Upload
darius
View
44
Download
0
Embed Size (px)
DESCRIPTION
IDS. Intrusion Detection System. IDS - Vortragende. Vortragende. Markus Kobe 7. Semester Informatik Carsten Crantz 7. Semester Informatik. Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) - PowerPoint PPT Presentation
Citation preview
IDS
Intrusion Detection System
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
2
VortragendeVortragende
• Markus Kobe
– 7. Semester Informatik
• Carsten Crantz
- 7. Semester Informatik
IDS - Vortragende
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
3
InhaltInhalt
• Was ist ein IDS ?
• Warum IDS ?
• IDS-Architekturen
• Analysetechniken
• Anforderungen / Grenzen an/von IDS
• Weitere Maßnahmen (Honypots)
• Common IDS Framework
• Freeware IDS
IDS - Inhalt
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
4
Was ist ein IDS ?Was ist ein IDS ?
Signatur-Vergleichs-Automat (SCS)
Die Tätigkeit eines IDS ist der
VERGLEICH
von auftretenden Ereignissen mit
einem vorher bestimmten Muster
IDS – Was ist ein IDS ?
Intrusion Detection System ~ Eindringling-Erkennungs-Automat
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
5
Warum IDS einsetzen ?Warum IDS einsetzen ?
IDS – Warum IDS einsetzen ?
• Firewalls haben Grenzen
- Arbeiten präventiv
- Schutz nach Regeln
- Unvorsichtige User
• Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206]
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
6
IDS-ArchitekturenIDS-Architekturen
IDS – IDS-Architekturen
• Hauptarten:
– Host IDS (HIDS)
– Network IDS (NIDS)
• Hybride Arten
- Per-Host Network IDS (PHIDS)
- Load Balanced Network IDS (LBNIDS)
- Firewall IDS (FWIDS)
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
7
Host IDSHost IDS
• Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner
• Analysieren Systemkritische Bereiche
• Protokollieren System- und Benutzeraktivitäten
• Kann nur auswerten was schon gespeichert ist
– Wirkt im nachhinein
– „aus Fehlern lernen“
– Erkennung der Einbruchsstrategie
– Fehlerbehebung
IDS – IDS-Architekturen - HIDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
8
Network IDSNetwork IDS
IDS – IDS-Architekturen - NIDS
• Lesen alle im Netz übertragenen Pakete– Kontinuierlich , Echtzeit
• Registrieren Angriffsversuche bereits im Vorfeld
• Platzierung der IDS-“Sensoren“ abhängig von Interessenlage
• S-NIDS AA-IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
9
Network IDS (II)Network IDS (II)
VOR der FW
- Überblick
- Alle Aktivitäten
- Stark ausgelastet
IDS – IDS-Architekturen - NIDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
10
Network IDS (III)Network IDS (III)
IDS – IDS-Architekturen - NIDS
HINTER der FW
- Kontrollinstanz
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
11
Network IDS (IV)Network IDS (IV)
IDS – IDS-Architekturen - NIDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
12
Hybride IDSHybride IDS
• N+HIDS
• Per-Host NIDS
– Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS
• Load Balanced NIDS
– Wie PH-IDS aber mit zentralem Lastverteiler
• Firewall-IDS
– „Firewall AddOn“
IDS – IDS-Architekturen - Hybride IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
13
AnalysetechnikenAnalysetechniken
• Misuse Detection
– Missbrauchserkennung
– Signaturerkennung
• Anomaly Detection
– Anomalieerkennung
– Statische Erkennung
IDS – Analysetechniken
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
14
Misuse DetectionMisuse Detection
• Identifikation bekannter Angriffe
• Bekannte Signaturen
• Fester Regelsatz
• Referenzdatenbank
• Analogie Virenscanner
– Zustandsautomat zur Mustererkennung
IDS – Analysetechniken – Misuse Detection
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
15
Anomaly DetectionAnomaly Detection
• Voraussage der Folgen eines Angriffs
• Erlernter Regelsatz
• Normalzustand definieren
– Systemintegrität muss gesichert sein• Quantitative Analyse
• Statische Messungen
• Neuronale Netze
• Aktion erwartete Folgeaktion / Anomalie = Alarm
IDS – Analysetechniken – Anomaly Detection
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
16
Anforderungen an IDS (I)Anforderungen an IDS (I)
• Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein
• Nur eine speziell gesicherte IDS-Umgebung, die
- Angriffe gegen sich selbst erschwert
- einen Ausfall der eigenen Funktionalität meldet
ermöglicht einen effektiven Einsatz
• Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich
IDS – Anforderungen an IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
17
Anforderungen an IDS (II)Anforderungen an IDS (II)
• Abstimmung auf menschliche Eingriffe, d.h.:
- Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen
- Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein
IDS – Anforderungen an IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
18
Schwächen von IDS (I)Schwächen von IDS (I)
Allgemein:
• Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
19
Schwächen von IDS (II)Schwächen von IDS (II)
NIDS
• Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann
• Performanceaspekte stellen häufig eine Schwachstelle dar
- Netzverkehr (Pakete / Sekunde)
- TCP-Verbindungen
- Langzeitverhalten
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
20
Schwächen von IDS (III)Schwächen von IDS (III)
NIDS
• Häufig Probleme mit bestimmten Angriffsmethoden
- Fragmentation
- Avoiding defaults
- (Coordinated) slow scans
HIDS
• Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
21
Schwächen von IDS (IV)Schwächen von IDS (IV)
Signaturerkennung:
• Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten
• hohe Abhängigkeit von der Aktualität der Signatur-DB
Statistische Verfahren:
• Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen
• Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses
IDS – Schwächen von IDS
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
22
Weiterführende AnsätzeWeiterführende Ansätze
• Honey Pots
- Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird.
- Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung
stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu
sammeln
IDS – Weiterführende Ansätze
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
23
Common IDS Framework (I)Common IDS Framework (I)
• Ziel:
– allgemeingültige Architektur für IDS zu definieren
– Zusammenarbeit verschiedener Hersteller
• Schwerpunkt
– Spezifikation einer Sprache
– Einheitliches Übertragungsprotokoll
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
24
Common IDS Framework (II)Common IDS Framework (II)
• Rohdaten
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
25
Common IDS Framework (III)Common IDS Framework (III)
• Event-Generator
– Einheitliches Format
– Monitormodule
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
26
Common IDS Framework (IV)Common IDS Framework (IV)
• Analyser
– Auswerung
– Kontext
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
27
Common IDS Framework (V)Common IDS Framework (V)
• Database
– Kontext
– Nicht Referenz- datenbank bekannter Einbrüche
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
28
Common IDS Framework (V)Common IDS Framework (V)
• Aktionskomponente
– Alarm
– FW Modifikation
IDS – Common IDS Framework
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
29
Freeware IDS - Tripwire (I)Freeware IDS - Tripwire (I)
• Hostbasiertes IDS
• Grundsätzliche Funktionsweise
- Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum)
- Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen
- regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job)
IDS - Freeware IDS - Tripwire
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
30
Freeware IDS - Tripwire (II)Freeware IDS - Tripwire (II)
• Policy-File
- Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software
- Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können
- Es können Variablen für bestimmte Prüfkombinationen definiert werden
- Eine Gewichtung von Regelverletzungen ist möglich
- Es können E-Mail Adressen für die Benachrichtigung bei Regelverstößen angegeben werden
IDS - Freeware IDS - Tripwire
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
31
Freeware IDS - Snort (I)Freeware IDS - Snort (I)
• Netzwerkbasiertes IDS (Unix/Linux , Windows)
• Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete:
- Protokoll
- Ziel- / Absendeadresse
- Source- / Destinationport
- TCP-Flags
- Größe
• Knapp 1000 fertige Regeln sind verfügbar
IDS - Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
32
Freeware IDS - Snort (II)Freeware IDS - Snort (II)
• Weitere Features
• Portscan-Präprozessor
- überwacht die Anzahl der Verbindungen von einer IP-Adresse
- erkennt typische Stealth-Scan-Pakete
• SPADE - Plugin für statistische Analysen
- meldet Abweichungen von der typischen Verteilung des Netzverkehrs
- arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung
IDS - Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
33
Freeware IDS - Snort (III)Freeware IDS - Snort (III)
• Weitere Features (Forts.)
• Flexible-Response-Modul (Alpha-Version)
- Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen
- Das Auslösen der Regel führt zum Beenden der Verbindung
• Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams
IDS - Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
34
Freeware IDS - Snort (IV)Freeware IDS - Snort (IV)
• Reporting Tools (Freeware)
• SnortSnarf (Silicon Defense)
- erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten
• ACID (CERT)
- besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität
IDS – Freeware IDS - Snort
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
35
FragenFragen
www.markuskobe.de
www.crantz.de
rzpc1/18.415
IDS – Fragen
??
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
36
Literatur (I)Literatur (I)• [ct1] Elisabeth Bauer
Buchkritik: Intrusion Detection System c´t 15/02, Seite 206
• [ct2] Oliver Diedrich
Stolperdrahtc´t 11/02, Seite 198
• [ct3] Jürgen Schmidt, Martin Freiss
Einbrecheralarmc´t 8/01, Seite 212
IDS – Literatur
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
37
Literatur (II)Literatur (II)• [ct4] Patrick Brauch
Distributed Denial of Service – verteilte Angriffec´t 25/00, Seite 256
• [ct5] Bernd Rudack
Intrusion Detection Systeme im Testc´t 3/99, Seite 190
• [ct6] Bernd Rudack
Alarmanlagen fürs Netzc´t 3/99, Seite 186
IDS – Literatur
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
38
Literatur (III)Literatur (III)• [www1] http://www.domhan.de/ids.pdf • [www2] http://www.genua.de/produkte/snort/node1_html • [www3] http://www.bluemerlin-security.de/
Produkt_eTrust_Intrusion_Detection_010402.php3
• [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm
• [www5] http://www.pandacom.de/security/intrusiondetection.html
IDS – Literatur
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
39
Literatur (IV)Literatur (IV)• [www6] http://www.netsys.com/library/papers/
intrusion_detection_systems_0201_draft.pdf • [www7] http://www.uni-essen.de/hrz/beratung/
hrzblatt/hrz159/ids.html • [www8] http://www.suse.de/de/
private/support/howto/ids/ids1.html • [www9] http://www.sicherheit-im-internet.de/themes/
themes.phtml?ttid=1&tdid=572
• [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm
IDS – Literatur