Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche.

Veröffentlicht von:Raginwald Stimpert Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche."—  Präsentation transkript:

1 Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche

2 Intrusion Detection Systems n IP-Netzwerke, Paketformate und Kommunikationsablauf n Netzwerkangriffe, verfolgte Ziele und Angriffspunkte n Intrusion Detection l Methodik l Probleme l Lösungsversuche n Reale Systeme - Der Versuch eines Vergleichstests n Literaturhinweise

3 IP-Netzwerke IP-Paketheaderformat IHL:Internet Header Length: Headerlänge in 32bit-Worten DF:Don´t fragment MF:More fragments

4 IP-Netzwerke TCP & UDP Paketheaderformat TCP: UDP:

5 Netzwerkangriffe verfolgte Ziele n Datenzugriff n Dienstzugriff n Sabotage

6 Netzwerkangriffe Angriffspunkte des Netzsystems n Dienstzugriff: l in der Regel verbindungsorientierte l Dienste n Datenzugriff: l ebenso n Sabotage - Diverse Ansätze: l Daten- oder Dienstzugriff s.o. l Flooding l „ping of death“ und ähnliche

7 Intrusion Detection Systems Methodik n Rekonstruktion der Netzwerkdaten n Mustersuche in den rekonstruierten Daten n Auslösung des Alarms n Aufzeichnung des Netzverkehrs n ggf. Aktivierung von Gegenmaßnahmen

8 Intrusion Detection Systems Systemstruktur - Datenfluß

9 Intrusion Detection Systems Problembereiche n Qualitätsmerkmale l Vollständigkeit l Genauigkeit n Rekonstruktion des Netzverkehrs? n Ziele des Gegenmaßnahmen?

10 Intrusion Detection Systems Rekonstruktionsprobleme I n Verbindungsbeginn: l Beginn vor Start des IDS l Vollständigkeit des Handshakes n Verbindungsinhalt l Overlapping Fragments l Mehrfache Pakete n Verbindungsende l Korrektheit des Endes n Allgemein l Checksummenfehler l Sequenznummernfehler

11 Intrusion Detection Systems TCP-Handshakes n Verbindungsaufbau: l System A sendet SYN-Paket mit SEQ-Nummer X und ACK- Nummer Y an System B l System B sendet SYN-Paket mit SEQ-Nummer Y und ACK- Nummer X+1 an System A l System A sendet ACK-Paket mit SEQ-Nummer X+1 und ACK- Nummer Y+1 an System B n Verbindungsabbau I: l Wie Verbindungsaufbau, aber mit FIN- statt mit SYN-Paketen. Das erste FIN-Paket muß eine passende ACK-Nummer haben. n Verbindungsabbau II: l Das beendende System sendet ein RST-Paket mit passender ACK- Nummer an das andere System. Keine Bestätigung.

12 IP-Fragmentierung n IP-Paketfragmentierung, wenn Ursprungspaket zu groß für nächsten Transportabschnitt n Beispiele für maximale Paketgrößen inkl. Header: l Ethernet: 1506Byte l X.25: 1024Byte l ARCNet: <512Byte n Zeitlich ungeordnetes Eintreffen der Fragmente bzw. Pakete möglich

13 IP-Fragmentierung Nicht-pathologische Fragmentierung I

14 IP-Fragmentierung Nicht-pathologische Fragmentierung II

15 IP-Fragmentierung Forward Overlapping Fragments

16 IP-Fragmentierung Reverse Overlapping Fragments

17 IP-Fragmentierung Extra Fragments

18 IP-Fragmentierung Doubled Fragments

19 Intrusion Detection Systems Rekonstruktionsprobleme II Die Rekonstruktionsprobleme lassen sich in zwei Varianten der Angriffsvertuschung zusammenfassen: n Insertion: Das IDS sieht mehr Daten als das angegriffene System n Evasion: Das IDS sieht weniger Daten als das angegriffene System

20 IDS: Insertion/Deletion Beispiel: IP-Headerfehler / Double Fragments

21 IDS: Insertion/Deletion Beispiel: IP-Headerfehler / Early MF0

22 IDS: Insertion/Deletion Beispiel: TCP-Sequenzfehler

23 IDS: Insertion/Deletion Beispiel: TCP-Handshakefehler

24 Intrusion Detection Systems Lösungsversuche - Rekonstruktion n Check them all - Strategie l Problem: Rechenaufwand l Problem: Speicherbedarf n Check known - Strategie l Problem: Genaues Zielsystemverhalten muß bekannt sein. n Score them - Strategie l Problem: „Weiche“ Definition Trade-Offs:

25 Intrusion Detection Systems Ziele der Gegenmaßnahmen n Kappen bestehender Verbindungen n Verhinderung zukünftiger Verbindungen l komplette Blockade bestimmter IP-Subnetze l Blockade bestimmter IP-Nummern l Blockade bestimmter Dienste/Ports l Blockade bestimmter Ports von bestimmten IP-Nummern n Deaktivierung einzelner Dienste

26 Gegenmaßnahmen Probleme - Lösungen? n Ermittlung des Ursprungssystems l Lokales System? l Ist die Ermittlung sicher? n Ermittlung des Zielsystems l Existiert das Zielsystem? l Wird es von den Angriffen erreicht? n Auswahl der Gegenmaßnahmen l Trifft die Gegenmaßnahme nur das Ursprungssystem? l Behindert die Gegenmaßnahme den regulären Betrieb?

27 Intrusion Detection Systems Der Versuch eines Vergleichstests Dies ist nur eine Auswahl aus den Tests. Die vollständigen Tests siehe [1] oder http://www.incase.de/ueberblick.html

28 Intrusion Detection Systems Nicht behandelte Themen n Denial of Service - Attacks (größtenteils) l Aus Sicht des Angreifers leichter durchzuführen l Aus Sicht des IDS ist der Ursprung meist schwerer zu erkennen n Angriffe aus dem lokalen Netz l Für den Angreifer meist wesentlich schwerer zu erreichen l Aus Sicht des IDS häufig leichter zu erkennen (Ethernet HW Addresses) n externe Problemumgehung - nur Angriffe aus externem Netz l IP Fragment - Reassemblierung im Firewall l TCP - Reordering im Firewall

29 Intrusion Detection Systems Literaturhinweise I n "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection",http://www.nai.com/services/support/whitepapers/security/I DSpaper.pdf, Thomas H. Ptacek (tqbf@securenetworks.com) & Timothy N Newsham (newsham@secureetworks.com), Secure Networks Inc., 1/1998 [1] n "INTERNET PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION", RFC 791, "Information Sciences Institute, University of Southern California, 4676 Admiralty Way, Marina del Rey, California 90291", 9/1981 [2] n "TRANSMISSION CONTROL PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION", RFC 793, "Information Sciences Institute, University of Southern California, 4676 Admiralty Way, Marina del Rey, California 90291", 9-1981 [3]

30 Intrusion Detection Systems Literaturhinweise II n "INTERNET CONTROL MESSAGE PROTOCOL", RFC 792, J. Postel, 9/1981 [4] n "USER DATAGRAM PROTOCOL", RFC 768, J.Postel, 8/1980 [5] n "ASSIGNED NUMBERS", RFC 1700, J. Reynolds & J. Postel, 10/1994 [6] n "TCP/IP and IP Addressing", http://www.rware.demon.co.uk/ipadd.htm, Rhys Haden, 1998 [7] n "Security White Papers", "http://www.nai.com/services/support/whitepapers/security/", Network Associates [8]

Herunterladen ppt "Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche."

Ähnliche Präsentationen

On the Use of Passive Network Measurements for Modeling the Internet

On the Use of Passive Network Measurements for Modeling the Internet
2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.

2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.
Das DoD – Schichtenmodell

Das DoD – Schichtenmodell
Tolle Protokolle Frankfurt/Main Presentation by Dipl.-Ing. Ralf Steffler Netcool Certified Consultant 01.09.2006

Tolle Protokolle Frankfurt/Main Presentation by Dipl.-Ing. Ralf Steffler Netcool Certified Consultant
Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 10te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische.

Lehrstuhl für Kommunikationssysteme - Systeme II1 Systeme II – 10te Vorlesung Lehrstuhl für Kommunikationssysteme Institut für Informatik / Technische.
Austausch von Daten bei Computern

Austausch von Daten bei Computern
Architektur von Netzwerken

Architektur von Netzwerken
Framework für ein Intrusion Detection System

Framework für ein Intrusion Detection System
OSI-Schichtenmodell Unterschiedliche Rechner brauchen eine gemeinsame Basis, um sich miteinander zu „unterhalten“. Geklärt werden muss dabei u. a. Folgendes:

OSI-Schichtenmodell Unterschiedliche Rechner brauchen eine gemeinsame Basis, um sich miteinander zu „unterhalten“. Geklärt werden muss dabei u. a. Folgendes:
Denial of Services Attacken

Denial of Services Attacken
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
Einführung in die Netzwerktechnik 1 Der ARP-Prozess

Einführung in die Netzwerktechnik 1 Der ARP-Prozess
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
5 Transmission Control Protocol (TCP)

5 Transmission Control Protocol (TCP)
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Martin MauveUniversität Mannheim1 3.6 User Datagram Protocol (UDP) RFC 768. J. Postel. User Datagram Protocol. 1980. unzuverlässiges Transportprotokoll.

Martin MauveUniversität Mannheim1 3.6 User Datagram Protocol (UDP) RFC 768. J. Postel. User Datagram Protocol unzuverlässiges Transportprotokoll.
14.12.2007Andreas Fink, Fathi El-Khatib, Sebastian Graul Kapitelüberschrift: Die Internetsperre Einleitung: Der Spieler befindet sich an seinem Schreibtisch.

Andreas Fink, Fathi El-Khatib, Sebastian Graul Kapitelüberschrift: Die Internetsperre Einleitung: Der Spieler befindet sich an seinem Schreibtisch.
CCNA2 – Module 11 Access Control Lists

CCNA2 – Module 11 Access Control Lists
Internet-Protokolle 26.01.2010 Tanja Witze.

Internet-Protokolle Tanja Witze.
Intrusion Detection Systems

Intrusion Detection Systems

Ähnliche Präsentationen

Google-Anzeigen