Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Intrusion Detection Systems Kevin Büchele, Michael Schmidt IDS.

Ähnliche Präsentationen


Präsentation zum Thema: "Intrusion Detection Systems Kevin Büchele, Michael Schmidt IDS."—  Präsentation transkript:

1 Intrusion Detection Systems Kevin Büchele, Michael Schmidt IDS

2 Inhalt Einleitung Arten Funktionsweisen Attacken Honeypot

3 Einleitung IDS ist wie eine Alarmanlage überwacht Systemkomponenten greift nicht aktiv ein Intrusion Response System schon aktiv!

4 Anforderungen an ein IDS Gesicherte IDS-Umgebung Echtzeitfähigkeit Reporting-Tool Hohe fachliche Kompetenz bzgl Faktor Mensch

5 Arten der IDS Host-basierende IDS Netz-basierende IDS Hybride IDS Cisco Intrusion Detection System Network Module

6 Host-basierte IDS Überwachung der Auditdaten auf einem Rechner überwachen nur das Gerät auf dem installiert Analyse von Prüfsummen über Systemdateien

7 Vorteile keine Hardware nötig Umfassende Überwachung (auch in verschlüsselter Umgebung)

8 Nachteile Einzelne Installationen erforderlich (hoher Aufwand, hohe Kosten) wirkt negativ auf die Performance

9 Netz-basierende IDS steigende Vernetzung durchs Internet eigenes Gerät im Netzwerk untersucht nur IP-Pakete überwacht alle Rechner in einem Netz

10 Wo im Netzwerk? vor der Firewallhinter der Firewall

11 Vorteile Echtzeit-Überwachung Überwachung von großen Netzwerken mit geringem Aufwand

12 Nachteile Eventuell hoher Netzwerktraffic Inhalte verschlüsselter Daten können nicht erkannt werden Schlecht bei DDoS

13 Hybride IDS verbindet Host- und Netz-basierendes Prinzip Nachteile beider Systeme werden ausgeglichen höhere Abdeckung beide Sensortypen durch Managementeinheit verbunden Hybride Arbeitsweisen weit verbreitet

14 Feedback-Methoden ein lokaler Alarm, wie z. B. ein Pop-Up-Fenster auf der Sicherheitskonsole des Administrators eine Alarmmeldung per Mail, Handy oder Pager wenn die Sicherheitskonsole nicht ständig überwacht wird

15 Gegenmaßnahmen Rekonfiguration der Firewall oder der Router Herunterfahren von Diensten In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden.

16 Interaktion

17 Funktionsweisen des IDS Misuse Detection Anomaly Detection Strict Anomaly Detection

18 Missbrauchserkennung Misuse Detection (Signaturanalyse) Sehr häufig genutztes Verfahren Einfach zu realisieren Identifiziert bekannte Angriffe Abgleich mit einer Referenzdatenbank Mustervergleich positiv? Verletzung der Security-Policy

19 Missbrauchserkennung

20 Mögliche Attacken Speziell geformte Netzwerkpakete Auffallend große/kleine Pakete Ungewöhnliche Protokolle Ungewöhnliche TCP-Flags Zugriffe auf spezielle Ports

21 Nachteil Funktioniert nur bei bekannten Sicherheitsproblemen (also: Muster muss in der Datenbank enthalten sein, erfordert regelmäßige Updates (vergleichbar mit Virenscanner))

22 Anomalieerkennung Auch: statische Analyse Eigens definierter Regelsatz Primitive Arbeitsweise (alles, was nicht nomal ist, ist abnormal => Angriff) Lernphase kurz nach der Installation durch Analyser

23

24 Nachteile False positives Hoher Verwaltungsaufwand (v.a am Anfang)

25 Strict Anomaly Detection Ähnlich der Anomalieeerkennung, jedoch anderes Mustererkennungsverfahren => wie bei Misuse Detection Nur bekannte Systemaktivitäten werden in der Datenbank abgespeichert => weniger Verwaltungsaufwand als bei A.D.

26 Anzeichen von Attacken Systembezogen (CPU-Aktivität, ungewöhnliche Login- Aktivität) Änderungen im Dateisystem (Logfiles, gelöschte Dateien, Änderungen von Rechten) Netzwerkspezifisch (Hoher Traffic (DDOS?), Aktivität zu ungewöhnlichen Zeiten) Attacken

27 Honeypot Einrichtung, die vom eigentlichen Ziel ablenken soll Täuschen Interessante Daten vor Keine bestimmten Dienste Ungeschützt Einflüsse von außen werden als Angriff bewertet Einflüsse können ggf. abgespeichert werden (Datensammlung für ein IDS)

28 Honeypot

29 Quellen Seminararbeit zu: Sicherheit in vernetzten Systemen WS 2002/03 – Universität Hamburg /seminararbeit/8_IDS.pdf Website der Universität Oldenburg – IDS diverse Präsentationen von Vorgängern

30 Vielen Dank für die Aufmerksamkeit


Herunterladen ppt "Intrusion Detection Systems Kevin Büchele, Michael Schmidt IDS."

Ähnliche Präsentationen


Google-Anzeigen