Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Intrusion Detection Systems

Veröffentlicht von:Jörg Raddatz Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Intrusion Detection Systems"—  Präsentation transkript:

1 Intrusion Detection Systems
IDS Kevin Büchele, Michael Schmidt

2 Inhalt Einleitung Arten Funktionsweisen Attacken Honeypot

3 Einleitung IDS ist wie eine Alarmanlage überwacht Systemkomponenten
greift nicht aktiv ein Intrusion Response System schon aktiv!

4 Anforderungen an ein IDS
Gesicherte IDS-Umgebung Echtzeitfähigkeit Reporting-Tool Hohe fachliche Kompetenz bzgl Faktor Mensch 4

5 Arten der IDS Host-basierende IDS Netz-basierende IDS Hybride IDS
Cisco Intrusion Detection System Network Module

6 Host-basierte IDS Überwachung der Auditdaten auf einem Rechner
überwachen nur das Gerät auf dem installiert Analyse von Prüfsummen über Systemdateien

7 Vorteile keine Hardware nötig Umfassende Überwachung
(auch in verschlüsselter Umgebung)

8 Nachteile Einzelne Installationen erforderlich
(hoher Aufwand, hohe Kosten) wirkt negativ auf die Performance

9 Netz-basierende IDS steigende Vernetzung durchs Internet
eigenes Gerät im Netzwerk untersucht nur IP-Pakete überwacht alle Rechner in einem Netz

10 Wo im Netzwerk? vor der Firewall hinter der Firewall

11 Vorteile Echtzeit-Überwachung Überwachung von großen Netzwerken mit
geringem Aufwand

12 Nachteile Eventuell hoher Netzwerktraffic
Inhalte verschlüsselter Daten können nicht erkannt werden Schlecht bei DDoS

13 Hybride IDS verbindet Host- und Netz-basierendes Prinzip
Nachteile beider Systeme werden ausgeglichen  höhere Abdeckung beide Sensortypen durch Managementeinheit verbunden Hybride Arbeitsweisen weit verbreitet

14 Feedback-Methoden ein lokaler Alarm, wie z. B. ein Pop-Up-Fenster auf der Sicherheitskonsole des Administrators eine Alarmmeldung per Mail, Handy oder Pager wenn die Sicherheitskonsole nicht ständig überwacht wird

15 Gegenmaßnahmen Rekonfiguration der Firewall oder der Router
Herunterfahren von Diensten In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden.

16 Interaktion

17 Funktionsweisen des IDS
Misuse Detection Anomaly Detection Strict Anomaly Detection

18 Missbrauchserkennung
Misuse Detection (Signaturanalyse) Sehr häufig genutztes Verfahren Einfach zu realisieren Identifiziert bekannte Angriffe Abgleich mit einer Referenzdatenbank Mustervergleich positiv?  Verletzung der Security-Policy

19 Missbrauchserkennung

20 Mögliche Attacken Speziell geformte Netzwerkpakete
Auffallend große/kleine Pakete Ungewöhnliche Protokolle Ungewöhnliche TCP-Flags Zugriffe auf spezielle Ports

21 Nachteil Funktioniert nur bei bekannten Sicherheitsproblemen (also: Muster muss in der Datenbank enthalten sein, erfordert regelmäßige Updates (vergleichbar mit Virenscanner))

22 Anomalieerkennung Auch: statische Analyse Eigens definierter Regelsatz
Primitive Arbeitsweise (alles, was nicht nomal ist, ist abnormal => Angriff) Lernphase kurz nach der Installation durch Analyser

23

24 Nachteile False positives Hoher Verwaltungsaufwand (v.a am Anfang)

25 Strict Anomaly Detection
Ähnlich der Anomalieeerkennung, jedoch anderes Mustererkennungsverfahren => wie bei Misuse Detection Nur bekannte Systemaktivitäten werden in der Datenbank abgespeichert => weniger Verwaltungsaufwand als bei A.D.

26 Attacken Anzeichen von Attacken
Systembezogen (CPU-Aktivität, ungewöhnliche Login- Aktivität) Änderungen im Dateisystem (Logfiles, gelöschte Dateien, Änderungen von Rechten) Netzwerkspezifisch (Hoher Traffic (DDOS?), Aktivität zu ungewöhnlichen Zeiten)

27 Honeypot Einrichtung, die vom eigentlichen Ziel ablenken soll
Täuschen Interessante Daten vor Keine bestimmten Dienste Ungeschützt  Einflüsse von außen werden als Angriff bewertet Einflüsse können ggf. abgespeichert werden (Datensammlung für ein IDS)

28 Honeypot

29 Quellen Seminararbeit zu: Sicherheit in vernetzten Systemen WS 2002/03 – Universität Hamburg 18.415/seminararbeit/8_IDS.pdf Website der Universität Oldenburg – IDS diverse Präsentationen von Vorgängern

30 Vielen Dank für die Aufmerksamkeit

Herunterladen ppt "Intrusion Detection Systems"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Surfen im Internet.

Surfen im Internet.
Universität Rostock Fakultät für Informatik und Elektrotechnik Institut für Informatik, Lehrstuhl DBIS Albert-Einstein-Straße 21, D - 18059 Rostock Putbus,

Universität Rostock Fakultät für Informatik und Elektrotechnik Institut für Informatik, Lehrstuhl DBIS Albert-Einstein-Straße 21, D Rostock Putbus,
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Präsentation von Daniel Hörl

Präsentation von Daniel Hörl
Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.

Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.
Firewalls.

Firewalls.
Web-CMS der Universität Ulm

Web-CMS der Universität Ulm
Gefährdung durch Viren

Gefährdung durch Viren
Intrusion Detection Sven Diesendorf INF02.

Intrusion Detection Sven Diesendorf INF02.
WIRTSCHAFTSINFORMATIK Westfälische Wilhelms-Universität Münster WIRTSCHAFTS INFORMATIK Seminar Software Agenten Agenten als Informationsfilter Referent.

WIRTSCHAFTSINFORMATIK Westfälische Wilhelms-Universität Münster WIRTSCHAFTS INFORMATIK Seminar Software Agenten Agenten als Informationsfilter Referent.
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Framework für ein Intrusion Detection System

Framework für ein Intrusion Detection System
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Sicher durchs Internet

Sicher durchs Internet
Schulen ans Netz Oberhausener Moderatoren

Schulen ans Netz Oberhausener Moderatoren
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen

Ähnliche Präsentationen

Google-Anzeigen