Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2 Vortragende Markus Kobe –7. Semester Informatik Carsten.

Ähnliche Präsentationen


Präsentation zum Thema: "IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2 Vortragende Markus Kobe –7. Semester Informatik Carsten."—  Präsentation transkript:

1 IDS Intrusion Detection System

2 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2 Vortragende Markus Kobe –7. Semester Informatik Carsten Crantz -7. Semester Informatik IDS - Vortragende

3 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 3 Inhalt Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) Common IDS Framework Freeware IDS IDS - Inhalt

4 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 4 Was ist ein IDS ?  Signatur-Vergleichs-Automat (SCS) Die Tätigkeit eines IDS ist der VERGLEICH von auftretenden Ereignissen mit einem vorher bestimmten Muster IDS – Was ist ein IDS ? Intrusion Detection System ~ Eindringling-Erkennungs-Automat

5 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 5 Warum IDS einsetzen ? IDS – Warum IDS einsetzen ? Firewalls haben Grenzen -Arbeiten präventiv -Schutz nach Regeln -Unvorsichtige User Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206]

6 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 6 IDS-Architekturen IDS – IDS-Architekturen Hauptarten: –Host IDS (HIDS) –Network IDS (NIDS) Hybride Arten -Per-Host Network IDS (PHIDS) -Load Balanced Network IDS (LBNIDS) -Firewall IDS (FWIDS)

7 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 7 Host IDS Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner Analysieren Systemkritische Bereiche Protokollieren System- und Benutzeraktivitäten Kann nur auswerten was schon gespeichert ist –Wirkt im nachhinein –„aus Fehlern lernen“ –Erkennung der Einbruchsstrategie –Fehlerbehebung IDS – IDS-Architekturen - HIDS

8 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 8 Network IDS IDS – IDS-Architekturen - NIDS Lesen alle im Netz übertragenen Pakete –Kontinuierlich, Echtzeit Registrieren Angriffsversuche bereits im Vorfeld Platzierung der IDS-“Sensoren“ abhängig von Interessenlage S-NIDS  AA-IDS

9 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 9 Network IDS (II) VOR der FW -Überblick -Alle Aktivitäten -Stark ausgelastet IDS – IDS-Architekturen - NIDS

10 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 10 Network IDS (III) IDS – IDS-Architekturen - NIDS HINTER der FW -Kontrollinstanz

11 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 11 Network IDS (IV) IDS – IDS-Architekturen - NIDS

12 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 12 Hybride IDS N+HIDS Per-Host NIDS –Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS Load Balanced NIDS –Wie PH-IDS aber mit zentralem Lastverteiler Firewall-IDS –„Firewall AddOn“ IDS – IDS-Architekturen - Hybride IDS

13 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 13 Analysetechniken Misuse Detection –Missbrauchserkennung –Signaturerkennung Anomaly Detection –Anomalieerkennung –Statische Erkennung IDS – Analysetechniken

14 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 14 Misuse Detection Identifikation bekannter Angriffe Bekannte Signaturen Fester Regelsatz Referenzdatenbank Analogie Virenscanner –Zustandsautomat zur Mustererkennung IDS – Analysetechniken – Misuse Detection

15 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 15 Anomaly Detection Voraussage der Folgen eines Angriffs Erlernter Regelsatz Normalzustand definieren –Systemintegrität muss gesichert sein Quantitative Analyse Statische Messungen Neuronale Netze Aktion  erwartete Folgeaktion / Anomalie = Alarm IDS – Analysetechniken – Anomaly Detection

16 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 16 Anforderungen an IDS (I) Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein Nur eine speziell gesicherte IDS-Umgebung, die -Angriffe gegen sich selbst erschwert -einen Ausfall der eigenen Funktionalität meldet ermöglicht einen effektiven Einsatz Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich IDS – Anforderungen an IDS

17 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 17 Anforderungen an IDS (II) Abstimmung auf menschliche Eingriffe, d.h.: -Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen -Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein IDS – Anforderungen an IDS

18 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 18 Schwächen von IDS (I) Allgemein: Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen IDS – Schwächen von IDS

19 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 19 Schwächen von IDS (II) NIDS Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann Performanceaspekte stellen häufig eine Schwachstelle dar -Netzverkehr (Pakete / Sekunde) -TCP-Verbindungen -Langzeitverhalten IDS – Schwächen von IDS

20 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 20 Schwächen von IDS (III) NIDS Häufig Probleme mit bestimmten Angriffsmethoden -Fragmentation -Avoiding defaults -(Coordinated) slow scans HIDS Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen IDS – Schwächen von IDS

21 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 21 Schwächen von IDS (IV) Signaturerkennung: Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten hohe Abhängigkeit von der Aktualität der Signatur-DB Statistische Verfahren: Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses IDS – Schwächen von IDS

22 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 22 Weiterführende Ansätze Honey Pots -Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird. -Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu sammeln IDS – Weiterführende Ansätze

23 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 23 Common IDS Framework (I) Ziel: –allgemeingültige Architektur für IDS zu definieren –Zusammenarbeit verschiedener Hersteller Schwerpunkt –Spezifikation einer Sprache –Einheitliches Übertragungsprotokoll IDS – Common IDS Framework

24 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 24 Common IDS Framework (II) Rohdaten IDS – Common IDS Framework

25 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 25 Common IDS Framework (III) Event-Generator –Einheitliches Format –Monitormodule IDS – Common IDS Framework

26 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 26 Common IDS Framework (IV) Analyser –Auswerung –Kontext IDS – Common IDS Framework

27 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 27 Common IDS Framework (V) Database –Kontext –Nicht Referenz- datenbank bekannter Einbrüche IDS – Common IDS Framework

28 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 28 Common IDS Framework (V) Aktionskomponente –Alarm –FW Modifikation IDS – Common IDS Framework

29 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 29 Freeware IDS - Tripwire (I) Hostbasiertes IDS Grundsätzliche Funktionsweise -Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum) -Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen -regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job) IDS - Freeware IDS - Tripwire

30 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 30 Freeware IDS - Tripwire (II) Policy-File -Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software -Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können -Es können Variablen für bestimmte Prüfkombinationen definiert werden -Eine Gewichtung von Regelverletzungen ist möglich -Es können Adressen für die Benachrichtigung bei Regelverstößen angegeben werden IDS - Freeware IDS - Tripwire

31 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 31 Freeware IDS - Snort (I) Netzwerkbasiertes IDS (Unix/Linux, Windows) Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete: -Protokoll -Ziel- / Absendeadresse -Source- / Destinationport -TCP-Flags -Größe Knapp 1000 fertige Regeln sind verfügbar IDS - Freeware IDS - Snort

32 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 32 Freeware IDS - Snort (II) Weitere Features Portscan-Präprozessor -überwacht die Anzahl der Verbindungen von einer IP- Adresse -erkennt typische Stealth-Scan-Pakete SPADE - Plugin für statistische Analysen -meldet Abweichungen von der typischen Verteilung des Netzverkehrs -arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung IDS - Freeware IDS - Snort

33 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 33 Freeware IDS - Snort (III) Weitere Features (Forts.) Flexible-Response-Modul (Alpha-Version) -Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen -Das Auslösen der Regel führt zum Beenden der Verbindung Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP- Streams IDS - Freeware IDS - Snort

34 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 34 Freeware IDS - Snort (IV) Reporting Tools (Freeware) SnortSnarf (Silicon Defense) -erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten ACID (CERT) -besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität IDS – Freeware IDS - Snort

35 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 35 Fragen rzpc1/ IDS – Fragen ?

36 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 36 Literatur (I) [ct1]Elisabeth Bauer Buchkritik: Intrusion Detection System c´t 15/02, Seite 206 [ct2]Oliver Diedrich Stolperdraht c´t 11/02, Seite 198 [ct3]Jürgen Schmidt, Martin Freiss Einbrecheralarm c´t 8/01, Seite 212 IDS – Literatur

37 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 37 Literatur (II) [ct4]Patrick Brauch Distributed Denial of Service – verteilte Angriffe c´t 25/00, Seite 256 [ct5]Bernd Rudack Intrusion Detection Systeme im Test c´t 3/99, Seite 190 [ct6]Bernd Rudack Alarmanlagen fürs Netz c´t 3/99, Seite 186 IDS – Literatur

38 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 38 Literatur (III) [www1]http://www.domhan.de/ids.pdf [www2]http://www.genua.de/produkte/snort/node1_html [www3]http://www.bluemerlin-security.de/ Produkt_eTrust_Intrusion_Detection_ php3 [www4]http://www.informationweek.de/index.php3?/ channels/channel39/ htm [www5]http://www.pandacom.de/security/intrusiondetection.html IDS – Literatur

39 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 39 Literatur (IV) [www6]http://www.netsys.com/library/papers/ intrusion_detection_systems_0201_draft.pdf [www7]http://www.uni-essen.de/hrz/beratung/ hrzblatt/hrz159/ids.html [www8]http://www.suse.de/de/ private/support/howto/ids/ids1.html [www9]http://www.sicherheit-im-internet.de/themes/ themes.phtml?ttid=1&tdid=572 [www10]http://www.bsi.bund.de/literat/studien/ids/doc0000.htm IDS – Literatur


Herunterladen ppt "IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2 Vortragende Markus Kobe –7. Semester Informatik Carsten."

Ähnliche Präsentationen


Google-Anzeigen