Click here to load reader

Intrusion Detection Systems - ... · PDF fileSnort (NIDS) Unterstützt alle gängigen BS Signaturanalyse inkl. Zustand und Protokoll Reaktion TCP Reset, ICMP Unreachable, Konfiguration

  • View
    215

  • Download
    0

Embed Size (px)

Text of Intrusion Detection Systems - ... · PDF fileSnort (NIDS) Unterstützt alle gängigen...

IntrusionDetectionSystems

Veranstaltung

RechnernetzeII

bersicht

WasisteineIntrusion?

UndwasdieIntrusionDetection?

ArtenvonIDS

RechtlicheFragen

AngriffspunktevonIDS

IDSsinnvolleinsetzen

WasisteineIntrusion?

Intrusion=Eindringen,Einmischung

InderLiteraturhufigalsEinbruchbezeichnet

InterpretationwaseineIntrusionist,istnichtimmereindeutig

WasisteineIntrusion?

Portscan(heutzutagesehrhufig)

ModifikationvonFirewallregeln

ModifikationeineRoutingtabelle

AustauschvonSystemkomponenten/Programmen

EinbruchineinenWebserverundInstallationeinesPasswortsniffers

IntrusionDetection

Angriffs/Einbruchserkennung

NichtauthorisierterZugriffvonauen

Missbrauchserkennung

Missbrauchvoninnen

AnomalyErkennung

ErkennungungewhnlicherZustndeimSystem

AufbaueinesIDS

Datenmonitor

Sammelnund(vor)filternvonDaten

Quellen

Netzwerkdurchsatz

LogdateienvonSicherheitssoftware

BetriebsmittelvergabedesBetriebssystems

VomBSberwachteKomponenten(Dateisysteme,Netzwerkdienste,Logdateien)

Analyzer

DatenanalyseinEchtzeitgefordert

Verfahren:

PassiveAnalyse(z.B.Logdateien)

Signaturanalyse

Anomaliedetektion

Signaturanalyse

FunktionsweiseanalogzumVirenscanner

AuditdatenwerdennachbekanntenMusterndurchsucht

SehrschnellerErfolg

MussstndigaufdemneustenStandgehaltenwerden

BeschreibtArtdesAngriffsundevtl.Gegenmanahmen

AnomalieDetektion

IDSwirdaufden'Normalfall'trainiert

Abweichungenwerdennachdem

statistischenAnsatz

LogischenAnsatz

bewertet

LiefertalsErgebniseineVerdachtsbewertung

AnomalieDetektion

StatistischerAnsatz

Parametermengewirdberwacht:

Seitenzugriffsrate

Prozessorlast

Pakettypen

AnomalieDetektion

LogischerAnsatz

ErweiterungdesstatistischenAnsatzes

ZeitlicheAbfolgevonEreignissenwirdbercksichtigt

Ergebnisdarstellung

ReaktionsmglichkeiteninAbhngigkeitdesGefahrenpotentials

MailmitArtdesAngriffsanAdministrator

LokalerAlarm,z.B.PopupFensteraufderSicherheitskonsole

AlarmmeldungberPageroderHandy

Ergebnisdarstellung

Esmusichergestelltwerden,da

dieDatennichtnacheinemAngriffverschleiertoderverflschtwerdenknnen

EineBenachrichtigungauchimFalleeinesDoSAngriffesstattfindet

Response

SobaldeinAlarmmitentspechenderePriorittausgelstwurde,muentweder

derAdministratoraktivwerdenundManahmenergreifen

EinIRSleitetautomatisierteManahmenein

Response

PassiveManahmen

RekonfigurationderFirewall/Router

AbschaltenvonDiensten

AbschaltendesRouters(nurinsehrschwerwiegendenFllen!)

Response

AktiveManahmen

ErmittelnderAngreiferIP

WeitereManahmen(Trojanerzurckschicken,ebenfallsDoSstarten)fallenindenBereichderSelbstjustiz!

ArtenvonIDS

HostbasierteIDS(HIDS)

berwachtEreignisseeinesGertes

NetzbasierteIDS(NIDS)

berwachtvorbeiflieendenNetzwerkverkehr

LokaleAnalyseHIDS

Betriebssystemdaten,z.B.Logdateien

Anwendungsdaten

DatendesProtokollstapels(z.B.TCP/IP)

ErkennbareAngriffe

ModifikationderWebseite(Defacement)

InstallationvonTrojanernundRootkits

AusfhrungvonpriviligiertenBefehlen

AufrufsicherheitsbedenklicherBefehle

ZustzlichangelegteRootuser(einfacheHintertr)

HIDSTechnologien

Protokollanalyse

ProtokollewerdenaufbekannteEreignissegeprft,beibereinstimmungwirdalamiert(Positivliste)

UmunbekannteMeldungennichtzubersehengibtesdasGegenstck,dieNegativliste

GuteAnalysatorensindzudeminderLageMeldungenzusammenzufassen

HIDSTechnologien

Integrittstest

ZustanddesSystemswirdgespeichert

UmSpeicherplatzzusparenwerdenmeistnurDateieigenschaften+Prfsummegespeichert

SchnappschussdesSystemswirdregelmiggeprft

IDSmitdieserEigenschaftwerdenauchalsSystemIntegrityVerifier(SIV)oderFileIntegrityAssessment(FIA)bezeichnet

HIDSTechnologien

EchtzeitanalysevonSystemaufrufenundDateizugriffen

DasIDSwartetnichtbisetwaspassiertist,sondernberwachtjeden(relevanten)SchrittdesSystems

Zeitlichsehraufwendig

KannzurPrventioneingesetztwerden

Vor/undNachteile

GuteberwachungdesHosts

ErkennungverschlsselterAngriffe

UnanflliggegenbergeflschtenPaketen

AufwendigeAdministration

HohesDatenaufkommen

NIDS

berwachungdesNetzwerkverkehrs

BesondersfrAngriffserkennungvonauengeeignet

FunktionsweisehnlichwieeinSniffer

ErkennbareAngriffe

DoSmitBufferoverflow,z.B.NOPSled

UngltigePakete(TearDrop,PingofDeath)

AngriffeaufApplikationsebene

InkorrekteDatenstrmeknnenApplikationenzuunerwartetemVerhaltenveranlassen

ZugriffaufvertraulicheDaten,z.B.Passwortdatenbank

ErkennbareAngriffe

Informationsdiebstahl,sofernbertragungunverschlsseltstattfindet

AngriffeaufFirewalloderIDS

SpoofingAngriffe

Portscans

VerdachtsbesttigungbeiDDoSAngriffen

NIDSTechnologien

SignaturErkennung

ZustandsorientierteSignaturErkennung

DamitdasIDSnichtmitsinnlosenPaketenblockiertwerdenkann,werdennurimZusammenhangsinnvollePaketebearbeitet

Protokolldekodierung

InhaltsanalyseaufobersterSchicht

NIDSTechnologien

StatistischeAnomalieAnalyse

NeueAngriffsformenundversteckteScansknnenhiermitggf.entdecktwerden

HeuristischeAnalyse

OptimiertdenSignaturvergleich,eswirdnichtjedesPaketeuntersucht,umRechenzeitzusparen

Reaktion

Alarmierung,Konfiguration,Rckverfolgung

Vor/undNachteile

WenigeKnotenreichenzurberwachungaus

GeringereradministrativerAufwand

VerschlsselteAngriffewerdennichterkannt

AnflliggegenbergeflschtenPaketen

BeihoherNetzlastwerdenPaketeausgelassen

AnforderungenaneinIDS

VerfgbarkeitderDienst

IntegrittundVerfgbarkeitderDaten

UntersttzungbeieinemAngriff

Fehlertoleranz

KontinuierlicherLauf

GeringerOverhead

LeichteIntegration

Schwerzuumgehen

RechtlicheFragen

Datenschutz

VerwendbarkeitderDaten

Gegenmanahmen

DatenschutzundIDS

RechtaufinformationelleSelbstbestimmung(Art1Abs.1GG)

ZweckbindungderDaten(BDSG3,14(4)und31)

InnerbetrieblicheMitbestimmung(BtrVG87(1))

GesetzberdieNutzungderTeledienste(TDG)

Teledienstdatenschutzgesetz(TDDSG46)

Datenschutz

PersonenbezogeneDatendrfennachdemBDSGnichtverwendetwerden

AnonymisierteDatendrfennurverwendetwerdenwennkeineRckschlsse(oderunverhltnismigaufwendig)aufPersonenmglichsind

Ausnahmen

SchriftlicheEinwilligungderbetroffenenPerson

VereinbarungdurchArbeitsvertrag

GesetzlicheVorschrift

Datenschutz

PrivateEmailsfallenunterdasFernmeldegeheimnis

DienstlicheEmailsdrfeninAbwesendheitvomVorgesetztengelesenwerden,EinAusgangundZielknnenfestgehaltenwerden

BeiVerdachteinerStraftatentflltderSchutz

Nach31BDSGdrfenDatennichtzurLeistungskontrolleverwendetwerden

AngriffspunktevonIDS

VerschlsselteVerbindungen

SelbstmodifizierenderCode

Fragmentierung

Insertion

Evasion

Fragmentierung

Fragmentberlappung

1.Fragment.../cgibin/harmlos

2.Fragmentphf?Qalias=x%0...

wirdjenachBSzu

.../cgibin/harmlosias=x%0...oder

.../cgibin/phf?Qalias=x%0...

Insertion

Angriffsbeispiel:GET/cgibin/phf?

FehlerhaftePaketewerdendemDatenstromhinzugefgt:

leasedontdetectt

is

orme

IDSsiehtGET/cgibin/pleasedontdetectthisforme=>Signaturanalyseschlgtfehl

Evasion

bermigkorrekteImplementierungvermeidetInsertionfhrtaberzuEvasion

PaketedievomIDSalsungltigerkanntwerden,werdenvomHostakzeptiert

Fhrtu.U.zumVerlustdesZusammenhangs

Evasion

VerfgbareIDSkommerziell

NetRanger/CiscoSecureIDS(NIDS)

45500Mbit/s(jenachPreisklasse)

SignaturAnalyseaufIPEbene

AlsReaktionTCPResetmglich

GrafischerClientfrWinundSolaris

VerfgbareIDSkommerziell

RealSecure(NIDS+HIDSModul)

SensorenfrWin,Solaris,Linux

ClientnurWin

Signaturanalyseinkl.ZustandundProtokoll

KonfigurationderCheckpointFWmglich

VerfgbareIDSkommerziell

NetworkFlightRecorder(N/HIDS)

Durchsatz1001000MBit/s

Signaturanalyseinkl.ZustandundProtokoll

TCPResetundKonfigurationeinerFWmglich

NurWin

VerfgbareIDSkommerziell

Dragon(N/HIDS)

Signaturanalyseinkl.ZustandundProtokoll

BenutzerdefinierteBefehlealsReaktion

SensorenfralleBS,grafischerClientUNIX/Linux

VerfgbareIDSkommerziell

Entercept(HIDS)

berwachungderProzessaufrufe,Protokolldaten,Zugriffe/ModifikationderRegistry(NurWin)

ReaktionAlsAngrifferkannteBefehlewerdennichtausgefhrt

GrafischerClientfrWin

AgentenfrSolarisundWin

VerfgbareIDSfreiverfgbar

Snort(NIDS)

UntersttztallegngigenBS

Signaturanalyseinkl.ZustandundProtokoll

ReaktionTCPReset,ICMPUnreachable,KonfigurationvonCheckpointFW,CiscoRouter

GrafischeClientsfrgngigeBS

V

Search related