IDS

IDS

Intrusion Detection System

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

2

VortragendeVortragende

• Markus Kobe

– 7. Semester Informatik

• Carsten Crantz

- 7. Semester Informatik

IDS - Vortragende


3

InhaltInhalt

• Was ist ein IDS ?

• Warum IDS ?

• IDS-Architekturen

• Analysetechniken

• Anforderungen / Grenzen an/von IDS

• Weitere Maßnahmen (Honypots)

• Common IDS Framework

• Freeware IDS

IDS - Inhalt


4

Was ist ein IDS ?Was ist ein IDS ?

Signatur-Vergleichs-Automat (SCS)

Die Tätigkeit eines IDS ist der

VERGLEICH

von auftretenden Ereignissen mit

einem vorher bestimmten Muster

IDS – Was ist ein IDS ?

Intrusion Detection System ~ Eindringling-Erkennungs-Automat


5

Warum IDS einsetzen ?Warum IDS einsetzen ?

IDS – Warum IDS einsetzen ?

• Firewalls haben Grenzen

- Arbeiten präventiv

- Schutz nach Regeln

- Unvorsichtige User

• Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206]


6

IDS-ArchitekturenIDS-Architekturen

IDS – IDS-Architekturen

• Hauptarten:

– Host IDS (HIDS)

– Network IDS (NIDS)

• Hybride Arten

- Per-Host Network IDS (PHIDS)

- Load Balanced Network IDS (LBNIDS)

- Firewall IDS (FWIDS)


7

Host IDSHost IDS

• Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner

• Analysieren Systemkritische Bereiche

• Protokollieren System- und Benutzeraktivitäten

• Kann nur auswerten was schon gespeichert ist

– Wirkt im nachhinein

– „aus Fehlern lernen“

– Erkennung der Einbruchsstrategie

– Fehlerbehebung

IDS – IDS-Architekturen - HIDS


8

Network IDSNetwork IDS

IDS – IDS-Architekturen - NIDS

• Lesen alle im Netz übertragenen Pakete– Kontinuierlich , Echtzeit

• Registrieren Angriffsversuche bereits im Vorfeld

• Platzierung der IDS-“Sensoren“ abhängig von Interessenlage

• S-NIDS AA-IDS


9

Network IDS (II)Network IDS (II)

VOR der FW

- Überblick

- Alle Aktivitäten

- Stark ausgelastet



10

Network IDS (III)Network IDS (III)


HINTER der FW

- Kontrollinstanz


11

Network IDS (IV)Network IDS (IV)



12

Hybride IDSHybride IDS

• N+HIDS

• Per-Host NIDS

– Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS

• Load Balanced NIDS

– Wie PH-IDS aber mit zentralem Lastverteiler

• Firewall-IDS

– „Firewall AddOn“

IDS – IDS-Architekturen - Hybride IDS


13

AnalysetechnikenAnalysetechniken

• Misuse Detection

– Missbrauchserkennung

– Signaturerkennung

• Anomaly Detection

– Anomalieerkennung

– Statische Erkennung

IDS – Analysetechniken


14

Misuse DetectionMisuse Detection

• Identifikation bekannter Angriffe

• Bekannte Signaturen

• Fester Regelsatz

• Referenzdatenbank

• Analogie Virenscanner

– Zustandsautomat zur Mustererkennung

IDS – Analysetechniken – Misuse Detection


15

Anomaly DetectionAnomaly Detection

• Voraussage der Folgen eines Angriffs

• Erlernter Regelsatz

• Normalzustand definieren

– Systemintegrität muss gesichert sein• Quantitative Analyse

• Statische Messungen

• Neuronale Netze

• Aktion erwartete Folgeaktion / Anomalie = Alarm

IDS – Analysetechniken – Anomaly Detection


16

Anforderungen an IDS (I)Anforderungen an IDS (I)

• Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein

• Nur eine speziell gesicherte IDS-Umgebung, die

- Angriffe gegen sich selbst erschwert

- einen Ausfall der eigenen Funktionalität meldet

ermöglicht einen effektiven Einsatz

• Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich

IDS – Anforderungen an IDS


17

Anforderungen an IDS (II)Anforderungen an IDS (II)

• Abstimmung auf menschliche Eingriffe, d.h.:

- Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen

- Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein

IDS – Anforderungen an IDS


18

Schwächen von IDS (I)Schwächen von IDS (I)

Allgemein:

• Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen

IDS – Schwächen von IDS


19

Schwächen von IDS (II)Schwächen von IDS (II)

NIDS

• Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann

• Performanceaspekte stellen häufig eine Schwachstelle dar

- Netzverkehr (Pakete / Sekunde)

- TCP-Verbindungen

- Langzeitverhalten



20

Schwächen von IDS (III)Schwächen von IDS (III)

NIDS

• Häufig Probleme mit bestimmten Angriffsmethoden

- Fragmentation

- Avoiding defaults

- (Coordinated) slow scans

HIDS

• Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen



21

Schwächen von IDS (IV)Schwächen von IDS (IV)

Signaturerkennung:

• Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten

• hohe Abhängigkeit von der Aktualität der Signatur-DB

Statistische Verfahren:

• Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen

• Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses



22

Weiterführende AnsätzeWeiterführende Ansätze

• Honey Pots

- Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird.

- Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung

stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu

sammeln

IDS – Weiterführende Ansätze


23

Common IDS Framework (I)Common IDS Framework (I)

• Ziel:

– allgemeingültige Architektur für IDS zu definieren

– Zusammenarbeit verschiedener Hersteller

• Schwerpunkt

– Spezifikation einer Sprache

– Einheitliches Übertragungsprotokoll

IDS – Common IDS Framework


24

Common IDS Framework (II)Common IDS Framework (II)

• Rohdaten



25

Common IDS Framework (III)Common IDS Framework (III)

• Event-Generator

– Einheitliches Format

– Monitormodule



26

Common IDS Framework (IV)Common IDS Framework (IV)

• Analyser

– Auswerung

– Kontext



27

Common IDS Framework (V)Common IDS Framework (V)

• Database

– Kontext

– Nicht Referenz- datenbank bekannter Einbrüche



28

Common IDS Framework (V)Common IDS Framework (V)

• Aktionskomponente

– Alarm

– FW Modifikation



29

Freeware IDS - Tripwire (I)Freeware IDS - Tripwire (I)

• Hostbasiertes IDS

• Grundsätzliche Funktionsweise

- Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum)

- Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen

- regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job)

IDS - Freeware IDS - Tripwire


30

Freeware IDS - Tripwire (II)Freeware IDS - Tripwire (II)

• Policy-File

- Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software

- Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können

- Es können Variablen für bestimmte Prüfkombinationen definiert werden

- Eine Gewichtung von Regelverletzungen ist möglich

- Es können E-Mail Adressen für die Benachrichtigung bei Regelverstößen angegeben werden

IDS - Freeware IDS - Tripwire


31

Freeware IDS - Snort (I)Freeware IDS - Snort (I)

• Netzwerkbasiertes IDS (Unix/Linux , Windows)

• Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete:

- Protokoll

- Ziel- / Absendeadresse

- Source- / Destinationport

- TCP-Flags

- Größe

• Knapp 1000 fertige Regeln sind verfügbar

IDS - Freeware IDS - Snort


32

Freeware IDS - Snort (II)Freeware IDS - Snort (II)

• Weitere Features

• Portscan-Präprozessor

- überwacht die Anzahl der Verbindungen von einer IP-Adresse

- erkennt typische Stealth-Scan-Pakete

• SPADE - Plugin für statistische Analysen

- meldet Abweichungen von der typischen Verteilung des Netzverkehrs

- arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung



33

Freeware IDS - Snort (III)Freeware IDS - Snort (III)

• Weitere Features (Forts.)

• Flexible-Response-Modul (Alpha-Version)

- Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen

- Das Auslösen der Regel führt zum Beenden der Verbindung

• Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams



34

Freeware IDS - Snort (IV)Freeware IDS - Snort (IV)

• Reporting Tools (Freeware)

• SnortSnarf (Silicon Defense)

- erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten

• ACID (CERT)

- besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität

IDS – Freeware IDS - Snort


35

FragenFragen

www.markuskobe.de

www.crantz.de

rzpc1/18.415

IDS – Fragen

??


36

Literatur (I)Literatur (I)• [ct1] Elisabeth Bauer

Buchkritik: Intrusion Detection System c´t 15/02, Seite 206

• [ct2] Oliver Diedrich

Stolperdrahtc´t 11/02, Seite 198

• [ct3] Jürgen Schmidt, Martin Freiss

Einbrecheralarmc´t 8/01, Seite 212

IDS – Literatur


37

Literatur (II)Literatur (II)• [ct4] Patrick Brauch

Distributed Denial of Service – verteilte Angriffec´t 25/00, Seite 256

• [ct5] Bernd Rudack

Intrusion Detection Systeme im Testc´t 3/99, Seite 190

• [ct6] Bernd Rudack

Alarmanlagen fürs Netzc´t 3/99, Seite 186

IDS – Literatur


38

Literatur (III)Literatur (III)• [www1] http://www.domhan.de/ids.pdf • [www2] http://www.genua.de/produkte/snort/node1_html • [www3] http://www.bluemerlin-security.de/

Produkt_eTrust_Intrusion_Detection_010402.php3

• [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm

• [www5] http://www.pandacom.de/security/intrusiondetection.html

IDS – Literatur


39

Literatur (IV)Literatur (IV)• [www6] http://www.netsys.com/library/papers/

intrusion_detection_systems_0201_draft.pdf • [www7] http://www.uni-essen.de/hrz/beratung/

hrzblatt/hrz159/ids.html • [www8] http://www.suse.de/de/

private/support/howto/ids/ids1.html • [www9] http://www.sicherheit-im-internet.de/themes/

themes.phtml?ttid=1&tdid=572

• [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm

IDS – Literatur

Documents

IDS