400 likes | 626 Views
IDS. Intrusion Detection System. IDS - Vortragende. Vortragende. Markus Kobe 7. Semester Informatik Carsten Crantz 7. Semester Informatik. Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots)
E N D
IDS Intrusion Detection System
IDS - Vortragende Vortragende • Markus Kobe • 7. Semester Informatik • Carsten Crantz • 7. Semester Informatik Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) Common IDS Framework Freeware IDS IDS - Inhalt Inhalt Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
Signatur-Vergleichs-Automat (SCS) Die Tätigkeit eines IDS ist der VERGLEICH von auftretenden Ereignissen mit einem vorher bestimmten Muster IDS – Was ist ein IDS ? Was ist ein IDS ? Intrusion Detection System ~ Eindringling-Erkennungs-Automat Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Warum IDS einsetzen ? Warum IDS einsetzen ? • Firewalls haben Grenzen • Arbeiten präventiv • Schutz nach Regeln • Unvorsichtige User • Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen IDS-Architekturen • Hauptarten: • Host IDS (HIDS) • Network IDS (NIDS) • Hybride Arten • Per-Host Network IDS (PHIDS) • Load Balanced Network IDS (LBNIDS) • Firewall IDS (FWIDS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - HIDS Host IDS • Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner • Analysieren Systemkritische Bereiche • Protokollieren System- und Benutzeraktivitäten • Kann nur auswerten was schon gespeichert ist • Wirkt im nachhinein • „aus Fehlern lernen“ • Erkennung der Einbruchsstrategie • Fehlerbehebung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS • Lesen alle im Netz übertragenen Pakete • Kontinuierlich , Echtzeit • Registrieren Angriffsversuche bereits im Vorfeld • Platzierung der IDS-“Sensoren“ abhängig von Interessenlage • S-NIDS AA-IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (II) VOR der FW • Überblick • Alle Aktivitäten • Stark ausgelastet Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (III) HINTER der FW • Kontrollinstanz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (IV) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - Hybride IDS Hybride IDS • N+HIDS • Per-Host NIDS • Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS • Load Balanced NIDS • Wie PH-IDS aber mit zentralem Lastverteiler • Firewall-IDS • „Firewall AddOn“ Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken Analysetechniken • Misuse Detection • Missbrauchserkennung • Signaturerkennung • Anomaly Detection • Anomalieerkennung • Statische Erkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken – Misuse Detection Misuse Detection • Identifikation bekannter Angriffe • Bekannte Signaturen • Fester Regelsatz • Referenzdatenbank • Analogie Virenscanner • Zustandsautomat zur Mustererkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken – Anomaly Detection Anomaly Detection • Voraussage der Folgen eines Angriffs • Erlernter Regelsatz • Normalzustand definieren • Systemintegrität muss gesichert sein • Quantitative Analyse • Statische Messungen • Neuronale Netze • Aktion erwartete Folgeaktion / Anomalie = Alarm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Anforderungen an IDS Anforderungen an IDS (I) • Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein • Nur eine speziell gesicherte IDS-Umgebung, die • Angriffe gegen sich selbst erschwert • einen Ausfall der eigenen Funktionalität meldet • ermöglicht einen effektiven Einsatz • Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Anforderungen an IDS Anforderungen an IDS (II) • Abstimmung auf menschliche Eingriffe, d.h.: • Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen • Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (I) • Allgemein: • Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (II) • NIDS • Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann • Performanceaspekte stellen häufig eine Schwachstelle dar • Netzverkehr (Pakete / Sekunde) • TCP-Verbindungen • Langzeitverhalten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (III) • NIDS • Häufig Probleme mit bestimmten Angriffsmethoden • Fragmentation • Avoiding defaults • (Coordinated) slow scans • HIDS • Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (IV) • Signaturerkennung: • Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten • hohe Abhängigkeit von der Aktualität der Signatur-DB • Statistische Verfahren: • Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen • Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Weiterführende Ansätze Weiterführende Ansätze • Honey Pots • Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird. • Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: • Angriffe können zweifelsfrei erkannt werden • Die für Reaktion des Administrators zur Verfügung stehende Zeit wird erhöht • Es ist möglich, Erfahrungen zu Vorgehensweisen zu sammeln Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Common IDS Framework Common IDS Framework (I) • Ziel: • allgemeingültige Architektur für IDS zu definieren • Zusammenarbeit verschiedener Hersteller • Schwerpunkt • Spezifikation einer Sprache • Einheitliches Übertragungsprotokoll Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Common IDS Framework Common IDS Framework (II) • Rohdaten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Common IDS Framework Common IDS Framework (III) • Event-Generator • Einheitliches Format • Monitormodule Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Common IDS Framework Common IDS Framework (IV) • Analyser • Auswerung • Kontext Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Common IDS Framework Common IDS Framework (V) • Database • Kontext • Nicht Referenz- datenbank bekannter Einbrüche Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Common IDS Framework Common IDS Framework (V) • Aktionskomponente • Alarm • FW Modifikation Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (I) • Hostbasiertes IDS • Grundsätzliche Funktionsweise • Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum) • Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen • regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (II) • Policy-File • Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software • Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können • Es können Variablen für bestimmte Prüfkombinationen definiert werden • Eine Gewichtung von Regelverletzungen ist möglich • Es können E-Mail Adressen für die Benachrichtigung bei Regelverstößen angegeben werden Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Freeware IDS - Snort Freeware IDS - Snort (I) • Netzwerkbasiertes IDS (Unix/Linux , Windows) • Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete: • Protokoll • Ziel- / Absendeadresse • Source- / Destinationport • TCP-Flags • Größe • Knapp 1000 fertige Regeln sind verfügbar Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Freeware IDS - Snort Freeware IDS - Snort (II) • Weitere Features • Portscan-Präprozessor • überwacht die Anzahl der Verbindungen von einer IP-Adresse • erkennt typische Stealth-Scan-Pakete • SPADE - Plugin für statistische Analysen • meldet Abweichungen von der typischen Verteilung des Netzverkehrs • arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Freeware IDS - Snort Freeware IDS - Snort (III) • Weitere Features (Forts.) • Flexible-Response-Modul (Alpha-Version) • Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen • Das Auslösen der Regel führt zum Beenden der Verbindung • Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Freeware IDS - Snort Freeware IDS - Snort (IV) • Reporting Tools (Freeware) • SnortSnarf (Silicon Defense) • erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten • ACID (CERT) • besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Fragen Fragen ? www.markuskobe.de www.crantz.de rzpc1/18.415 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (I) • [ct1] Elisabeth Bauer Buchkritik: Intrusion Detection System c´t 15/02, Seite 206 • [ct2] Oliver Diedrich Stolperdraht c´t 11/02, Seite 198 • [ct3] Jürgen Schmidt, Martin Freiss Einbrecheralarm c´t 8/01, Seite 212 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (II) • [ct4] Patrick Brauch Distributed Denial of Service – verteilte Angriffe c´t 25/00, Seite 256 • [ct5] Bernd Rudack Intrusion Detection Systeme im Test c´t 3/99, Seite 190 • [ct6] Bernd Rudack Alarmanlagen fürs Netz c´t 3/99, Seite 186 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (III) • [www1] http://www.domhan.de/ids.pdf • [www2] http://www.genua.de/produkte/snort/node1_html • [www3] http://www.bluemerlin-security.de/ Produkt_eTrust_Intrusion_Detection_010402.php3 • [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm • [www5] http://www.pandacom.de/security/intrusiondetection.html Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (IV) • [www6] http://www.netsys.com/library/papers/ intrusion_detection_systems_0201_draft.pdf • [www7] http://www.uni-essen.de/hrz/beratung/ hrzblatt/hrz159/ids.html • [www8] http://www.suse.de/de/ private/support/howto/ids/ids1.html • [www9] http://www.sicherheit-im-internet.de/themes/ themes.phtml?ttid=1&tdid=572 • [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz