Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Reto Stoffregen Geändert vor über 11 Jahren
1
Intrusion Detection Sven Diesendorf INF02
2
Übersicht 1 Einführung 2 Technik Intrusion Intrusion Detection
Firewall und Intrusion Detection System 2 Technik Aufbau und Funktionsweise von IDS Host Intrusion Detection System Networt Intrusion Detection System Honeypot
3
Übersicht 3 Praxis 4 Zusammenfassung
Einfaches Host Intrusion Detection System Einfaches Network Intrusion Detection System 4 Zusammenfassung
4
1 Einführung Intrusion Was ist Intrusion, wie kann man diese definieren „Eine Intrusion ist ein unerlaubter Zugriff auf oder Aktivität in einem Informationssystem“ Handlungen von Personen Unterscheidung in Angriff, Missbrauch, Anomalie
5
1 Einführung es beginnt alles mit einem Portscan
Wer führt den Portscan durch? Wieso wird der Portscan durchgeführt? sind diese Informationen bekannt, kann man unterscheiden zwischen Angriff und Missbrauch
6
1 Einführung Intrusion Detection
Drei Kategorien von Intrusion Detection: Angriffs/Einbruchserkennung Missbraucherkennung Anomalieerkennung
7
1 Einführung Angriffs-/Einbruchserkennung Missbrauchserkennung
Angriffe von Außen erkennen Missbrauchserkennung Angriffe durch Insider erkennen Anomalieerkennung Erkennung von ungewöhnlichen Systemzuständen
8
1 Einführung Firewall und Intrusion Detection System Firewall
trennendes Glied zwischen 2 Netzen erlaubt nur bestimmte Informationen auszutauschen ist im OSI-Modell zwischen Schicht 2 und 7 implementiert
9
1 Einführung
10
1 Einführung kann Kommunikation einschränken
kann den Verkehr analysieren und einschränken kann Angreifer von innen nicht erkennen Abhilfe durch Intrusion Detection System
11
1 Einführung Intrusion Detection System 2 Arten: Ziele:
Host Intrusion Detection System Network Intrusion Detection System Ziele: bei einem Angriff muss die Unterstützung bei der Reaktion vorhanden sein Fehlertoleranz Geringer Administrationsaufwand und selbstständige Lauffähigkeit Leichte Installation in das vorhandene System
12
1 Einführung Funktionalitäten:
Analyse der Rohdaten muss dasselbe Ergebnis bringen mögliche Angriffe und Einbrüche erkennen Rückschluss auf die Rohdaten erlauben Die Alarmierungsschwelle muss konfigurierbar sein Die Speicherung der Daten und des Berichts muss in einem anerkannten Format erfolgen Ein IDS sollte eine automatische Reaktion auf einen Angriff unterstützen
13
2 Technik Aufbau und Funktionsweise Besteht aus drei Hauptkomponenten:
Network Engine Agent Management
14
2 Technik Network Engine analysiert Datenpakete in Echtzeit
sendet Alarmmeldungen trifft Gegenmaßnahmen besteht aus Netzwerkadapter, Packet Capture, Filter, Angriffsdetektor und Response Modul
15
2 Technik Response Modul Angriffsdetektor Filter Benutzer
Packet Capture Kernel-Software Netzwerkadapter Hardware Netzwerk
16
2 Technik Netzwerkadapter Packet Capture Filter
der gesamte Verkehr wird aufgenommen und an die Network Engine weiter geleitet Packet Capture Pakete werden für den Transport an die Network Engine organisiert Filter es können Protokolle gefiltert werden
17
2 Technik Angriffsdetektor Response Modul
Untersucht den Datenstrom nach bekannten Angriffsmustern Response Modul Leitet Gegenmaßnahmen ein und alarmiert zuständige Person
18
2 Technik Agent überwacht Systemaktivitäten
zusätzliche Überwachung von CPU-Last, log-Dateien, etc. überwacht Benutzer-logons und -logoffs überwacht die Aktivitäten des Administrators überwacht wichtige Dateien gegen Manipulation
19
2 Technik Managementsystem
administriert und konfiguriert die Network Engine und den Agenten Kommunikation erfolgt verschlüsselt fängt alle Events von der Network Engine oder von dem Agent erstellt Statistiken für weitere Analysen
20
2 Technik Host Intrusion Detection System HIDS
analysiert Daten auf dem lokalen Rechner Daten können Protokolle oder sonstige von Anwendungen erzeugte Daten sein prüfen die Integrität des Systems System Integrity Verify oder File Integrity Assessment
21
2 Technik können auch Angriffe von außen erkennen Nachteile:
erkennen Angriffe durch Insider können auch Angriffe von außen erkennen Nachteile: Überwachung bei einer großen Anzahl von Rechnern muss auf jedem Rechner installiert sein dadurch Verwaltung und Administration schwierig
22
2 Technik Erkennbare Angriffe
Der bereitgestellte Zugang für externe Personen wurde nicht deaktiviert Alte Konten sind nicht gelöscht Versuch eine Hintertür einzubauen Modifikation kritischer Daten Verwendung von Administrationsrechten von unbekannten Personen Installation von Trojanern
23
2 Technik Technologien kommerzielle Systeme setzen auf mehrere Technologien, Open-Source Lösungen meist auf eine viele Technologien, z.B.: Protokollanalyse – Protokolle von Anwendungen werden ausgewertet Integritätstest – Systemdateien und andere Dateien werden mithilfe von Snapshots geprüft Echtzeitanalyse – Überwachung von Zugriffen auf Systemdateien und andere Dateien
24
2 Technik Network Intrusion Detection System NIDS
bezieht seine Daten aus dem Netzwerk einige Systeme untersuchen nur Protokolle Bestens dafür geeignet Angriffe zu erkennen Kann auch Angreifer von innen erkennen Installation und Administration mit deutlich weniger Aufwand verbunden als bei HIDS oft reicht nur ein NIDS-Sensor pro Netzwerk
25
2 Technik Erkennbare Angriffe Denial of Service mit Bufferoverflow
Ungültige Pakete Angriffe auf der Applikationsschicht Zugriff auf vertrauliche Daten Angriffe gegen die Firewall oder IDS Distributed Denial of Service Spoofing Angriffe Portscans
26
2 Technik Technologien Verfügt wie HIDS über mehrere Technologien, wie: Signaturerkennung – über eine Datenbank werden Pakete verglichen Protokolldekodierung – der Datenstrom wird normalisiert, gut gegen Angriffe mit Unicode oder ASCII statistische Anomalie-Analyse – durch die Häufigkeit der „Fehler“ als Angriff gewertet heuristische Analyse – mithilfe von Algorithmen wie z.B.: Bayer-Moore
27
2 Technik Honeypot kann aus einem Rechner oder einem Rechnernetzwerk bestehen stellt keine Verteidigung dar sondern als Ablenkung gedacht liefert nützliche Ergebnisse bei der Analyse von Angriffen und Einbrüchen
28
2 Technik Tiny Honeypot „entschärfte“ Variante des Honeypots
auf bestimmten Ports werden nur Dienste simuliert meist kleine Perl-Programme Bsp.: wird eine Verbindung mit Port 1433 hergestellt, dann wird diese Verbindung mithilfe der Netfilter-Architektur an den Port weiter geleitet
29
2 Technik Honeypot-Varianten Forschungssystem Produktionssystem
dienen zum Erkenntnis über das Verhalten der Angreifer sollen neue Angriffe herausfinden Produktionssystem dienen der Sicherheit dienen zur Erkennung und Verfolgung der Angriffe und Einbrüche
30
2 Technik Vorteile und Nachteile Vorteile
Datensammlung – Daten sind interessant, da es potentielle Angriffe sein können Ressourcen – Honeypots entlasten den Netwerkverkehr, da viele Angriffe dann auf dem Honeypot stattfinden
31
2 Technik Nachteile Singularität – eine Maschine kann man schlecht im Internet finden erhöhtes Risiko – wurde auf dem Honeypot eingebrochen, können weitere Angriffe gegen das Netzwerk stattfinden
32
2 Technik Honeypot und das Gesetz in Deutschland problematisch
da Beihilfe zu einer Straftat unter Strafe steht es werden folgende Gesetze wirksam, wenn ein Honeypot in Betrieb gesetzt wird: StGB §26 Anstiftung StGB §27 Beihilfe
33
3 Praxis Einfaches HIDS die Implementierung eines einfachen HIDS
soll das Verzeichnis /etc unter Linux überwacht werden wird mit den Werkzeugen find und less von Linux realisiert ist erweiterbar auf andere Verzeichnisse, z.B.: Eigene Dateien bzw. Persönlicher Ordner
34
3 Praxis Vorgehensweise :
der Ist-Zustand des Sytems wird mit Hilfe von find in einem Snapshot gespeichert
35
3 Praxis In der Datei baseline ist nun jeder Dateieintrag (find –type f) des Verzeichnisses /etc mit seiner Inodenummer(-i), den Rechten, dem Besitzer, der Größe und dem Änderungsdatum(-l) abgespeichert dabei ruft der Befehl find für jede gefundene Datei den Befehl ls –ail auf und übergibt ihm den Namen der gefundenen Datei {}
36
3 Praxis Nun kann man mit less den Inhalt von baseline betrachten:
37
3 Praxis
38
3 Praxis Jetzt wird zu den Testzwecken ein neuer Benutzer im System angelegt das Anlegen eines neuen Benutzer modifiziert die Systemdaten und man kann somit eine Veränderung des Systems feststellen geht man davon aus, dass das Anlegen eines neuen Benutzers nicht vorgesehen war, kann man das als ein Angriff bewerten
39
3 Praxis Um zu wissen was nun verändert wurde, kann man in regelmäßigen Abständen mithilfe von diff das System vergleichen und die Änderungen in eine Textdatei abspeichern
40
3 Praxis nach der Prüfung der Systemintegrität, kann man im Verzeichnis /root eine Datei Namens and.txt finden
41
3 Praxis nachdem betrachten der Datei and.txt mit less kann man alle Änderungen seit dem erstellen des Snapshots finden
42
3 Praxis Dieses System leicht austricksbar
der Angreifer erzeugt eine Datei, in der die baseline Datei neu abgespeichert wird, wird das vor dem Integritätstest nicht geprüft, findet der Vergleich mit der modifizierten Datei statt zweite Gefahr stellt die Tatsache, dass man Mithilfe von bestimmten Programmen den Inhalt und die Größe der Datei so verändert, dass es nie eine Modifikation an der Datei stattgefunden hätte
43
3 Praxis eine Prüfsumme mittels –exec md5sum zusätzlich erzeugen werden nun enthält die Baseline-Datei für jede Datei zusätzlich einen MD5 Hash
44
3 Praxis nun wird wieder ein neuer Benutzer angelegt und der Integritätstest durchgeführt danach kann man in der Datei and2.txt auch die Prüfsumme der Dateien sehen, diese kann man sowohl in der baseline als auch in der Protokoll-Datei(and2.txt) sehen
45
3 Praxis Fazit sehr einfach keine besonderen Funktionen
reicht es aus, um z.B. festzustellen ob jemand an dem Rechner in der Abwesenheit war und ob diese Person irgendwelche Systemdateien oder normale Dateien verändert hat. weiter entwickeltes HIDS ist z.B. LIDS – Linux Intrusion Detection System
46
3 Praxis Einfaches NIDS Tcpdump
tcpdump ist in allen Distributionen von Linux vorhanden in diesem Beispiel soll tcpdump die Verbindung über ein Modem überwachen es soll zusätzlich eine log-Datei im libpcap-Format angelegt werden
47
3 Praxis unter der Benutzung des BPF-Filters werden nur bestimmte Pakete gesammelt tcpdump arbeitet automatisch im promiscuous-Mode und bekommt somit alle Pakete vom Netzwerk, auch wenn sie nicht für den Rechner bestimmt waren.
48
3 Praxis Vorgehensweise : Tcpdump ohne log-Datei
Man ruft tcpdump mit dem Befehl tcpdump –i ppp0 tcpdump soll mithilfe von –i ppp0 das Modem verwenden.
49
3 Praxis nach dem Aufruf beginnt tcpdump sofort mit der Analyse der Pakete man dann sehen, was vom Rechner zu einem Webserver und zurück geschickt wird
50
3 Praxis 19:15: IP dialin pools.arcor-ip.net > dd6908.kasserver.com.http: P414:758 (344) ack 969 win 8129 <nop, nop, timestamp > es wird nun kurz das Ausgabeformat erläutert: der Zeitstempel erlaubt es die Pakete zeitlich zuzuordnen 19:15:
51
3 Praxis dann werden die Kommunikationspartner angezeigt inklusive ihrer Ports: IP dialin pools.arcor-ip.net > dd6908.kasserver.com.http in diesem Falle Port des Clients: und des Webservers http (80) hier handelt es sich um eine ACK Nummer ack 969
52
3 Praxis damit der Webserver weiß, wie viele Informationen vom Client verarbeitet werden können, übermittelt der Client die Window-Größe win 8129 beim Aufbau der Verbindung werden noch weitere Informationen vom Client übermittelt, diese werden dann als TCP-Optionen übermittelt <nop, nop, timestamp >
53
3 Praxis wenn man tcpdump beendet, wird eine Statistik aufgerufen
es wird angezeigt, wie viele Pakete es insgesamt waren wie viele durch den Filter durchgelassen wurden und wie viele durch das Kernel abgewiesen wurden
54
3 Praxis Tcpdump mit einer log-Datei
mit dem Befehl –s 100 wird die Anzahl der protokollierenden Bytes eines Pakets festgelegt, mit –w tcpdump.log werden die Pakete in der abgespeichert die Datei wird im libpcap-Format erzeugt und kann somit zusätzlich von snort oder ethereal gelesen werden.
55
3 Praxis die Datei wird mittels tcpdump –X –r tcpdump.log gelesen und die Pakete werden im Hexadezimalen als auch im ASCII Format angezeigt.
56
3 Praxis Einrichtung eines Filters
BPF-Filter definieren, welche Pakete gesammelt werden. der Filterausdruck kann aus mehreren Teilen bestehen jeder dieser Teilausdrücke enthält mindestens eine oder drei folgenden Eigenschaften vorangestellt wird. Typ – host, net oder port Richtung – dst, src Protokoll – z.B.: tcp, udp den Filter startet man mit Protokoll, Ziel, Ziel-Port
57
3 Praxis In diesem Beispiel wäre das Protokoll tcp Ziel und der Port 80 (http) und 443 (https) Dieser Filter wird alle zutreffenden Pakete in der Datei server.log abspeichern. Und hier kann man erkennen, dass nur die Anfragen und Antworten vom Client und Webserver abgespeichert wurden.
58
3 Praxis
59
3 Praxis Fazit tcpdump ist ein mächtiges Werkzeug
wenn man es richtig einstellt und die vielen Einstellungsmöglichkeiten auch richtig ausnutzt die log-Dateien kann man zum besseren Verständnis am besten mit snort lesen tcpdump eignet sich sowohl für analoge als auch Netzwerkverbindungen und ist somit für jeden nutzbar
60
4 Zusammenfassung ein hochwirksames Mittel für die Erkennung, Analyse und Verhinderung von Einbrüchen in Rechnersystemen und Netzinfrastrukturen. der Einsatz lohnt sich auf jeden Fall, denn mit einem IDS und einer Firewall kann man zwar nicht die 100% Sicherheit schaffen, man kann jedoch den höchsten Sicherheitsgrad schaffen beide Systeme ergänzen sich gut. wo es wirklich überlegt werden muss, ob man lieber ein Open Source IDS verwendet oder doch lieber Geld für ein kommerzielles System ausgibt
61
ENDE
62
Das Skript „Intrusion Detection“ ist unter
zu finden.
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.