Intrusion Detection & Intrusion Detection & Intrusion PreventionIntrusion Prevention
Tobias Marx
Gastvorlesung “Sicherheit in Netzen”14. April 2005
InhaltInhalt• Begriffsdefinitionen• Aufgaben eines Intrusion Detection Systems• Architektur eines Intrusion Detection Systems• Methoden der Datensammlung• Methoden der Datenanalyse• Ergebnisdarstellung• Gegenmaßnahmen• Intrusion Prevention Systeme• IDS vs. IPS• Was sollte ein IDS/IPS erkennen?
BegriffsdefinitionenBegriffsdefinitionen
• Intrusion– Böswillige Verletzung der Security Policy
• Intrusion Detection– Erkennung einer böswilligen Verletzung der Security Policy
• Intrusion Detection System– Virtueller Einbrecheralarm
Aufgaben eines Intrusion Aufgaben eines Intrusion Detection SystemsDetection Systems
• Angriffe gegen Netzwerke erkennen
• Angriffe gegen Rechnersysteme erkennen
• Informationen zu den Angriffen liefern
• Einhaltung der Security Policy überwachen
• Gegenmaßnahmen einleiten
Architektur eines Architektur eines Intrusion Detection SystemsIntrusion Detection Systems
• Sensor– Datensammlung
• Detektor– Datenanalyse
• Ergebnisdarstellung– Ergebnis der Datenanalyse / Alarmierung
• Gegenmaßnahmen– Einleiten von aktiven Gegenmassnahmen
Methoden der Methoden der DatensammlungDatensammlung
• Hostbasiert (HIDS)– Daten eines Hosts/Systems werden gesammelt– Quellen: System- und Anwendungsdaten
• Logdateien (system-log, security-log, application-log, w-events)• Dateiattribute (owner, group, permissions, size)• Windows Registry• Prozessliste• Kernel Monitoring...
• Netzwerkbasiert (NIDS)– Daten eines Netzwerks werden gesammelt– Netzwerksniffer
Methoden der DatenanalyseMethoden der Datenanalyse
• Signaturanalyse
• Anomalieerkennung
SignaturanalyseSignaturanalyse• Vorgehensweise
– Suche nach Signaturen/Angriffsmustern (Pattern Matching)
• beim HIDS– Prüfung von Systemdateien / Logdateien auf bestimmte Inhalte /
Muster
– bspw. W-Registry, Systemlogs, Anwendungslogs (Apache), (Failed Logins, Registry-Manipulation wg. Trojaner etc.)
– Prüfung von Systemkomponenten (Kernel, Prozesse etc.) auf bestimmte Muster (Backdoor-/Rootkit-Detection, Kernel-Monitoring)
– Vgl. vordefinierte Signaturcontainer (OS, Anwendungen etc.)–
• beim NIDS– Prüfung der Netzwerkpakete auf Angriffsmuster
– Paket-Header, Paket-Payload
SignaturanalyseSignaturanalyse
• Vortteile– False Positive Rate „gering“– Suche nach bestimmten Angriffen
• Nachteile– IDS von Signaturdatenbank abhängig
– neue Angriffe werden nicht erkannt–
• Fazit– IDS ist nur so gut wie seine Signaturdatenbank vgl.
Virenscanner
AnomalieerkennungAnomalieerkennung
• Vorgehensweise– Suche nach Anomalien / Abweichung vom Normalzustand– definiere das Normalverhalten bzw. Normalzustand
„„Anomalieerkennung“ beim Anomalieerkennung“ beim HIDSHIDS
• Änderungen von Dateiattributen
– owner
– group
– permissions–
• Änderungen von Hashwerten
– bspw. MD5-Summe von wichtigen Konfigdateien
– Vgl. Snapshot von Neuinstallation–
• Manipulation von Dateien, Verzeichnissen etc. erkennbar
Arten der AnomalieerkennungArten der Anomalieerkennung
• Statistischer Ansatz– Festlegung von zustandsabhängigen oder
zustandsunabhängigen Parametern
• Logischer Ansatz– Betrachtung der zeitlichen Abfolge von Ereignissen
• Protocol/Traffic Anomalien– Nicht RFC-konformer Netzwerkverkehr– untypischer Netzwerkverkehr
AnomalieerkennungAnomalieerkennung
• Vorteile– False Negative Rate gering– Neue Angriffe erkennen
• Nachteile– False Positive Rate hoch
– Problem: Was ist das Normalverhalten???
ErgebnisdarstellungErgebnisdarstellung
• Benachrichtigung der verantwortlichen Person(en) (Alarmierung)
• Hilfsmittel– E-Mail– WinPopup
– SNMP– Einträge in Logdatei (syslog)
GegenmaßnahmenGegenmaßnahmen
• Aktive Reaktion auf Angriff durch IDS
• Hilfsmittel– Firewall-Hardening– Verbindungen terminieren durch senden von
• TCP-RST – Ausführen von selbst geschriebenen Skripten
Hostbasiert vs. Hostbasiert vs. NetzwerkbasiertNetzwerkbasiert
• Zwei verschiedene Arten von Daten– System- und Anwendungsdaten / Netzwerkdaten
• HIDS
Vorteile: – Lokale Attacken, Attacken auf Dienste, Attacken auf Dateien
sind erkennbar
Nachteile:– keine Netzwerkangriffe erkennbar, Daten sind nicht mehr im
ursprünglichen Zustand
Hostbasiert vs. Hostbasiert vs. NetzwerkbasiertNetzwerkbasiert
• NIDS
Vorteile: – Attacken auf mehre Hosts / Netzwerke, Anzeichen von
Attacken, Missbrauch von Netzwerkressourcen erkennbar
Nachteile:– Netzwerkbandbreite, Fehlalarme, Switches, verschlüsselte
Verbindungen
Was sollte ein IDS/IPS Was sollte ein IDS/IPS erkennen?erkennen?
• HIDS– Manipulationen von Dateien, Registry, Kernel etc...– Installationen von Rootkits und Backdoors– Erfolgreiche Angriffe
• NIDS– Portscans– Buffer Overflows & Co.– Würmer / Trojaner / Bots– DoS-Attacken– Spoofing-Attacken– Verstöße gegen die Security Policy...
Intrusion Prevention SystemeIntrusion Prevention Systeme
Sind NIDS aber.....
• aktive Systeme
• In-Line Modi
– Bridge, Router, Proxy-ARP
• Pakete/Verbindungen können verworfen (drop) werden
IDS vs. IPSIDS vs. IPS
• IDS Vorteile– gleichzeitige Überwachung von mehreren
Netzwerksegmenten möglich (NIDS)
– Überwachung einzelner Systeme möglich (HIDS)
– keine Beeinträchtigung des Netzwerkverkehrs bei • Systemausfällen
• False Positives
– einfacher zu konfigurieren da passives System
IDS vs. IPSIDS vs. IPS
• IDS Nachteile– nur Angriffserkennung und Benachrichtigung (vgl. SQL-
Slammer)
– keine Möglichkeit Pakete/Verbindungen zu verwerfen (drop)
IDS vs. IPSIDS vs. IPS
• IPS Vorteile
– Pakete/Verbindungen können verworfen (drop) werden
– gleichzeitige Angriffserkennung und Abwehr (SQL-Slammer)
IDS vs. IPSIDS vs. IPS
• IPS Nachteile– Beeinträchtigung des Netzwerkverkehrs bei
• Systemausfällen• False Positives
– Schwieriger zu konfigurieren⇒False Positives können zu Störungen des
Netzwerkverkehrs führen
– Performance Probleme bei sehr hohen Bandbreiten
IDS vs. IPSIDS vs. IPS
Grundsätzliche Frage...
Ist es ausreichend einen Angriff „nur“ zu erkennen, oder muss dieser nach Möglichkeit auch gleichzeitig verhindert werden können?
Recommended
