Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche

Intrusion Detection Systems n IP-Netzwerke, Paketformate und Kommunikationsablauf n Netzwerkangriffe, verfolgte Ziele und Angriffspunkte n Intrusion Detection l Methodik l Probleme l Lösungsversuche n Reale Systeme - Der Versuch eines Vergleichstests n Literaturhinweise

IP-Netzwerke IP-Paketheaderformat IHL:Internet Header Length: Headerlänge in 32bit-Worten DF:Don´t fragment MF:More fragments

IP-Netzwerke TCP & UDP Paketheaderformat TCP: UDP:

Netzwerkangriffe verfolgte Ziele n Datenzugriff n Dienstzugriff n Sabotage

Netzwerkangriffe Angriffspunkte des Netzsystems n Dienstzugriff: l in der Regel verbindungsorientierte l Dienste n Datenzugriff: l ebenso n Sabotage - Diverse Ansätze: l Daten- oder Dienstzugriff s.o. l Flooding l „ping of death“ und ähnliche

Intrusion Detection Systems Methodik n Rekonstruktion der Netzwerkdaten n Mustersuche in den rekonstruierten Daten n Auslösung des Alarms n Aufzeichnung des Netzverkehrs n ggf. Aktivierung von Gegenmaßnahmen

Intrusion Detection Systems Systemstruktur - Datenfluß

Intrusion Detection Systems Problembereiche n Qualitätsmerkmale l Vollständigkeit l Genauigkeit n Rekonstruktion des Netzverkehrs? n Ziele des Gegenmaßnahmen?

Intrusion Detection Systems Rekonstruktionsprobleme I n Verbindungsbeginn: l Beginn vor Start des IDS l Vollständigkeit des Handshakes n Verbindungsinhalt l Overlapping Fragments l Mehrfache Pakete n Verbindungsende l Korrektheit des Endes n Allgemein l Checksummenfehler l Sequenznummernfehler

Intrusion Detection Systems TCP-Handshakes n Verbindungsaufbau: l System A sendet SYN-Paket mit SEQ-Nummer X und ACK- Nummer Y an System B l System B sendet SYN-Paket mit SEQ-Nummer Y und ACK- Nummer X+1 an System A l System A sendet ACK-Paket mit SEQ-Nummer X+1 und ACK- Nummer Y+1 an System B n Verbindungsabbau I: l Wie Verbindungsaufbau, aber mit FIN- statt mit SYN-Paketen. Das erste FIN-Paket muß eine passende ACK-Nummer haben. n Verbindungsabbau II: l Das beendende System sendet ein RST-Paket mit passender ACK- Nummer an das andere System. Keine Bestätigung.

IP-Fragmentierung n IP-Paketfragmentierung, wenn Ursprungspaket zu groß für nächsten Transportabschnitt n Beispiele für maximale Paketgrößen inkl. Header: l Ethernet: 1506Byte l X.25: 1024Byte l ARCNet: <512Byte n Zeitlich ungeordnetes Eintreffen der Fragmente bzw. Pakete möglich

IP-Fragmentierung Nicht-pathologische Fragmentierung I

IP-Fragmentierung Nicht-pathologische Fragmentierung II

IP-Fragmentierung Forward Overlapping Fragments

IP-Fragmentierung Reverse Overlapping Fragments

IP-Fragmentierung Extra Fragments

IP-Fragmentierung Doubled Fragments

Intrusion Detection Systems Rekonstruktionsprobleme II Die Rekonstruktionsprobleme lassen sich in zwei Varianten der Angriffsvertuschung zusammenfassen: n Insertion: Das IDS sieht mehr Daten als das angegriffene System n Evasion: Das IDS sieht weniger Daten als das angegriffene System

IDS: Insertion/Deletion Beispiel: IP-Headerfehler / Double Fragments

IDS: Insertion/Deletion Beispiel: IP-Headerfehler / Early MF0

IDS: Insertion/Deletion Beispiel: TCP-Sequenzfehler

IDS: Insertion/Deletion Beispiel: TCP-Handshakefehler

Intrusion Detection Systems Lösungsversuche - Rekonstruktion n Check them all - Strategie l Problem: Rechenaufwand l Problem: Speicherbedarf n Check known - Strategie l Problem: Genaues Zielsystemverhalten muß bekannt sein. n Score them - Strategie l Problem: „Weiche“ Definition Trade-Offs:

Intrusion Detection Systems Ziele der Gegenmaßnahmen n Kappen bestehender Verbindungen n Verhinderung zukünftiger Verbindungen l komplette Blockade bestimmter IP-Subnetze l Blockade bestimmter IP-Nummern l Blockade bestimmter Dienste/Ports l Blockade bestimmter Ports von bestimmten IP-Nummern n Deaktivierung einzelner Dienste

Gegenmaßnahmen Probleme - Lösungen? n Ermittlung des Ursprungssystems l Lokales System? l Ist die Ermittlung sicher? n Ermittlung des Zielsystems l Existiert das Zielsystem? l Wird es von den Angriffen erreicht? n Auswahl der Gegenmaßnahmen l Trifft die Gegenmaßnahme nur das Ursprungssystem? l Behindert die Gegenmaßnahme den regulären Betrieb?

Intrusion Detection Systems Der Versuch eines Vergleichstests Dies ist nur eine Auswahl aus den Tests. Die vollständigen Tests siehe [1] oder

Intrusion Detection Systems Nicht behandelte Themen n Denial of Service - Attacks (größtenteils) l Aus Sicht des Angreifers leichter durchzuführen l Aus Sicht des IDS ist der Ursprung meist schwerer zu erkennen n Angriffe aus dem lokalen Netz l Für den Angreifer meist wesentlich schwerer zu erreichen l Aus Sicht des IDS häufig leichter zu erkennen (Ethernet HW Addresses) n externe Problemumgehung - nur Angriffe aus externem Netz l IP Fragment - Reassemblierung im Firewall l TCP - Reordering im Firewall

Intrusion Detection Systems Literaturhinweise I n "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", DSpaper.pdf, Thomas H. Ptacek & Timothy N Newsham Secure Networks Inc., 1/1998 [1] n "INTERNET PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION", RFC 791, "Information Sciences Institute, University of Southern California, 4676 Admiralty Way, Marina del Rey, California 90291", 9/1981 [2] n "TRANSMISSION CONTROL PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION", RFC 793, "Information Sciences Institute, University of Southern California, 4676 Admiralty Way, Marina del Rey, California 90291", [3]

Intrusion Detection Systems Literaturhinweise II n "INTERNET CONTROL MESSAGE PROTOCOL", RFC 792, J. Postel, 9/1981 [4] n "USER DATAGRAM PROTOCOL", RFC 768, J.Postel, 8/1980 [5] n "ASSIGNED NUMBERS", RFC 1700, J. Reynolds & J. Postel, 10/1994 [6] n "TCP/IP and IP Addressing", Rhys Haden, 1998 [7] n "Security White Papers", " Network Associates [8]