Intrusion Detection System

Slides:



Advertisements
Ähnliche Präsentationen
Einer der Dienste im Internet
Advertisements

V - Modell Anwendung auf große Projekte
Routing – Routing Protokolle
Das „Vorgehensmodell“
für das Schulnetz der BS Roth
Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.
Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.
Systemverwaltung wie es Ihnen gefällt.
Firewalls.
Die vorgeschlagene adaptive Methode filtriert die TCP/IP Verkehr auf der Basis von dem adaptiven Lernen einer KNN mit Paketen-Headers, die verschiedenen.
NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.
Die Firewall Was versteht man unter dem Begriff „Firewall“?
Schwachstellenanalyse in Netzen
Passwörter.
Intrusion Detection Sven Diesendorf INF02.
Microsoft Windows 2000 Terminal Services
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.
DNS – Domain Name System
1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Einsatz von XML zur Kontextspeicherung in einem agentenbasierten ubiquitären System Faruk Bagci, Jan Petzold, Wolfgang Trumler und Theo Ungerer Lehrstuhl.
Framework für ein Intrusion Detection System
Rigi und Web2Rsf vorgestellt von Tobias Weigand. Inhalt Ziel von Web2Rsf und Rigi Vorstellung des Parsers Web2Rsf Vorstellung des Werkzeugs Rigi Analyse.
Denial of Services Attacken
Sicherheit in Rechnernetzen- Denial of Service- Attacken
Hashverfahren und digitale Signaturen
Gliederung Was ist Routing ? Router Routing-Tabelle Routing-Grundsätze
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
M A P K I T Management eines J2EE basierten eCommerce Systems am Beispiel des ATG Dynamo Applikationsservers und BMC Patrol als Managementframework.
CCNA2 – Module 11 Access Control Lists
Vorgehensmodelle: Schwergewichtige Modelle
Intrusion Detection Systems
Lommy® SAFE Individuelles Überwachen von Fahrzeugen und Gütern.
Sicherer Zugang zu internen Terminalservern von öffentlichen PCs
DataMining Von Daten zu Informationen und Wissen
Warum brauche ich ein CMS – Content Management System?
Der modulare Aufbau BusinessNavigator.
Auswirkungen von körperlicher Aktivität
Präsentation von Lukas Sulzer
Präsentiert Management Lösungen Value Added Software GmbH, Carl-Schurz-Str. 7, Neuss
Wasserfallmodell und Einzelbegriffe
secunet Security Networks AG
IKP Uni Bonn Medienpraxis EDV II Internet-Projekt
Warum gibt es Netzwerke?
Norman Security Suite Anwenderfreundlicher Premium-Schutz.
PRO:CONTROL Ziel des Moduls Arbeitspakete
Virtual Private Network
Attack Tool Kit (ATK) Project Marc Ruef Alle Rechte vorbehalten – Kopieren erlaubt.
„Kein Unternehmen besitzt so viel Zeit und Mittel zum Lernen aus eigenen Fehlern” James Harrington.
VLAN als Thema der IHK-Prüfung
->Prinzip ->Systeme ->Peer – to – Peer
Was heißt hacken? Referat von Jasmin Woock Universität zu Köln
Vortrag - Diplomarbeiten (HS I)
Datenbanken im Web 1.
Christos Mavridis ‌ WG13 ‌‌‌ Köln, Update und Patch-Management.
Methoden der Sozialwissenschaften
Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.
Lernen 1. Vorlesung Ralf Der Universität Leipzig Institut für Informatik
Silver Monkey Rollout Center
Universität Zürich Informatikdienste GoKoordinatorenmeeting 27. April SpamAssassin.
Schutz vor Viren und Würmern Von David und Michael.
Christos Mavridis ‌ WG13 ‌‌‌ Köln, Update und Patch-Management.
1 Name des Vortragenden Funktion des Vortragenden Synchronized Security Advanced Threat Protection neu definiert.
IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“
Workflowsysteme und Datenbanksysteme Gliederung Motivation Basis- funktionalitäten Klassifikations- merkmale Referenz-Modell MQ Workflow Zusammenfassung.
Effektives Delta Laden DOAG SID Data Warehouse. Ziele Welche CDC Methoden gibt es? Typische Fallen Verschiedene Lösungsansätze praktische Beispiele.
, Jens Rettig1 Einsatz von Versionsverwaltungstools im ORACLE – Umfeld Dipl.-Inform. Jens Rettig
ICMP Internet Control Message Protocol Michael Ziegler Universität Freiburg Michael Ziegler.
Vortrag von Philip Reetz
Ich brauche eine Web-Seite vom Server im Internet
 Präsentation transkript:

Intrusion Detection System IDS Intrusion Detection System

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS - Vortragende Vortragende Markus Kobe 7. Semester Informatik Carsten Crantz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS - Inhalt Inhalt Was ist ein IDS ? Warum IDS ? IDS-Architekturen Analysetechniken Anforderungen / Grenzen an/von IDS Weitere Maßnahmen (Honypots) Common IDS Framework Freeware IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Intrusion Detection System ~ Eindringling-Erkennungs-Automat IDS – Was ist ein IDS ? Was ist ein IDS ? Intrusion Detection System ~ Eindringling-Erkennungs-Automat Die Tätigkeit eines IDS ist der VERGLEICH von auftretenden Ereignissen mit einem vorher bestimmten Muster  Signatur-Vergleichs-Automat (SCS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Warum IDS einsetzen ? Warum IDS einsetzen ? Firewalls haben Grenzen Arbeiten präventiv Schutz nach Regeln Unvorsichtige User Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206] Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen IDS-Architekturen Hauptarten: Host IDS (HIDS) Network IDS (NIDS) Hybride Arten Per-Host Network IDS (PHIDS) Load Balanced Network IDS (LBNIDS) Firewall IDS (FWIDS) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen - HIDS Host IDS Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner Analysieren Systemkritische Bereiche Protokollieren System- und Benutzeraktivitäten Kann nur auswerten was schon gespeichert ist Wirkt im nachhinein „aus Fehlern lernen“ Erkennung der Einbruchsstrategie Fehlerbehebung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen - NIDS Network IDS Lesen alle im Netz übertragenen Pakete Kontinuierlich , Echtzeit Registrieren Angriffsversuche bereits im Vorfeld Platzierung der IDS-“Sensoren“ abhängig von Interessenlage S-NIDS  AA-IDS Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen - NIDS Network IDS (II) VOR der FW Überblick Alle Aktivitäten Stark ausgelastet Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen - NIDS Network IDS (III) HINTER der FW Kontrollinstanz Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen - NIDS Network IDS (IV) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – IDS-Architekturen - Hybride IDS Hybride IDS N+HIDS Per-Host NIDS Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS Load Balanced NIDS Wie PH-IDS aber mit zentralem Lastverteiler Firewall-IDS „Firewall AddOn“ Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Analysetechniken Analysetechniken Misuse Detection Missbrauchserkennung Signaturerkennung Anomaly Detection Anomalieerkennung Statische Erkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Analysetechniken – Misuse Detection Misuse Detection Identifikation bekannter Angriffe Bekannte Signaturen Fester Regelsatz Referenzdatenbank Analogie Virenscanner Zustandsautomat zur Mustererkennung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Analysetechniken – Anomaly Detection Anomaly Detection Voraussage der Folgen eines Angriffs Erlernter Regelsatz Normalzustand definieren Systemintegrität muss gesichert sein Quantitative Analyse Statische Messungen Neuronale Netze Aktion  erwartete Folgeaktion / Anomalie = Alarm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Anforderungen an IDS (I) IDS – Anforderungen an IDS Anforderungen an IDS (I) Ein ausgereiftes Sicherheitskonzept muss Grundlage jedes IDS sein Nur eine speziell gesicherte IDS-Umgebung, die Angriffe gegen sich selbst erschwert einen Ausfall der eigenen Funktionalität meldet ermöglicht einen effektiven Einsatz Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Anforderungen an IDS (II) IDS – Anforderungen an IDS Anforderungen an IDS (II) Abstimmung auf menschliche Eingriffe, d.h.: Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Schwächen von IDS Schwächen von IDS (I) Allgemein: Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Schwächen von IDS Schwächen von IDS (II) NIDS Uneffektiv in geswitchten Systemen, weil nicht der gesamte Datenverkehr erfasst werden kann Performanceaspekte stellen häufig eine Schwachstelle dar Netzverkehr (Pakete / Sekunde) TCP-Verbindungen Langzeitverhalten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Schwächen von IDS (III) IDS – Schwächen von IDS Schwächen von IDS (III) NIDS Häufig Probleme mit bestimmten Angriffsmethoden Fragmentation Avoiding defaults (Coordinated) slow scans HIDS Uneffektiv bei sich häufig ändernden Daten. Die Folge ist eine Vielzahl von Fehlalarmen Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Schwächen von IDS Schwächen von IDS (IV) Signaturerkennung: Unflexibles Verhalten im Hinblick auf unbekannte Angriffe bzw. Varianten hohe Abhängigkeit von der Aktualität der Signatur-DB Statistische Verfahren: Unerkannte Angriffe in der Einführungsphase sind spätere Schwachstellen Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des Lernprozesses Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Weiterführende Ansätze IDS – Weiterführende Ansätze Weiterführende Ansätze Honey Pots Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird. Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu sammeln Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Common IDS Framework (I) IDS – Common IDS Framework Common IDS Framework (I) Ziel: allgemeingültige Architektur für IDS zu definieren Zusammenarbeit verschiedener Hersteller Schwerpunkt Spezifikation einer Sprache Einheitliches Übertragungsprotokoll Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Common IDS Framework (II) IDS – Common IDS Framework Common IDS Framework (II) Rohdaten Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Common IDS Framework (III) IDS – Common IDS Framework Common IDS Framework (III) Event-Generator Einheitliches Format Monitormodule Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Common IDS Framework (IV) IDS – Common IDS Framework Common IDS Framework (IV) Analyser Auswerung Kontext Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Common IDS Framework (V) IDS – Common IDS Framework Common IDS Framework (V) Database Kontext Nicht Referenz- datenbank bekannter Einbrüche Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Common IDS Framework (V) IDS – Common IDS Framework Common IDS Framework (V) Aktionskomponente Alarm FW Modifikation Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Freeware IDS - Tripwire (I) IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (I) Hostbasiertes IDS Grundsätzliche Funktionsweise Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum) Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job) Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Freeware IDS - Tripwire (II) IDS - Freeware IDS - Tripwire Freeware IDS - Tripwire (II) Policy-File Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können Es können Variablen für bestimmte Prüfkombinationen definiert werden Eine Gewichtung von Regelverletzungen ist möglich Es können E-Mail Adressen für die Benachrichtigung bei Regelverstößen angegeben werden Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Freeware IDS - Snort (I) IDS - Freeware IDS - Snort Freeware IDS - Snort (I) Netzwerkbasiertes IDS (Unix/Linux , Windows) Primäre Basis sind Angriffssignaturen mit den Eigenschaften verdächtiger IP-Pakete: Protokoll Ziel- / Absendeadresse Source- / Destinationport TCP-Flags Größe Knapp 1000 fertige Regeln sind verfügbar Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Freeware IDS - Snort (II) IDS - Freeware IDS - Snort Freeware IDS - Snort (II) Weitere Features Portscan-Präprozessor überwacht die Anzahl der Verbindungen von einer IP-Adresse erkennt typische Stealth-Scan-Pakete SPADE - Plugin für statistische Analysen meldet Abweichungen von der typischen Verteilung des Netzverkehrs arbeitet mit festen Schwellwerte oder einer dynamischen Anpassung Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Freeware IDS - Snort (III) IDS - Freeware IDS - Snort Freeware IDS - Snort (III) Weitere Features (Forts.) Flexible-Response-Modul (Alpha-Version) Ermöglicht Kennzeichnung einzelner Regeln mit Response-Anweisungen Das Auslösen der Regel führt zum Beenden der Verbindung Präprozessoren zum Zusammensetzen fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Freeware IDS - Snort (IV) IDS – Freeware IDS - Snort Freeware IDS - Snort (IV) Reporting Tools (Freeware) SnortSnarf (Silicon Defense) erstellt aus der Protokolldatei untereinander verlinkte HTML-Seiten ACID (CERT) besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Fragen Fragen ? www.markuskobe.de www.crantz.de rzpc1/18.415 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Literatur Literatur (I) [ct1] Elisabeth Bauer Buchkritik: Intrusion Detection System c´t 15/02, Seite 206   [ct2] Oliver Diedrich Stolperdraht c´t 11/02, Seite 198 [ct3] Jürgen Schmidt, Martin Freiss Einbrecheralarm c´t 8/01, Seite 212 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Literatur Literatur (II) [ct4] Patrick Brauch Distributed Denial of Service – verteilte Angriffe c´t 25/00, Seite 256   [ct5] Bernd Rudack Intrusion Detection Systeme im Test c´t 3/99, Seite 190 [ct6] Bernd Rudack Alarmanlagen fürs Netz c´t 3/99, Seite 186 Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Literatur Literatur (III)  [www1] http://www.domhan.de/ids.pdf   [www2] http://www.genua.de/produkte/snort/node1_html  [www3] http://www.bluemerlin-security.de/ Produkt_eTrust_Intrusion_Detection_010402.php3 [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm [www5] http://www.pandacom.de/security/intrusiondetection.html Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz IDS – Literatur Literatur (IV) [www6] http://www.netsys.com/library/papers/ intrusion_detection_systems_0201_draft.pdf   [www7] http://www.uni-essen.de/hrz/beratung/ hrzblatt/hrz159/ids.html [www8] http://www.suse.de/de/ private/support/howto/ids/ids1.html [www9] http://www.sicherheit-im-internet.de/themes/ themes.phtml?ttid=1&tdid=572 [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.