Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche.

Ähnliche Präsentationen


Präsentation zum Thema: "Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche."—  Präsentation transkript:

1 Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche

2 Intrusion Detection Systems n IP-Netzwerke, Paketformate und Kommunikationsablauf n Netzwerkangriffe, verfolgte Ziele und Angriffspunkte n Intrusion Detection l Methodik l Probleme l Lösungsversuche n Reale Systeme - Der Versuch eines Vergleichstests n Literaturhinweise

3 IP-Netzwerke IP-Paketheaderformat IHL:Internet Header Length: Headerlänge in 32bit-Worten DF:Don´t fragment MF:More fragments

4 IP-Netzwerke TCP & UDP Paketheaderformat TCP: UDP:

5 Netzwerkangriffe verfolgte Ziele n Datenzugriff n Dienstzugriff n Sabotage

6 Netzwerkangriffe Angriffspunkte des Netzsystems n Dienstzugriff: l in der Regel verbindungsorientierte l Dienste n Datenzugriff: l ebenso n Sabotage - Diverse Ansätze: l Daten- oder Dienstzugriff s.o. l Flooding l „ping of death“ und ähnliche

7 Intrusion Detection Systems Methodik n Rekonstruktion der Netzwerkdaten n Mustersuche in den rekonstruierten Daten n Auslösung des Alarms n Aufzeichnung des Netzverkehrs n ggf. Aktivierung von Gegenmaßnahmen

8 Intrusion Detection Systems Systemstruktur - Datenfluß

9 Intrusion Detection Systems Problembereiche n Qualitätsmerkmale l Vollständigkeit l Genauigkeit n Rekonstruktion des Netzverkehrs? n Ziele des Gegenmaßnahmen?

10 Intrusion Detection Systems Rekonstruktionsprobleme I n Verbindungsbeginn: l Beginn vor Start des IDS l Vollständigkeit des Handshakes n Verbindungsinhalt l Overlapping Fragments l Mehrfache Pakete n Verbindungsende l Korrektheit des Endes n Allgemein l Checksummenfehler l Sequenznummernfehler

11 Intrusion Detection Systems TCP-Handshakes n Verbindungsaufbau: l System A sendet SYN-Paket mit SEQ-Nummer X und ACK- Nummer Y an System B l System B sendet SYN-Paket mit SEQ-Nummer Y und ACK- Nummer X+1 an System A l System A sendet ACK-Paket mit SEQ-Nummer X+1 und ACK- Nummer Y+1 an System B n Verbindungsabbau I: l Wie Verbindungsaufbau, aber mit FIN- statt mit SYN-Paketen. Das erste FIN-Paket muß eine passende ACK-Nummer haben. n Verbindungsabbau II: l Das beendende System sendet ein RST-Paket mit passender ACK- Nummer an das andere System. Keine Bestätigung.

12 IP-Fragmentierung n IP-Paketfragmentierung, wenn Ursprungspaket zu groß für nächsten Transportabschnitt n Beispiele für maximale Paketgrößen inkl. Header: l Ethernet: 1506Byte l X.25: 1024Byte l ARCNet: <512Byte n Zeitlich ungeordnetes Eintreffen der Fragmente bzw. Pakete möglich

13 IP-Fragmentierung Nicht-pathologische Fragmentierung I

14 IP-Fragmentierung Nicht-pathologische Fragmentierung II

15 IP-Fragmentierung Forward Overlapping Fragments

16 IP-Fragmentierung Reverse Overlapping Fragments

17 IP-Fragmentierung Extra Fragments

18 IP-Fragmentierung Doubled Fragments

19 Intrusion Detection Systems Rekonstruktionsprobleme II Die Rekonstruktionsprobleme lassen sich in zwei Varianten der Angriffsvertuschung zusammenfassen: n Insertion: Das IDS sieht mehr Daten als das angegriffene System n Evasion: Das IDS sieht weniger Daten als das angegriffene System

20 IDS: Insertion/Deletion Beispiel: IP-Headerfehler / Double Fragments

21 IDS: Insertion/Deletion Beispiel: IP-Headerfehler / Early MF0

22 IDS: Insertion/Deletion Beispiel: TCP-Sequenzfehler

23 IDS: Insertion/Deletion Beispiel: TCP-Handshakefehler

24 Intrusion Detection Systems Lösungsversuche - Rekonstruktion n Check them all - Strategie l Problem: Rechenaufwand l Problem: Speicherbedarf n Check known - Strategie l Problem: Genaues Zielsystemverhalten muß bekannt sein. n Score them - Strategie l Problem: „Weiche“ Definition Trade-Offs:

25 Intrusion Detection Systems Ziele der Gegenmaßnahmen n Kappen bestehender Verbindungen n Verhinderung zukünftiger Verbindungen l komplette Blockade bestimmter IP-Subnetze l Blockade bestimmter IP-Nummern l Blockade bestimmter Dienste/Ports l Blockade bestimmter Ports von bestimmten IP-Nummern n Deaktivierung einzelner Dienste

26 Gegenmaßnahmen Probleme - Lösungen? n Ermittlung des Ursprungssystems l Lokales System? l Ist die Ermittlung sicher? n Ermittlung des Zielsystems l Existiert das Zielsystem? l Wird es von den Angriffen erreicht? n Auswahl der Gegenmaßnahmen l Trifft die Gegenmaßnahme nur das Ursprungssystem? l Behindert die Gegenmaßnahme den regulären Betrieb?

27 Intrusion Detection Systems Der Versuch eines Vergleichstests Dies ist nur eine Auswahl aus den Tests. Die vollständigen Tests siehe [1] oder

28 Intrusion Detection Systems Nicht behandelte Themen n Denial of Service - Attacks (größtenteils) l Aus Sicht des Angreifers leichter durchzuführen l Aus Sicht des IDS ist der Ursprung meist schwerer zu erkennen n Angriffe aus dem lokalen Netz l Für den Angreifer meist wesentlich schwerer zu erreichen l Aus Sicht des IDS häufig leichter zu erkennen (Ethernet HW Addresses) n externe Problemumgehung - nur Angriffe aus externem Netz l IP Fragment - Reassemblierung im Firewall l TCP - Reordering im Firewall

29 Intrusion Detection Systems Literaturhinweise I n "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection",http://www.nai.com/services/support/whitepapers/security/I DSpaper.pdf, Thomas H. Ptacek & Timothy N Newsham Secure Networks Inc., 1/1998 [1] n "INTERNET PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION", RFC 791, "Information Sciences Institute, University of Southern California, 4676 Admiralty Way, Marina del Rey, California 90291", 9/1981 [2] n "TRANSMISSION CONTROL PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION", RFC 793, "Information Sciences Institute, University of Southern California, 4676 Admiralty Way, Marina del Rey, California 90291", [3]

30 Intrusion Detection Systems Literaturhinweise II n "INTERNET CONTROL MESSAGE PROTOCOL", RFC 792, J. Postel, 9/1981 [4] n "USER DATAGRAM PROTOCOL", RFC 768, J.Postel, 8/1980 [5] n "ASSIGNED NUMBERS", RFC 1700, J. Reynolds & J. Postel, 10/1994 [6] n "TCP/IP and IP Addressing", Rhys Haden, 1998 [7] n "Security White Papers", "http://www.nai.com/services/support/whitepapers/security/", Network Associates [8]


Herunterladen ppt "Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche."

Ähnliche Präsentationen


Google-Anzeigen