Intrusion Detection Systems IDS Kevin Büchele, Michael Schmidt
Inhalt Einleitung Arten Funktionsweisen Attacken Honeypot
Einleitung IDS ist wie eine Alarmanlage überwacht Systemkomponenten greift nicht aktiv ein Intrusion Response System schon aktiv!
Anforderungen an ein IDS Gesicherte IDS-Umgebung Echtzeitfähigkeit Reporting-Tool Hohe fachliche Kompetenz bzgl Faktor Mensch 4
Arten der IDS Host-basierende IDS Netz-basierende IDS Hybride IDS Cisco Intrusion Detection System Network Module
Host-basierte IDS Überwachung der Auditdaten auf einem Rechner überwachen nur das Gerät auf dem installiert Analyse von Prüfsummen über Systemdateien
Vorteile keine Hardware nötig Umfassende Überwachung (auch in verschlüsselter Umgebung)
Nachteile Einzelne Installationen erforderlich (hoher Aufwand, hohe Kosten) wirkt negativ auf die Performance
Netz-basierende IDS steigende Vernetzung durchs Internet eigenes Gerät im Netzwerk untersucht nur IP-Pakete überwacht alle Rechner in einem Netz
Wo im Netzwerk? vor der Firewall hinter der Firewall
Vorteile Echtzeit-Überwachung Überwachung von großen Netzwerken mit geringem Aufwand
Nachteile Eventuell hoher Netzwerktraffic Inhalte verschlüsselter Daten können nicht erkannt werden Schlecht bei DDoS
Hybride IDS verbindet Host- und Netz-basierendes Prinzip Nachteile beider Systeme werden ausgeglichen höhere Abdeckung beide Sensortypen durch Managementeinheit verbunden Hybride Arbeitsweisen weit verbreitet
Feedback-Methoden ein lokaler Alarm, wie z. B. ein Pop-Up-Fenster auf der Sicherheitskonsole des Administrators eine Alarmmeldung per Mail, Handy oder Pager wenn die Sicherheitskonsole nicht ständig überwacht wird
Gegenmaßnahmen Rekonfiguration der Firewall oder der Router Herunterfahren von Diensten In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden.
Interaktion
Funktionsweisen des IDS Misuse Detection Anomaly Detection Strict Anomaly Detection
Missbrauchserkennung Misuse Detection (Signaturanalyse) Sehr häufig genutztes Verfahren Einfach zu realisieren Identifiziert bekannte Angriffe Abgleich mit einer Referenzdatenbank Mustervergleich positiv? Verletzung der Security-Policy
Missbrauchserkennung
Mögliche Attacken Speziell geformte Netzwerkpakete Auffallend große/kleine Pakete Ungewöhnliche Protokolle Ungewöhnliche TCP-Flags Zugriffe auf spezielle Ports
Nachteil Funktioniert nur bei bekannten Sicherheitsproblemen (also: Muster muss in der Datenbank enthalten sein, erfordert regelmäßige Updates (vergleichbar mit Virenscanner))
Anomalieerkennung Auch: statische Analyse Eigens definierter Regelsatz Primitive Arbeitsweise (alles, was nicht nomal ist, ist abnormal => Angriff) Lernphase kurz nach der Installation durch Analyser
Nachteile False positives Hoher Verwaltungsaufwand (v.a am Anfang)
Strict Anomaly Detection Ähnlich der Anomalieeerkennung, jedoch anderes Mustererkennungsverfahren => wie bei Misuse Detection Nur bekannte Systemaktivitäten werden in der Datenbank abgespeichert => weniger Verwaltungsaufwand als bei A.D.
Attacken Anzeichen von Attacken Systembezogen (CPU-Aktivität, ungewöhnliche Login- Aktivität) Änderungen im Dateisystem (Logfiles, gelöschte Dateien, Änderungen von Rechten) Netzwerkspezifisch (Hoher Traffic (DDOS?), Aktivität zu ungewöhnlichen Zeiten)
Honeypot Einrichtung, die vom eigentlichen Ziel ablenken soll Täuschen Interessante Daten vor Keine bestimmten Dienste Ungeschützt Einflüsse von außen werden als Angriff bewertet Einflüsse können ggf. abgespeichert werden (Datensammlung für ein IDS)
Honeypot
Quellen Seminararbeit zu: Sicherheit in vernetzten Systemen WS 2002/03 – Universität Hamburg http://www.informatik.uni-hamburg.de/RZ/lehre/ 18.415/seminararbeit/8_IDS.pdf Website der Universität Oldenburg – IDS http://einstein.informatik.uni-oldenburg.de/23653.html diverse Präsentationen von Vorgängern
Vielen Dank für die Aufmerksamkeit