IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2...

IDS

Intrusion Detection System

Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz

2

VortragendeVortragende

• Markus Kobe– 7. Semester Informatik

• Carsten Crantz- 7. Semester Informatik

IDS - Vortragende


3

InhaltInhalt• Was ist ein IDS ?• Warum IDS ?• IDS-Architekturen• Analysetechniken• Anforderungen / Grenzen an/von IDS• Weitere Maßnahmen (Honypots)• Common IDS Framework• Freeware IDS

IDS - Inhalt


4

Was ist ein IDS ?Was ist ein IDS ?

Signatur-Vergleichs-Automat (SCS)

Die Tätigkeit eines IDS ist derVERGLEICH

von auftretenden Ereignissen mit einem vorher bestimmten Muster

IDS – Was ist ein IDS ?

Intrusion Detection System ~ Eindringling-Erkennungs-Automat


5

Warum IDS einsetzen ?Warum IDS einsetzen ?

IDS – Warum IDS einsetzen ?

• Firewalls haben Grenzen- Arbeiten präventiv- Schutz nach Regeln- Unvorsichtige User

• Alle 8 Minuten ein Einbruch [Quelle: c´t 02/15 S. 206]


6

IDS-ArchitekturenIDS-Architekturen

IDS – IDS-Architekturen

• Hauptarten:– Host IDS (HIDS)– Network IDS (NIDS)

• Hybride Arten- Per-Host Network IDS (PHIDS)- Load Balanced Network IDS (LBNIDS)- Firewall IDS (FWIDS)


7

Host IDSHost IDS

• Überwachen nicht den Rechner auf dem sie aktiv sind sondern n-1 andere Rechner

• Analysieren Systemkritische Bereiche• Protokollieren System- und Benutzeraktivitäten• Kann nur auswerten was schon gespeichert ist

– Wirkt im nachhinein– „aus Fehlern lernen“– Erkennung der Einbruchsstrategie– Fehlerbehebung

IDS – IDS-Architekturen - HIDS


8

Network IDSNetwork IDS

IDS – IDS-Architekturen - NIDS

• Lesen alle im Netz übertragenen Pakete– Kontinuierlich , Echtzeit

• Registrieren Angriffsversuche bereits im Vorfeld• Platzierung der IDS-“Sensoren“ abhängig von

Interessenlage

• S-NIDS AA-IDS


9

Network IDS (II)Network IDS (II)

VOR der FW

- Überblick- Alle Aktivitäten- Stark ausgelastet



10

Network IDS (III)Network IDS (III)


HINTER der FW

- Kontrollinstanz


11

Network IDS (IV)Network IDS (IV)



12

Hybride IDSHybride IDS

• N+HIDS• Per-Host NIDS

– Funktionsweise wie NIDS, aber pro Rechner ein eigenes IDS• Load Balanced NIDS

– Wie PH-IDS aber mit zentralem Lastverteiler• Firewall-IDS

– „Firewall AddOn“

IDS – IDS-Architekturen - Hybride IDS


13

AnalysetechnikenAnalysetechniken

• Misuse Detection– Missbrauchserkennung– Signaturerkennung

• Anomaly Detection– Anomalieerkennung– Statische Erkennung

IDS – Analysetechniken


14

Misuse DetectionMisuse Detection

• Identifikation bekannter Angriffe• Bekannte Signaturen• Fester Regelsatz• Referenzdatenbank• Analogie Virenscanner

– Zustandsautomat zur Mustererkennung

IDS – Analysetechniken – Misuse Detection


15

Anomaly DetectionAnomaly Detection

• Voraussage der Folgen eines Angriffs • Erlernter Regelsatz• Normalzustand definieren

– Systemintegrität muss gesichert sein• Quantitative Analyse• Statische Messungen• Neuronale Netze

• Aktion erwartete Folgeaktion / Anomalie = Alarm

IDS – Analysetechniken – Anomaly Detection


16

Anforderungen an IDS (I)Anforderungen an IDS (I)• Ein ausgereiftes Sicherheitskonzept muss Grundlage

jedes IDS sein

• Nur eine speziell gesicherte IDS-Umgebung, die- Angriffe gegen sich selbst erschwert- einen Ausfall der eigenen Funktionalität meldet

ermöglicht einen effektiven Einsatz

• Echtzeitfähigkeit ist zur Unterstützung einer Reaktion in einem zeitlich angemessenen Rahmen unerlässlich

IDS – Anforderungen an IDS


17

Anforderungen an IDS (II)Anforderungen an IDS (II)• Abstimmung auf menschliche Eingriffe, d.h.:

- Ein leistungsfähiges Reporting Tool muss dem Administrator einen umfassenden und zeitsparenden Überblick über die Ergebnisse ermöglichen

- Zur Analyse der IDS-Meldungen muss eine umfangreiche Systemkenntnis des Administrators vorhanden sein

IDS – Anforderungen an IDS


18

Schwächen von IDS (I)Schwächen von IDS (I)Allgemein:

• Änderung der Firewalleinstellungen kann die Systemstabilität beeinflussen

IDS – Schwächen von IDS


19

Schwächen von IDS (II)Schwächen von IDS (II)NIDS• Uneffektiv in geswitchten Systemen, weil nicht der

gesamte Datenverkehr erfasst werden kann

• Performanceaspekte stellen häufig eine Schwachstelle dar- Netzverkehr (Pakete / Sekunde)- TCP-Verbindungen- Langzeitverhalten



20

Schwächen von IDS (III)Schwächen von IDS (III)NIDS• Häufig Probleme mit bestimmten Angriffsmethoden

- Fragmentation- Avoiding defaults- (Coordinated) slow scans

HIDS• Uneffektiv bei sich häufig ändernden Daten. Die Folge

ist eine Vielzahl von Fehlalarmen



21

Schwächen von IDS (IV)Schwächen von IDS (IV)Signaturerkennung:• Unflexibles Verhalten im Hinblick auf unbekannte Angriffe

bzw. Varianten• hohe Abhängigkeit von der Aktualität der Signatur-DB

Statistische Verfahren:• Unerkannte Angriffe in der Einführungsphase sind spätere

Schwachstellen• Hohe Anzahl von Fehlalarmen insbesondere zu Beginn des

Lernprozesses



22

Weiterführende AnsätzeWeiterführende Ansätze• Honey Pots

- Kritische Systeme werden geschützt, indem dem Angreifer ein Ersatzsystem angeboten wird.

- Die Beschäftigung des Angreifers mit diesem System hat drei Vorteile: Angriffe können zweifelsfrei erkannt werden Die für Reaktion des Administrators zur Verfügung

stehende Zeit wird erhöht Es ist möglich, Erfahrungen zu Vorgehensweisen zu

sammeln

IDS – Weiterführende Ansätze


23

Common IDS Framework (I)Common IDS Framework (I)

• Ziel: – allgemeingültige Architektur für IDS zu definieren– Zusammenarbeit verschiedener Hersteller

• Schwerpunkt– Spezifikation einer Sprache– Einheitliches Übertragungsprotokoll

IDS – Common IDS Framework


24

Common IDS Framework (II)Common IDS Framework (II)

• Rohdaten



25

Common IDS Framework (III)Common IDS Framework (III)

• Event-Generator– Einheitliches Format– Monitormodule



26

Common IDS Framework (IV)Common IDS Framework (IV)

• Analyser– Auswerung– Kontext



27

Common IDS Framework (V)Common IDS Framework (V)

• Database– Kontext– Nicht Referenz-

datenbank bekannter Einbrüche



28

Common IDS Framework (V)Common IDS Framework (V)

• Aktionskomponente– Alarm– FW Modifikation



29

Freeware IDS - Tripwire (I)Freeware IDS - Tripwire (I)• Hostbasiertes IDS• Grundsätzliche Funktionsweise

- Erstellen einer Datenbank mit relevanten Daten systemkritischer Dateien (z.B. Zugriffsrechte, Besitzer, Größe, Änderungsdatum)

- Prüfsummenbildung mit Hilfe von 4 verschiedenen Hash-Funktionen

- regelmäßiger Vergleich von Dateisystem und Datenbank (z.B per cron-Job)

IDS - Freeware IDS - Tripwire


30

Freeware IDS - Tripwire (II)Freeware IDS - Tripwire (II)• Policy-File

- Dient zur Festlegung der Dateien unter Beobachtung --> Bildet die eigentliche Intelligenz der Software

- Es stehen 18 Dateiattribute zur Verfügung, die beim Prüfen einer Datei verwendet werden können

- Es können Variablen für bestimmte Prüfkombinationen definiert werden

- Eine Gewichtung von Regelverletzungen ist möglich- Es können E-Mail Adressen für die Benachrichtigung

bei Regelverstößen angegeben werden

IDS - Freeware IDS - Tripwire


31

Freeware IDS - Snort (I)Freeware IDS - Snort (I)

• Netzwerkbasiertes IDS (Unix/Linux , Windows)• Primäre Basis sind Angriffssignaturen mit den

Eigenschaften verdächtiger IP-Pakete:- Protokoll- Ziel- / Absendeadresse- Source- / Destinationport- TCP-Flags- Größe

• Knapp 1000 fertige Regeln sind verfügbar

IDS - Freeware IDS - Snort


32

Freeware IDS - Snort (II)Freeware IDS - Snort (II)• Weitere Features

• Portscan-Präprozessor- überwacht die Anzahl der Verbindungen von einer

IP-Adresse- erkennt typische Stealth-Scan-Pakete

• SPADE - Plugin für statistische Analysen - meldet Abweichungen von der typischen Verteilung

des Netzverkehrs- arbeitet mit festen Schwellwerte oder einer

dynamischen Anpassung



33

Freeware IDS - Snort (III)Freeware IDS - Snort (III)• Weitere Features (Forts.)

• Flexible-Response-Modul (Alpha-Version)- Ermöglicht Kennzeichnung einzelner Regeln mit

Response-Anweisungen- Das Auslösen der Regel führt zum Beenden der

Verbindung• Präprozessoren zum Zusammensetzen

fragmentierter IP-Pakete sowie zum Reassemblieren von TCP-Streams



34

Freeware IDS - Snort (IV)Freeware IDS - Snort (IV)• Reporting Tools (Freeware)

• SnortSnarf (Silicon Defense)- erstellt aus der Protokolldatei untereinander verlinkte

HTML-Seiten• ACID (CERT)

- besteht aus PHP-Seiten, die sich ihre Informationen aus einer Datenbank holen. Dynamische Erstellung sorgt für ständige Aktualität

IDS – Freeware IDS - Snort


35

FragenFragen

www.markuskobe.dewww.crantz.derzpc1/18.415

IDS – Fragen

??


36

Literatur (I)Literatur (I)• [ct1] Elisabeth Bauer

Buchkritik: Intrusion Detection System c´t 15/02, Seite 206

• [ct2] Oliver DiedrichStolperdrahtc´t 11/02, Seite 198

• [ct3] Jürgen Schmidt, Martin FreissEinbrecheralarmc´t 8/01, Seite 212

IDS – Literatur


37

Literatur (II)Literatur (II)• [ct4] Patrick Brauch

Distributed Denial of Service – verteilte Angriffec´t 25/00, Seite 256

• [ct5] Bernd RudackIntrusion Detection Systeme im Testc´t 3/99, Seite 190

• [ct6] Bernd Rudack

Alarmanlagen fürs Netzc´t 3/99, Seite 186

IDS – Literatur


38

Literatur (III)Literatur (III)• [www1] http://www.domhan.de/ids.pdf • [www2] http://www.genua.de/produkte/snort/node1_html • [www3] http://www.bluemerlin-security.de/

Produkt_eTrust_Intrusion_Detection_010402.php3

• [www4] http://www.informationweek.de/index.php3?/ channels/channel39/010768.htm

• [www5] http://www.pandacom.de/security/intrusiondetection.html

IDS – Literatur


39

Literatur (IV)Literatur (IV)• [www6] http://www.netsys.com/library/papers/

intrusion_detection_systems_0201_draft.pdf • [www7] http://www.uni-essen.de/hrz/beratung/

hrzblatt/hrz159/ids.html • [www8] http://www.suse.de/de/ private/support/howto/ids/ids1.html • [www9] http://www.sicherheit-im-internet.de/themes/

themes.phtml?ttid=1&tdid=572

• [www10] http://www.bsi.bund.de/literat/studien/ids/doc0000.htm

IDS – Literatur

Date post:	06-Apr-2016
Category:	Documents
Upload:	nelly-fertig
View:	215 times
Download:	1 times

IDS Intrusion Detection System. Universität Hamburg - FB Informatik Markus Kobe - Carsten Crantz 2...

Documents