alarm • FW Modifikation Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  29. IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (I) • Hostbasiertes IDS • Grundsätzliche Funktionsweise • Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum) • Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen • regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  30. IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (II) • Policy-File • Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software • Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können • Es können Variablen für bestimmte Prüfkombinationen definiert werden • Eine Gewichtung von Regelverletzungen ist möglich • Es können E-Mail Adressen für die Benachrichtigung bei Regelverstößen angegeben werden Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  31. IDS - Freeware IDS - Snort Freeware IDS - Snort (I) • Netzwerkbasiertes IDS (Unix/Linux , Windows) • Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete: • Protokoll • Ziel- / Absendeadresse • Source- / Destinationport • TCP-Flags • Größe • Knapp 1000 fertige Regeln sind verfügbar Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  32. IDS - Freeware IDS - Snort Freeware IDS - Snort (II) • Weitere Features • Portscan-Präprozessor • überwacht die Anzahl der Verbindungen von einer IP-Adresse • erkennt typische Stealth-Scan-Pakete • SPADE - Plugin für statistische Analysen • meldet Abweichungen von der typischen Verteilung des Netzverkehrs • arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  33. IDS - Freeware IDS - Snort Freeware IDS - Snort (III) • Weitere Features (Forts.) • Flexible-Response-Modul (Alpha-Version) • Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen • Das Auslösen der Regel führt zum Beenden der Verbindung • Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  34. IDS – Freeware IDS - Snort Freeware IDS - Snort (IV) • Reporting Tools (Freeware) • SnortSnarf (Silicon Defense) • erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten • ACID (CERT) • besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  35. IDS – Fragen Fragen ? www.markuskobe.de www.crantz.de rzpc1/18.415 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  36. IDS – Literatur Literatur (I) • [ct1] Elisabeth Bauer Buchkritik: Intrusion Detection System c´t 15/02, Seite 206 • [ct2] Oliver Diedrich Stolperdraht c´t 11/02, Seite 198 • [ct3] Jürgen Schmidt, Martin Freiss Einbrecheralarm c´t 8/01, Seite 212 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  37. IDS – Literatur Literatur (II) • [ct4] Patrick Brauch Distributed Denial of Service – verteilte Angriffe c´t 25/00, Seite 256 • [ct5] Bernd Rudack Intrusion Detection Systeme im Test c´t 3/99, Seite 190 • [ct6] Bernd Rudack Alarmanlagen fürs Netz c´t 3/99, Seite 186 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  38. IDS – Literatur Literatur (III) •  [www1] http://www.domhan.de/ids.pdf • [www2] http://www.genua.de/produkte/snort/node1_html •  [www3] http://www.bluemerlin-security.de/ Produkt_eTrust_Intrusion_Detection_010402.php3 • [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm • [www5] http://www.pandacom.de/security/intrusiondetection.html Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

  39. IDS – Literatur Literatur (IV) • [www6] http://www.netsys.com/library/papers/ intrusion_detection_systems_0201_draft.pdf • [www7] http://www.uni-essen.de/hrz/beratung/ hrzblatt/hrz159/ids.html • [www8] http://www.suse.de/de/ private/support/howto/ids/ids1.html • [www9] http://www.sicherheit-im-internet.de/themes/ themes.phtml?ttid=1&tdid=572 • [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

More Related