Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Intrusion Detection System
IDS Intrusion Detection System
2
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Vortragende Vortragende Markus Kobe 7. Semester Informatik Carsten Crantz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
3
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS - Inhalt Inhalt Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) Common IDS Framework Freeware IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
4
Intrusion Detection System ~ Eindringling-Erkennungs-Automat
IDS – Was ist ein IDS ? Was ist ein IDS ? Intrusion Detection System ~ Eindringling-Erkennungs-Automat Die Tätigkeit eines IDS ist der VERGLEICH von auftretenden Ereignissen mit einem vorher bestimmten Muster Signatur-Vergleichs-Automat (SCS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
5
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Warum IDS einsetzen ? Warum IDS einsetzen ? Firewalls haben Grenzen Arbeiten präventiv Schutz nach Regeln Unvorsichtige User Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
6
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen IDS-Architekturen Hauptarten: Host IDS (HIDS) Network IDS (NIDS) Hybride Arten Per-Host Network IDS (PHIDS) Load Balanced Network IDS (LBNIDS) Firewall IDS (FWIDS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
7
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - HIDS Host IDS Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner Analysieren Systemkritische Bereiche Protokollieren System- und Benutzeraktivitäten Kann nur auswerten was schon gespeichert ist Wirkt im nachhinein „aus Fehlern lernen“ Erkennung der Einbruchsstrategie Fehlerbehebung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
8
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS Lesen alle im Netz übertragenen Pakete Kontinuierlich , Echtzeit Registrieren Angriffsversuche bereits im Vorfeld Platzierung der IDS-“Sensoren“ abhängig von Interessenlage S-NIDS AA-IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
9
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (II) VOR der FW Überblick Alle Aktivitäten Stark ausgelastet Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
10
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (III) HINTER der FW Kontrollinstanz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
11
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - NIDS Network IDS (IV) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
12
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – IDS-Architekturen - Hybride IDS Hybride IDS N+HIDS Per-Host NIDS Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS Load Balanced NIDS Wie PH-IDS aber mit zentralem Lastverteiler Firewall-IDS „Firewall AddOn“ Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
13
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken Analysetechniken Misuse Detection Missbrauchserkennung Signaturerkennung Anomaly Detection Anomalieerkennung Statische Erkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
14
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken – Misuse Detection Misuse Detection Identifikation bekannter Angriffe Bekannte Signaturen Fester Regelsatz Referenzdatenbank Analogie Virenscanner Zustandsautomat zur Mustererkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
15
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Analysetechniken – Anomaly Detection Anomaly Detection Voraussage der Folgen eines Angriffs Erlernter Regelsatz Normalzustand definieren Systemintegrität muss gesichert sein Quantitative Analyse Statische Messungen Neuronale Netze Aktion erwartete Folgeaktion / Anomalie = Alarm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
16
Anforderungen an IDS (I)
IDS – Anforderungen an IDS Anforderungen an IDS (I) Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein Nur eine speziell gesicherte IDS-Umgebung, die Angriffe gegen sich selbst erschwert einen Ausfall der eigenen Funktionalität meldet ermöglicht einen effektiven Einsatz Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
17
Anforderungen an IDS (II)
IDS – Anforderungen an IDS Anforderungen an IDS (II) Abstimmung auf menschliche Eingriffe, d.h.: Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
18
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (I) Allgemein: Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
19
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (II) NIDS Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann Performanceaspekte stellen häufig eine Schwachstelle dar Netzverkehr (Pakete / Sekunde) TCP-Verbindungen Langzeitverhalten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
20
Schwächen von IDS (III)
IDS – Schwächen von IDS Schwächen von IDS (III) NIDS Häufig Probleme mit bestimmten Angriffsmethoden Fragmentation Avoiding defaults (Coordinated) slow scans HIDS Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
21
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Schwächen von IDS Schwächen von IDS (IV) Signaturerkennung: Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten hohe Abhängigkeit von der Aktualität der Signatur-DB Statistische Verfahren: Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
22
Weiterführende Ansätze
IDS – Weiterführende Ansätze Weiterführende Ansätze Honey Pots Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird. Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu sammeln Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
23
Common IDS Framework (I)
IDS – Common IDS Framework Common IDS Framework (I) Ziel: allgemeingültige Architektur für IDS zu definieren Zusammenarbeit verschiedener Hersteller Schwerpunkt Spezifikation einer Sprache Einheitliches Übertragungsprotokoll Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
24
Common IDS Framework (II)
IDS – Common IDS Framework Common IDS Framework (II) Rohdaten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
25
Common IDS Framework (III)
IDS – Common IDS Framework Common IDS Framework (III) Event-Generator Einheitliches Format Monitormodule Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
26
Common IDS Framework (IV)
IDS – Common IDS Framework Common IDS Framework (IV) Analyser Auswerung Kontext Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
27
Common IDS Framework (V)
IDS – Common IDS Framework Common IDS Framework (V) Database Kontext Nicht Referenz- datenbank bekannter Einbrüche Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
28
Common IDS Framework (V)
IDS – Common IDS Framework Common IDS Framework (V) Aktionskomponente Alarm FW Modifikation Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
29
Freeware IDS - Tripwire (I)
IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (I) Hostbasiertes IDS Grundsätzliche Funktionsweise Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum) Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
30
Freeware IDS - Tripwire (II)
IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (II) Policy-File Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können Es können Variablen für bestimmte Prüfkombinationen definiert werden Eine Gewichtung von Regelverletzungen ist möglich Es können Adressen für die Benachrichtigung bei Regelverstößen angegeben werden Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
31
Freeware IDS - Snort (I)
IDS - Freeware IDS - Snort Freeware IDS - Snort (I) Netzwerkbasiertes IDS (Unix/Linux , Windows) Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete: Protokoll Ziel- / Absendeadresse Source- / Destinationport TCP-Flags Größe Knapp 1000 fertige Regeln sind verfügbar Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
32
Freeware IDS - Snort (II)
IDS - Freeware IDS - Snort Freeware IDS - Snort (II) Weitere Features Portscan-Präprozessor überwacht die Anzahl der Verbindungen von einer IP-Adresse erkennt typische Stealth-Scan-Pakete SPADE - Plugin für statistische Analysen meldet Abweichungen von der typischen Verteilung des Netzverkehrs arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
33
Freeware IDS - Snort (III)
IDS - Freeware IDS - Snort Freeware IDS - Snort (III) Weitere Features (Forts.) Flexible-Response-Modul (Alpha-Version) Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen Das Auslösen der Regel führt zum Beenden der Verbindung Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
34
Freeware IDS - Snort (IV)
IDS – Freeware IDS - Snort Freeware IDS - Snort (IV) Reporting Tools (Freeware) SnortSnarf (Silicon Defense) erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten ACID (CERT) besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
35
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Fragen Fragen ? rzpc1/18.415 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
36
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (I) [ct1] Elisabeth Bauer Buchkritik: Intrusion Detection System c´t 15/02, Seite 206 [ct2] Oliver Diedrich Stolperdraht c´t 11/02, Seite 198 [ct3] Jürgen Schmidt, Martin Freiss Einbrecheralarm c´t 8/01, Seite 212 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
37
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (II) [ct4] Patrick Brauch Distributed Denial of Service – verteilte Angriffe c´t 25/00, Seite 256 [ct5] Bernd Rudack Intrusion Detection Systeme im Test c´t 3/99, Seite 190 [ct6] Bernd Rudack Alarmanlagen fürs Netz c´t 3/99, Seite 186 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
38
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (III) [www1] [www2] [www3] Produkt_eTrust_Intrusion_Detection_ php3 [www4] channels/channel39/ htm [www5] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
39
Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
IDS – Literatur Literatur (IV) [www6] intrusion_detection_systems_0201_draft.pdf [www7] hrzblatt/hrz159/ids.html [www8] private/support/howto/ids/ids1.html [www9] themes.phtml?ttid=1&tdid=572 [www10] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.