Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Intrusion Detection Sven Diesendorf INF02. Übersicht 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau.

Ähnliche Präsentationen


Präsentation zum Thema: "Intrusion Detection Sven Diesendorf INF02. Übersicht 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau."—  Präsentation transkript:

1 Intrusion Detection Sven Diesendorf INF02

2 Übersicht 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau und Funktionsweise von IDS Host Intrusion Detection System Networt Intrusion Detection System Honeypot

3 Übersicht 3 Praxis Einfaches Host Intrusion Detection System Einfaches Network Intrusion Detection System 4 Zusammenfassung

4 1 Einführung Intrusion Was ist Intrusion, wie kann man diese definieren Eine Intrusion ist ein unerlaubter Zugriff auf oder Aktivität in einem Informationssystem Handlungen von Personen Unterscheidung in Angriff, Missbrauch, Anomalie

5 1 Einführung es beginnt alles mit einem Portscan Wer führt den Portscan durch? Wieso wird der Portscan durchgeführt? sind diese Informationen bekannt, kann man unterscheiden zwischen Angriff und Missbrauch

6 1 Einführung Intrusion Detection Drei Kategorien von Intrusion Detection: Angriffs/Einbruchserkennung Missbraucherkennung Anomalieerkennung

7 1 Einführung Angriffs-/Einbruchserkennung Angriffe von Außen erkennen Missbrauchserkennung Angriffe durch Insider erkennen Anomalieerkennung Erkennung von ungewöhnlichen Systemzuständen

8 1 Einführung Firewall und Intrusion Detection System Firewall trennendes Glied zwischen 2 Netzen erlaubt nur bestimmte Informationen auszutauschen ist im OSI-Modell zwischen Schicht 2 und 7 implementiert

9 1 Einführung

10 kann Kommunikation einschränken kann den Verkehr analysieren und einschränken kann Angreifer von innen nicht erkennen Abhilfe durch Intrusion Detection System

11 1 Einführung Intrusion Detection System 2 Arten: Host Intrusion Detection System Network Intrusion Detection System Ziele: bei einem Angriff muss die Unterstützung bei der Reaktion vorhanden sein Fehlertoleranz Geringer Administrationsaufwand und selbstständige Lauffähigkeit Leichte Installation in das vorhandene System

12 1 Einführung Funktionalitäten: Analyse der Rohdaten muss dasselbe Ergebnis bringen mögliche Angriffe und Einbrüche erkennen Rückschluss auf die Rohdaten erlauben Die Alarmierungsschwelle muss konfigurierbar sein Die Speicherung der Daten und des Berichts muss in einem anerkannten Format erfolgen Ein IDS sollte eine automatische Reaktion auf einen Angriff unterstützen

13 2 Technik Aufbau und Funktionsweise Besteht aus drei Hauptkomponenten: Network Engine Agent Management

14 2 Technik Network Engine analysiert Datenpakete in Echtzeit sendet Alarmmeldungen trifft Gegenmaßnahmen besteht aus Netzwerkadapter, Packet Capture, Filter, Angriffsdetektor und Response Modul

15 2 Technik Response Modul Angriffsdetektor Filter Benutzer Packet Capture Kernel-Software Netzwerkadapter Hardware Netzwerk

16 2 Technik Netzwerkadapter der gesamte Verkehr wird aufgenommen und an die Network Engine weiter geleitet Packet Capture Pakete werden für den Transport an die Network Engine organisiert Filter es können Protokolle gefiltert werden

17 2 Technik Angriffsdetektor Untersucht den Datenstrom nach bekannten Angriffsmustern Response Modul Leitet Gegenmaßnahmen ein und alarmiert zuständige Person

18 2 Technik Agent überwacht Systemaktivitäten zusätzliche Überwachung von CPU-Last, log-Dateien, etc. überwacht Benutzer-logons und -logoffs überwacht die Aktivitäten des Administrators überwacht wichtige Dateien gegen Manipulation

19 2 Technik Managementsystem administriert und konfiguriert die Network Engine und den Agenten Kommunikation erfolgt verschlüsselt fängt alle Events von der Network Engine oder von dem Agent erstellt Statistiken für weitere Analysen

20 2 Technik Host Intrusion Detection System HIDS analysiert Daten auf dem lokalen Rechner Daten können Protokolle oder sonstige von Anwendungen erzeugte Daten sein prüfen die Integrität des Systems System Integrity Verify oder File Integrity Assessment

21 2 Technik erkennen Angriffe durch Insider können auch Angriffe von außen erkennen Nachteile: Überwachung bei einer großen Anzahl von Rechnern muss auf jedem Rechner installiert sein dadurch Verwaltung und Administration schwierig

22 2 Technik Erkennbare Angriffe Der bereitgestellte Zugang für externe Personen wurde nicht deaktiviert Alte Konten sind nicht gelöscht Versuch eine Hintertür einzubauen Modifikation kritischer Daten Verwendung von Administrationsrechten von unbekannten Personen Installation von Trojanern

23 2 Technik Technologien kommerzielle Systeme setzen auf mehrere Technologien, Open-Source Lösungen meist auf eine viele Technologien, z.B.: Protokollanalyse – Protokolle von Anwendungen werden ausgewertet Integritätstest – Systemdateien und andere Dateien werden mithilfe von Snapshots geprüft Echtzeitanalyse – Überwachung von Zugriffen auf Systemdateien und andere Dateien

24 2 Technik Network Intrusion Detection System NIDS bezieht seine Daten aus dem Netzwerk einige Systeme untersuchen nur Protokolle Bestens dafür geeignet Angriffe zu erkennen Kann auch Angreifer von innen erkennen Installation und Administration mit deutlich weniger Aufwand verbunden als bei HIDS oft reicht nur ein NIDS-Sensor pro Netzwerk

25 2 Technik Erkennbare Angriffe Denial of Service mit Bufferoverflow Ungültige Pakete Angriffe auf der Applikationsschicht Zugriff auf vertrauliche Daten Angriffe gegen die Firewall oder IDS Distributed Denial of Service Spoofing Angriffe Portscans

26 2 Technik Technologien Verfügt wie HIDS über mehrere Technologien, wie: Signaturerkennung – über eine Datenbank werden Pakete verglichen Protokolldekodierung – der Datenstrom wird normalisiert, gut gegen Angriffe mit Unicode oder ASCII statistische Anomalie-Analyse – durch die Häufigkeit der Fehler als Angriff gewertet heuristische Analyse – mithilfe von Algorithmen wie z.B.: Bayer-Moore

27 2 Technik Honeypot kann aus einem Rechner oder einem Rechnernetzwerk bestehen stellt keine Verteidigung dar sondern als Ablenkung gedacht liefert nützliche Ergebnisse bei der Analyse von Angriffen und Einbrüchen

28 2 Technik Tiny Honeypot entschärfte Variante des Honeypots auf bestimmten Ports werden nur Dienste simuliert meist kleine Perl-Programme Bsp.: wird eine Verbindung mit Port 1433 hergestellt, dann wird diese Verbindung mithilfe der Netfilter- Architektur an den Port weiter geleitet

29 2 Technik Honeypot-Varianten Forschungssystem dienen zum Erkenntnis über das Verhalten der Angreifer sollen neue Angriffe herausfinden Produktionssystem dienen der Sicherheit dienen zur Erkennung und Verfolgung der Angriffe und Einbrüche

30 2 Technik Vorteile und Nachteile Vorteile Datensammlung – Daten sind interessant, da es potentielle Angriffe sein können Ressourcen – Honeypots entlasten den Netwerkverkehr, da viele Angriffe dann auf dem Honeypot stattfinden

31 2 Technik Nachteile Singularität – eine Maschine kann man schlecht im Internet finden erhöhtes Risiko – wurde auf dem Honeypot eingebrochen, können weitere Angriffe gegen das Netzwerk stattfinden

32 2 Technik Honeypot und das Gesetz in Deutschland problematisch da Beihilfe zu einer Straftat unter Strafe steht es werden folgende Gesetze wirksam, wenn ein Honeypot in Betrieb gesetzt wird: StGB §26 Anstiftung StGB §27 Beihilfe

33 3 Praxis Einfaches HIDS die Implementierung eines einfachen HIDS soll das Verzeichnis /etc unter Linux überwacht werden wird mit den Werkzeugen find und less von Linux realisiert ist erweiterbar auf andere Verzeichnisse, z.B.: Eigene Dateien bzw. Persönlicher Ordner

34 3 Praxis Vorgehensweise : der Ist-Zustand des Sytems wird mit Hilfe von find in einem Snapshot gespeichert

35 3 Praxis In der Datei baseline ist nun jeder Dateieintrag (find –type f) des Verzeichnisses /etc mit seiner Inodenummer(-i), den Rechten, dem Besitzer, der Größe und dem Änderungsdatum(-l) abgespeichert dabei ruft der Befehl find für jede gefundene Datei den Befehl ls –ail auf und übergibt ihm den Namen der gefundenen Datei {}

36 3 Praxis Nun kann man mit less den Inhalt von baseline betrachten:

37 3 Praxis

38 Jetzt wird zu den Testzwecken ein neuer Benutzer im System angelegt das Anlegen eines neuen Benutzer modifiziert die Systemdaten und man kann somit eine Veränderung des Systems feststellen geht man davon aus, dass das Anlegen eines neuen Benutzers nicht vorgesehen war, kann man das als ein Angriff bewerten

39 3 Praxis Um zu wissen was nun verändert wurde, kann man in regelmäßigen Abständen mithilfe von diff das System vergleichen und die Änderungen in eine Textdatei abspeichern

40 3 Praxis nach der Prüfung der Systemintegrität, kann man im Verzeichnis /root eine Datei Namens and.txt finden

41 3 Praxis nachdem betrachten der Datei and.txt mit less kann man alle Änderungen seit dem erstellen des Snapshots finden

42 3 Praxis Dieses System leicht austricksbar der Angreifer erzeugt eine Datei, in der die baseline Datei neu abgespeichert wird, wird das vor dem Integritätstest nicht geprüft, findet der Vergleich mit der modifizierten Datei statt zweite Gefahr stellt die Tatsache, dass man Mithilfe von bestimmten Programmen den Inhalt und die Größe der Datei so verändert, dass es nie eine Modifikation an der Datei stattgefunden hätte

43 3 Praxis eine Prüfsumme mittels –exec md5sum zusätzlich erzeugen werden nun enthält die Baseline-Datei für jede Datei zusätzlich einen MD5 Hash

44 3 Praxis nun wird wieder ein neuer Benutzer angelegt und der Integritätstest durchgeführt danach kann man in der Datei and2.txt auch die Prüfsumme der Dateien sehen, diese kann man sowohl in der baseline als auch in der Protokoll-Datei(and2.txt) sehen

45 3 Praxis Fazit sehr einfach keine besonderen Funktionen reicht es aus, um z.B. festzustellen ob jemand an dem Rechner in der Abwesenheit war und ob diese Person irgendwelche Systemdateien oder normale Dateien verändert hat. weiter entwickeltes HIDS ist z.B. LIDS – Linux Intrusion Detection System

46 3 Praxis Einfaches NIDS Tcpdump tcpdump ist in allen Distributionen von Linux vorhanden in diesem Beispiel soll tcpdump die Verbindung über ein Modem überwachen es soll zusätzlich eine log-Datei im libpcap- Format angelegt werden

47 3 Praxis unter der Benutzung des BPF-Filters werden nur bestimmte Pakete gesammelt tcpdump arbeitet automatisch im promiscuous-Mode und bekommt somit alle Pakete vom Netzwerk, auch wenn sie nicht für den Rechner bestimmt waren.

48 3 Praxis Vorgehensweise : Tcpdump ohne log-Datei Man ruft tcpdump mit dem Befehl tcpdump –i ppp0 tcpdump soll mithilfe von –i ppp0 das Modem verwenden.

49 3 Praxis nach dem Aufruf beginnt tcpdump sofort mit der Analyse der Pakete man dann sehen, was vom Rechner zu einem Webserver und zurück geschickt wird

50 3 Praxis 19:15: IP dialin pools.arcor-ip.net > dd6908.kasserver.com.http: P414:758 (344) ack 969 win 8129 es wird nun kurz das Ausgabeformat erläutert: der Zeitstempel erlaubt es die Pakete zeitlich zuzuordnen 19:15:

51 3 Praxis dann werden die Kommunikationspartner angezeigt inklusive ihrer Ports: IP dialin pools.arcor- ip.net > dd6908.kasserver.com.http in diesem Falle Port des Clients: und des Webservers http (80) hier handelt es sich um eine ACK Nummer ack 969

52 3 Praxis damit der Webserver weiß, wie viele Informationen vom Client verarbeitet werden können, übermittelt der Client die Window- Größe win 8129 beim Aufbau der Verbindung werden noch weitere Informationen vom Client übermittelt, diese werden dann als TCP-Optionen übermittelt

53 3 Praxis wenn man tcpdump beendet, wird eine Statistik aufgerufen es wird angezeigt, wie viele Pakete es insgesamt waren wie viele durch den Filter durchgelassen wurden und wie viele durch das Kernel abgewiesen wurden

54 3 Praxis Tcpdump mit einer log-Datei mit dem Befehl –s 100 wird die Anzahl der protokollierenden Bytes eines Pakets festgelegt, mit –w tcpdump.log werden die Pakete in der abgespeichert die Datei wird im libpcap-Format erzeugt und kann somit zusätzlich von snort oder ethereal gelesen werden.

55 3 Praxis die Datei wird mittels tcpdump –X –r tcpdump.log gelesen und die Pakete werden im Hexadezimalen als auch im ASCII Format angezeigt.

56 3 Praxis Einrichtung eines Filters BPF-Filter definieren, welche Pakete gesammelt werden. der Filterausdruck kann aus mehreren Teilen bestehen jeder dieser Teilausdrücke enthält mindestens eine oder drei folgenden Eigenschaften vorangestellt wird. Typ – host, net oder port Richtung – dst, src Protokoll – z.B.: tcp, udp den Filter startet man mit Protokoll, Ziel, Ziel-Port

57 3 Praxis In diesem Beispiel wäre das Protokoll tcp Ziel und der Port 80 (http) und 443 (https) Dieser Filter wird alle zutreffenden Pakete in der Datei server.log abspeichern. Und hier kann man erkennen, dass nur die Anfragen und Antworten vom Client und Webserver abgespeichert wurden.

58 3 Praxis

59 Fazit tcpdump ist ein mächtiges Werkzeug wenn man es richtig einstellt und die vielen Einstellungsmöglichkeiten auch richtig ausnutzt die log-Dateien kann man zum besseren Verständnis am besten mit snort lesen tcpdump eignet sich sowohl für analoge als auch Netzwerkverbindungen und ist somit für jeden nutzbar

60 4 Zusammenfassung ein hochwirksames Mittel für die Erkennung, Analyse und Verhinderung von Einbrüchen in Rechnersystemen und Netzinfrastrukturen. der Einsatz lohnt sich auf jeden Fall, denn mit einem IDS und einer Firewall kann man zwar nicht die 100% Sicherheit schaffen, man kann jedoch den höchsten Sicherheitsgrad schaffen beide Systeme ergänzen sich gut. wo es wirklich überlegt werden muss, ob man lieber ein Open Source IDS verwendet oder doch lieber Geld für ein kommerzielles System ausgibt

61 ENDE

62 Das Skript Intrusion Detection ist unter zu finden.


Herunterladen ppt "Intrusion Detection Sven Diesendorf INF02. Übersicht 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau."

Ähnliche Präsentationen


Google-Anzeigen