Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Intrusion Detection System

Veröffentlicht von:Nelly Fertig Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Intrusion Detection System"—  Präsentation transkript:

1 Intrusion Detection System
IDS Intrusion Detection System

2 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Vortragende Vortragende Markus Kobe 7. Semester Informatik Carsten Crantz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

3 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Inhalt Inhalt Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) Common IDS Framework Freeware IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

4 Intrusion Detection System ~ Eindringling-Erkennungs-Automat
IDS – Was ist ein IDS ? Was ist ein IDS ? Intrusion Detection System ~ Eindringling-Erkennungs-Automat Die Tätigkeit eines IDS ist der VERGLEICH von auftretenden Ereignissen mit einem vorher bestimmten Muster  Signatur-Vergleichs-Automat (SCS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

5 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Warum IDS einsetzen ? Warum IDS einsetzen ? Firewalls haben Grenzen Arbeiten präventiv Schutz nach Regeln Unvorsichtige User Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

6 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen IDS-Architekturen Hauptarten: Host IDS (HIDS) Network IDS (NIDS) Hybride Arten Per-Host Network IDS (PHIDS) Load Balanced Network IDS (LBNIDS) Firewall IDS (FWIDS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

7 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - HIDS Host IDS Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner Analysieren Systemkritische Bereiche Protokollieren System- und Benutzeraktivitäten Kann nur auswerten was schon gespeichert ist Wirkt im nachhinein „aus Fehlern lernen“ Erkennung der Einbruchsstrategie Fehlerbehebung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

8 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS Lesen alle im Netz übertragenen Pakete Kontinuierlich , Echtzeit Registrieren Angriffsversuche bereits im Vorfeld Platzierung der IDS-“Sensoren“ abhängig von Interessenlage S-NIDS  AA-IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

9 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (II) VOR der FW Überblick Alle Aktivitäten Stark ausgelastet Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

10 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (III) HINTER der FW Kontrollinstanz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

11 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (IV) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

12 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - Hybride IDS Hybride IDS N+HIDS Per-Host NIDS Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS Load Balanced NIDS Wie PH-IDS aber mit zentralem Lastverteiler Firewall-IDS „Firewall AddOn“ Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

13 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken Analysetechniken Misuse Detection Missbrauchserkennung Signaturerkennung Anomaly Detection Anomalieerkennung Statische Erkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

14 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken – Misuse Detection Misuse Detection Identifikation bekannter Angriffe Bekannte Signaturen Fester Regelsatz Referenzdatenbank Analogie Virenscanner Zustandsautomat zur Mustererkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

15 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken – Anomaly Detection Anomaly Detection Voraussage der Folgen eines Angriffs Erlernter Regelsatz Normalzustand definieren Systemintegrität muss gesichert sein Quantitative Analyse Statische Messungen Neuronale Netze Aktion  erwartete Folgeaktion / Anomalie = Alarm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

16 Anforderungen an IDS (I)
IDS – Anforderungen an IDS Anforderungen an IDS (I) Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein Nur eine speziell gesicherte IDS-Umgebung, die Angriffe gegen sich selbst erschwert einen Ausfall der eigenen Funktionalität meldet ermöglicht einen effektiven Einsatz Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

17 Anforderungen an IDS (II)
IDS – Anforderungen an IDS Anforderungen an IDS (II) Abstimmung auf menschliche Eingriffe, d.h.: Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

18 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (I) Allgemein: Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

19 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (II) NIDS Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann Performanceaspekte stellen häufig eine Schwachstelle dar Netzverkehr (Pakete / Sekunde) TCP-Verbindungen Langzeitverhalten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

20 Schwächen von IDS (III)
IDS – Schwächen von IDS Schwächen von IDS (III) NIDS Häufig Probleme mit bestimmten Angriffsmethoden Fragmentation Avoiding defaults (Coordinated) slow scans HIDS Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

21 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (IV) Signaturerkennung: Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten hohe Abhängigkeit von der Aktualität der Signatur-DB Statistische Verfahren: Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

22 Weiterführende Ansätze
IDS – Weiterführende Ansätze Weiterführende Ansätze Honey Pots Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird. Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu sammeln Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

23 Common IDS Framework (I)
IDS – Common IDS Framework Common IDS Framework (I) Ziel: allgemeingültige Architektur für IDS zu definieren Zusammenarbeit verschiedener Hersteller Schwerpunkt Spezifikation einer Sprache Einheitliches Übertragungsprotokoll Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

24 Common IDS Framework (II)
IDS – Common IDS Framework Common IDS Framework (II) Rohdaten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

25 Common IDS Framework (III)
IDS – Common IDS Framework Common IDS Framework (III) Event-Generator Einheitliches Format Monitormodule Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

26 Common IDS Framework (IV)
IDS – Common IDS Framework Common IDS Framework (IV) Analyser Auswerung Kontext Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

27 Common IDS Framework (V)
IDS – Common IDS Framework Common IDS Framework (V) Database Kontext Nicht Referenz- datenbank bekannter Einbrüche Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

28 Common IDS Framework (V)
IDS – Common IDS Framework Common IDS Framework (V) Aktionskomponente Alarm FW Modifikation Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

29 Freeware IDS - Tripwire (I)
IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (I) Hostbasiertes IDS Grundsätzliche Funktionsweise Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum) Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

30 Freeware IDS - Tripwire (II)
IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (II) Policy-File Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können Es können Variablen für bestimmte Prüfkombinationen definiert werden Eine Gewichtung von Regelverletzungen ist möglich Es können Adressen für die Benachrichtigung bei Regelverstößen angegeben werden Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

31 Freeware IDS - Snort (I)
IDS - Freeware IDS - Snort Freeware IDS - Snort (I) Netzwerkbasiertes IDS (Unix/Linux , Windows) Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete: Protokoll Ziel- / Absendeadresse Source- / Destinationport TCP-Flags Größe Knapp 1000 fertige Regeln sind verfügbar Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

32 Freeware IDS - Snort (II)
IDS - Freeware IDS - Snort Freeware IDS - Snort (II) Weitere Features Portscan-Präprozessor überwacht die Anzahl der Verbindungen von einer IP-Adresse erkennt typische Stealth-Scan-Pakete SPADE - Plugin für statistische Analysen meldet Abweichungen von der typischen Verteilung des Netzverkehrs arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

33 Freeware IDS - Snort (III)
IDS - Freeware IDS - Snort Freeware IDS - Snort (III) Weitere Features (Forts.) Flexible-Response-Modul (Alpha-Version) Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen Das Auslösen der Regel führt zum Beenden der Verbindung Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

34 Freeware IDS - Snort (IV)
IDS – Freeware IDS - Snort Freeware IDS - Snort (IV) Reporting Tools (Freeware) SnortSnarf (Silicon Defense) erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten ACID (CERT) besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

35 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Fragen Fragen ? rzpc1/18.415 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

36 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (I) [ct1] Elisabeth Bauer Buchkritik: Intrusion Detection System c´t 15/02, Seite 206 [ct2] Oliver Diedrich Stolperdraht c´t 11/02, Seite 198 [ct3] Jürgen Schmidt, Martin Freiss Einbrecheralarm c´t 8/01, Seite 212 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

37 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (II) [ct4] Patrick Brauch Distributed Denial of Service – verteilte Angriffe c´t 25/00, Seite 256 [ct5] Bernd Rudack Intrusion Detection Systeme im Test c´t 3/99, Seite 190 [ct6] Bernd Rudack Alarmanlagen fürs Netz c´t 3/99, Seite 186 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

38 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (III)  [www1] [www2]  [www3] Produkt_eTrust_Intrusion_Detection_ php3 [www4] channels/channel39/ htm [www5] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

39 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (IV) [www6] intrusion_detection_systems_0201_draft.pdf [www7] hrzblatt/hrz159/ids.html [www8] private/support/howto/ids/ids1.html [www9] themes.phtml?ttid=1&tdid=572 [www10] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Herunterladen ppt "Intrusion Detection System"

Ähnliche Präsentationen

Einer der Dienste im Internet

Einer der Dienste im Internet
V - Modell Anwendung auf große Projekte

V - Modell Anwendung auf große Projekte
Routing – Routing Protokolle

Routing – Routing Protokolle
Das „Vorgehensmodell“

Das „Vorgehensmodell“
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.

Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.
Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.

Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Die vorgeschlagene adaptive Methode filtriert die TCP/IP Verkehr auf der Basis von dem adaptiven Lernen einer KNN mit Paketen-Headers, die verschiedenen.

Die vorgeschlagene adaptive Methode filtriert die TCP/IP Verkehr auf der Basis von dem adaptiven Lernen einer KNN mit Paketen-Headers, die verschiedenen.
NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.

NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Passwörter.

Passwörter.
Intrusion Detection Sven Diesendorf INF02.

Intrusion Detection Sven Diesendorf INF02.
Microsoft Windows 2000 Terminal Services

Microsoft Windows 2000 Terminal Services
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.
DNS – Domain Name System

DNS – Domain Name System
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Einsatz von XML zur Kontextspeicherung in einem agentenbasierten ubiquitären System Faruk Bagci, Jan Petzold, Wolfgang Trumler und Theo Ungerer Lehrstuhl.

Einsatz von XML zur Kontextspeicherung in einem agentenbasierten ubiquitären System Faruk Bagci, Jan Petzold, Wolfgang Trumler und Theo Ungerer Lehrstuhl.

Ähnliche Präsentationen

Google-Anzeigen