Wir haben in den bisherigen Kapiteln vor allen Dingen Schwachstellen in Netzwerken kennen-gelernt und uns mit Konzepten, Protokollen und Technologien befasst, die Netzwerke sicherermachen, indem sie Sicherheitslücken in den Netzwerken im weitesten Sinne schließen oder An-griffe zumindest erschweren.
Die bisher betrachteten Maßnahmen waren größtenteils präventiv, also darauf ausgerichtet,Schwachstellen zu beheben. Auf diese Weise können zukünftige Angriffe vereitelt werden, siewaren also vorbeugend.
In diesem Kapitel werden wir uns mit Netzwerküberwachung beschäftigen. Diese schließt ne-ben präventiven auch detektive Maßnahmen ein, also Technologien und Methoden, die einenAngriff zwar nicht verhindern, aber zu dessen Entdeckung beitragen können. An die Erkennungdes Angriffs schließen sich reaktive Maßnahmen an, die das Ziel haben, den entstandenen Scha-den zu minimieren und beheben, zukünftige Angriffe ähnlicher Art zu verhindern und (eventuell)den Täter zu ermitteln und strafrechtliche Schritte einzuleiten. Reaktive Maßnahmen, die nacheinem Angriff getroffen werden, um Beweise zu sichern und Täter der Straftat zu ermitteln, fallenin das Gebiet der (Computer-)Forensik. Bei der Sicherung ist insbesondere auf die spätere Ge-richtsverwertbarkeit der gesammelten Beweise zu achten. Die Computerforensik umfasst auchBereiche, die mit IT-Sicherheit nicht unmittelbar in Zusammenhang stehen, beispielsweise dieUntersuchung von Rechnern, die mutmaßlich bei der Begehung einer Straftat verwendet wurden,etwa zum Schreiben eines Erpresserbriefes.
Auf den ersten Blick mag es lohnender erscheinen, sich auf die Verhinderung von Angriffen zukonzentrieren, um eine Verbesserung der IT-Sicherheit zu erreichen, anstatt sich der Erkennungvon Angriffen zu widmen. Wären wir in der Lage, durch proaktive Maßnahmen Angriffe jederArt ausschließen zu können, so könnte man auf die Erkennung von Angriffen tatsächlich ver-zichten. Doch leider sind IT-Systeme komplex, und nahezu jedes IT-System dürfte (unentdeckte)Schwachstellen besitzen, die ein Angreifer auf die eine oder andere Art ausnutzen könnte.
Wenn wir die realistische Annahme treffen, dass Schwachstellen niemals vollständig ausge-schlossen werden können, so kommt der möglichst frühzeitigen Erkennung von Angriffen eineentscheidende Bedeutung zu: Je früher ein Angriff erkannt wird, desto schneller
• kann der Angriff analysiert und die ausgenutzte Schwachstelle geschlossen werden,
• können Gegenmaßnahmen eingeleitet und die Fortführung des Angriffs unterbunden wer-den,
Abbildung 11.1: Alarme eines IDS und Klassifikation entdeckter Anomalien.
• kann der entstandene Schaden eingegrenzt und behoben werden.
Die Vorbeugung gegen Angriffe und die Erkennung von Angriffen sind also komplementäre,sich ergänzende Maßnahmen. Ein sinnvolles IT-Sicherheitsportfolio muss beide Elemente ent-halten. Es ist also kein Entweder-oder, sondern ein Sowohl-als-auch gefordert.
11.2 Intrusion Detection
11.2.1 Einführung
Eine Intrusion ist ein unerwünschter und/oder nicht autorisierter Vorgang. Unter dem BegriffIntrusion Detection versteht man die Überwachung von Systemen und/oder Netzwerken mit demZiel, unerwünschte und/oder nicht autorisierte Vorgänge zu erkennen, zu protokollieren und zumelden.
Ein Intrusion Detection System (IDS) überwacht ein System und/oder Netzwerk und analy-siert, ob das beobachtete Verhalten des Systems/Netzwerks vom erwarteten Normalzustand ab-weicht. Eine solche Abweichung wird als Anomalie bezeichnet. Die Frage, was genau beobachtetwird und wie Anomalien entdeckt werden, unterscheidet sich von IDS zu IDS.
Es gibt hauptsächlich zwei verschiedene Typen von Intrusion Detection Systemen, die sichhinsichtlich ihren Anforderungen und der Arbeitsweise stark unterscheiden, nämlich
• netzwerkbasierte Intrusion Detection Systeme, deren Aufgabe in der Überwachung desNetzwerkverkehrs besteht und
• hostbasierte Intrusion Detection Systeme, deren Aufgabe in der Überwachung eines ein-zelnen Rechners (Prozesse, User, Kommunikation mit anderen Maschinen) besteht.
Hybride IDS, die Komponenten netzwerk- und hostbasierter Systeme beinhalten, existierenebenfalls.
11.2 Intrusion Detection 231
Eine beobachtete Anomalie kann mehrere Ursachen haben und muss nicht unbedingt auf einenAngriff zurückzuführen sein. Wir unterscheiden zwischen drei verschiedenen Typen von Anoma-lien:
• Angriff: Entdeckung eines Angriffs, d.h. einer unautorisierten Benutzung des Systems oderdes Netzwerks.
• Systemmissbrauch: Die Benutzung des Systems ist zwar autorisiert, stellt aber (möglicher-weise) einen Missbrauch der Ressourcen dar und ist dann unerwünscht oder für die Institu-tion kritisch. Beispielsweise könnte ein Mitarbeiter in außergewöhnlichem Umfang Datenaus dem Internet herunterladen oder über das Internet auf einen fremden Rechner transpor-tieren oder auf auffallend viele vertrauliche Dokumente auf einem Dokumentenserver imIntranet zugegriffen haben. Systemmissbrauch stellt keinen Angriff auf die IT-Sicherheitim engeren Sinn dar, könnte aber für die Sicherheit der Institution relevant sein.
• Irreguläres Systemverhalten: Die beobachtete Anomalie ist auf ungewöhnliches System-verhalten zurückzuführen, das außerhalb der gewöhnlichen Benutzungsparameter des Sys-tems liegt. Beispielsweise könnten durch den Ausfall eines Servers die Zugriffe auf einenBackup-Server stark ansteigen.
Die Entdeckung von Systemmissbrauch und irregulärem Systemverhalten ist für viele In-trusion Detection Systeme ebenso wichtig wie die Aufdeckung von Angriffen.
Wird durch ein Intrusion Detection System eine vermeintliche Anomalie entdeckt, so mussdiese weiter untersucht werden, um die Ursache der Anomalie genau festzustellen und um ge-gebenenfalls Gegenmaßnahmen einzuleiten. Diese Aufgaben werden nicht durch das IntrusionDetection System erledigt und erfordern das Eingreifen von Systemadministratoren, da sie nursehr beschränkt automatisiert abgewickelt werden können.
Hierdurch ergibt sich ein Problem bei Konfiguration und Betrieb des Intrusion Detection Sys-tems. Werden die Normwerte, gegen die das IDS die aktuell beobachteten Parameter abgleicht,zu eng gezogen, so wird es häufig zu Fehlalarmen kommen. Solche false-positives führen zuSchwierigkeiten, da sie durch den Systemadminstrator bearbeitet werden müssen. Signalisiertdas IDS dem Administrator pro Tag hundert vermeintliche Anomalien, so besteht die Gefahr,dass der Systemadministrator bei der Untersuchung der Meldungen nicht sorgfältig genug vorge-hen kann und so tatsächliche Anomalien übersieht oder die Meldungen des IDS schlimmstenfallsvollständig ignoriert.
Wird umgekehrt der Bereich des normalen Verhaltens des Systems oder Netzes zu weit ge-zogen, so besteht die Gefahr, dass das IDS tatsächliche Anomalien nicht erkennt. Solche false-negatives sind aus naheliegenden Gründen ebenfalls unerwünscht.
Somit kommt es darauf an, bei der Spezifikation des „normalen“ Systemverhaltens die richtigeBalance zu finden. Bei einer sinnvollen Konfiguration werden sich die false-positives zwar inGrenzen halten, aber trotzden ab und zu auftreten. Was als normal erachtet werden sollte undwas nicht, hängt sehr vom jeweiligen System oder Netzwerk ab. Die Konfiguration eines IDS isteine sehr individuelle Aufgabe. Abbildung 11.1 stellt die möglichen Gründe für einen durch einIDS ausgelösten Alarm zusammenfassend dar.
232 11 Netzwerküberwachung
IDS-ServerBerichterstattung
Alarmierung undDatenanalyse
IDS-Sensoren
Abbildung 11.2: Intrusion Detection System.
11.2.2 Architektur und Komponenten eines netzwerkbasierten IDS
Wir werden uns nun etwas detaillierter mit netzwerkbasierten Intrusion Detection Systemen be-fassen. Netzwerkbasierte IDS werden von Institutionen in ihren Intranets eingesetzt. Wir hattenbereits in den Kapiteln 7 und 8 ausführlich betrachtet, wie einfach es ist, TCP/IP-basierte Netzeund Ethernet abzuhören. Dies machen sich netzwerkbasierte IDS zunutze und und hören den Ver-kehr im Intranet an einer oder an verschiedenen Stellen mit. An diesen Stellen sitzen sogenannteSensoren, die den Netzwerkverkehr analysieren und gegen vorgegebene Signaturen abgleichen.Tritt dabei eine gemäß der Konfigurationsvorgaben verdächtige oder zumindest mitteilenswerteKommunikation auf, so wird diese an einen IDS-Server weitergeleitet und dort in einer Daten-bank gespeichert. Der IDS-Server analysiert und korreliert die Meldungen der Sensoren und löstgegebenenfalls einen Alarm aus. Diese Architektur ist in Abbildung 11.2 skizziert.
In sehr einfachen Anwendungsfällen (nur ein Sensor) kann dieser auch seine gesammeltenDaten in eine lokale Logdatei anstatt in eine Datenbank schreiben und selbst die Alarmierungübernehmen. Die Verwendung einer Datenbank auf einem Server hat den Vorteil, dass die ge-sammelten Daten für eine detaillierte Analyse bereitstehen.
Der Auswahl der richtigen Stellen für die Platzierung der Sensoren des IDS kommt für dieFunktion des IDS eine wichtige Bedeutung zu, denn sie entscheidet darüber, welchen Verkehrim Netzwerk das IDS überhaupt überwacht und welcher durch das IDS nicht beobachtet werdenkann. Auch wenn die Frage, welche Punkte dies sind, stark vom individuellen Netzwerk abhängt,so werden in vielen Fällen die Sensoren vor allem an sogenannten Choke Points des Netzwerksinstalliert. Darunter versteht man Verbindungspunkte im Netzwerk, die für den Betrieb des Net-zes oder eines Teilnetzes von großer Bedeutung sind. Solche Punkte werden auch als Sperrpunktebezeichnet, weil deren Ausfall (oder bewusste Abschaltung) zur Abtrennung und Isolierung vonTeilen des Netzes führen kann.
11.2 Intrusion Detection 233
Pakete Pakete
Inline-Sensor Out-of-Line-Sensor
Abbildung 11.3: Sensorvarianten für IDS.
Es gibt verschiedene Möglichkeiten, wie ein Sensor den Netzwerkverkehr an der gewähltenStelle überwachen kann. Ein Sensor kann sich entweder selbst direkt im Datenstrom befinden,oder den Verkehr durch eine indirekte Beobachtung des Datenstroms analysieren. Diese beidenVarianten sind in Abbildung 11.3 dargestellt.
Ein Inline-Sensor sitzt direkt im Datenpfad der zu überwachenden Pakete. Typischerweise istder Sensor in solchen Fällen auf einer Bridge oder einem Router untergebracht, die neben ihrereigentlichen Aufgabe auch Bestandteil des IDS sind. Der Sensor muss die Pakete selbst also aktivzum Ziel weiterbefördern
Ein Out-of-Line-Sensor befindet sich nicht direkt im Datenpfad, sondern erhält Kopien derzu überwachenden Pakete. Dies kann technisch auf verschiedene Arten realisiert werden. Bei-spielsweise bieten einige Switches die Möglichkeit, einen Mirrorport einzurichten, an dem dieaus dem Switch an einen oder mehrere Ports ausgehenden Daten zusätzlich auf den Mirrorportweitergeleitet („gespiegelt“) werden. Auf diese Weise kann der über den Switch abgewickelteVerkehr am Mirrorport durch einen Sensor analysiert werden.
Inline-Sensoren können im Gegensatz zu Out-of-Line-Sensoren bei der Entdeckung von An-omalien auch aktiv eingreifen. Da sie an der Weiterleitung der Pakete beteiligt sind, kann einInline-Sensor ein verdächtiges Paket nicht nur melden, sondern auch löschen, so dass auf dieseWeise nicht nur Intrusion Detection betrieben werden kann, sondern auch Intrusion Prevention,also die Verhinderung von Intrusions. Damit übernimmt das IDS auch Aufgaben einer Firewall(siehe Kapitel 9).
Leider hat die Inline-Variante einige gravierende Nachteile. Da der Sensor im Datenpfad liegt,hängt die Beförderung aller Pakete auf diesem Datenpfad von der ordnungsgemäßen Funktiondes Sensors ab. Gerade wenn das Datenvolumen stark ansteigt und die Rechenleistung des Sen-sors nicht ausreicht, die notwendigen Analysen der Pakete schnell genug durchzuführen, kannsich so eine Überlastsituation ergeben. Da die Sensoren zudem häufig an Choke-Points unterge-bracht sind, kann die Überlastung oder das Versagen eines Sensors die Funktion des Netzwerksbeeinträchtigen oder sogar zum Ausfall des Netzwerks oder eines Teilnetzes führen.
Auch bei Out-of-Line-Sensoren können Probleme auftreten, nämlich wenn das Kopieren derzu überwachenden Pakete die Funktion des Netzwerks beeinträchtigt. Wird auf einem Switchein Mirrorport betrieben, so kostet das Spiegeln der Pakete den Switch ebenfalls Rechenzeit,was seine Performance verringern kann. Falls mehrere Ports des Switches auf einen Mirrorport
234 11 Netzwerküberwachung
gespiegelt werden, kann es außerdem zu einer Überlastung des Mirrorports kommen, was zuPaketverlusten an diesem Port führt und die Performance des Switches weiter beeinträchtigenkann.
Es gibt Alternativen für das Kopieren der zu überwachenden Pakete, welche diese Nachteilenicht aufweisen, etwa Network Taps. Dabei handelt es sich um zusätzliche Hardware mit einemEingangsport und zwei Ausgangsports. Das am Eingangsport anliegende Signal wird auf die bei-den Ausgangsports weitergeleitet. Damit kann ein solches Tap beispielsweise vor einen Switchgeschaltet werden und den dort ein- und ausgehenden Verkehr an einen Sensor weiterleiten.Network Taps sind dafür konzipiert, verlustfrei zu arbeiten und die Performance des Netzwerksnicht zu beeinträchtigen. Bei einer Verwendung von Network Taps oder anderen Technologienmit ähnlichen Eigenschaften führt eine Überlastung oder das Versagen bestimmter Out-of-Line-Sensoren nicht zu einer Beeinträchtigung der Funktion des Netzwerks als solches (wohl aber derdes IDS).
Ein weiterer wichtiger Punkt, den wir hier nur kurz ansprechen können, ist die Frage, wiedie Sensoren die Daten an den IDS-Server weiterleiten. Möglich ist sowohl ein (verschlüsselter)Transport innerhalb des überwachten Netzwerks selbst als auch die Kommunikation über einseparates Netz, das nur durch das IDS verwendet wird. Für letztere Lösung spricht, dass dieFunktion des eigentlichen Netzes dann durch das IDS nicht belastet wird und sich Dritte nur mitgrößerem Aufwand Zugang zu den Meldungen des IDS verschaffen können. Gegen diese Lösungspricht eigentlich nur die Notwendigkeit einer zusätzlichen Verkabelung für die Sensoren.
11.2.3 Netzwerkbasierte IDS und Paketfilter
Wenn der Sensor eines IDS im Datenpfad sitzt und unerwünschte Pakete auch noch aufhält, soerinnert dies den aufmerksamen Leser wahrscheinlich stark an die Funktion der in Kapitel 9skizzierten Paketfilter-Firewalls. Tatsächlich kann man solche Systeme als erweiterte Paketfilterbetrachten. Doch auch wenn ein IDS betrieben wird, das ausschließlich zur Detektion und nichtzur Prävention verwendet wird, gibt es zwischen Paketfiltern und netzwerkbasierten IDS einigeGemeinsamkeiten:
• Paket- und regelbasierte Arbeitsweise: Sowohl Paketfilter als auch netzwerkbasierte IDSerfüllen ihre Aufgaben durch Analyse der im Netzwerk übertragenen Pakete und den Ab-gleich dieser Pakete gegen bestimmte Regeln bzw. Signaturen.
• Grenzen und Schwachstellen: Alle in Sektion 9.2.1.4 genannten Schwächen und Grenzenvon Paketfiltern treffen im Prinzip auch auf netzwerkbasierte IDS zu. Insbesondere kön-nen solche IDS verschlüsselte Informationen nicht dechiffrieren und können daher durchVerschlüsselung und Tunneling ausgehebelt werden.
Als Unterschiede können herausgehoben werden:
• Unterschiedliche Anforderungskriterien: Ein Paketfilter sitzt immer im Datenpfad. Eineschlechte Performance des Paketfilters führt zu einer schlechten Verbindungsqualität indem über den Filter angebundenen Netzwerk. Daher ist bei Paketfiltern die Performancesehr wichtig. Die Entscheidung, ob ein Paket weitergeleitet werden soll oder nicht, muss
11.2 Intrusion Detection 235
möglichst schnell getroffen werden. Bei einem IDS (speziell bei Out-of-Line-Sensoren)kommt es dagegen auf die Präzision und Genauigkeit, weniger auf die Geschwindigkeitbei der Analyse an.
• Transparenz: Ein IDS verhält sich ausschließlich passiv und kann deshalb von einem Be-nutzer oder Angreifer nicht bemerkt werden. Ein Paketfilter kann häufig durch Benutzerbei der Beobachtung und einfachen Analysen des Netzwerkverkehrs entdeckt werden. Injedem Fall wird die Existenz eines Paketfilters dann klar, wenn er in Aktion tritt und Paketenicht weiterleitet.
• Flexibilität: Paketfilter trennen Netze oder Netzwerksegmente voneinander ab. IDS kön-nen flexibler positioniert werden und ermöglichen es, Daten von verschiedenen, über dasNetz verteilten Sensoren in einer zentralen Datenbank zu speichern.
Wir wollen uns mit diesen Punkten und ihrer Implikationen noch etwas detaillierter befas-sen. Im Gegensatz zu einem Paketfilter, der für jedes einzelne Paket schnell entscheiden muss,ob dieses Paket durchgelassen wird oder nicht, kann ein netzwerkbasiertes IDS auftretende Er-eignisse miteinander korrelieren und so zu wesentlich detaillierteren Analysen gelangen. Damitkönnen beispielsweise auch Angriffe entdeckt werden, die sich aus einzelnen, scheinbar harmlo-sen Paketen mit großem zeitlichen Abstand zueinander zusammensetzen. Solche Aktionen, etwaein Netzwerkscan (siehe Sektion 11.3), können Vorstufen eines Angriffs sein, deren rechtzeitigeEntdeckung den Angriff eventuell noch verhindern können.
Die Verwendung einer Datenbank zur Speicherung der gesammelten Informationen ermög-licht eine flexible und umfassende Analyse der durch die Sensoren gesammelten Daten. So lassensich auch Anomalien finden, beispielsweise die Zunahme von eigentlich unverdächtigem HTTP-Verkehr zu einer bestimmten Webseite, was ein Hinweis auf in das System gelangte Malwaresein könnte, oder aber nur auf die Popularität einer neuen Webseite zurückzuführen sein kann.
Paketfilter werden in der Regel an der Grenze zwischen Internet und Intranet eingesetzt, oderauch zur Auftrennung eines Intranet in mehrere Netze, aus denen heraus nicht alle Dienste deranderen Netze unmittelbar erreichbar sind. IDS lassen sich wesentlich flexibler einsetzen undkönnen auch innerhalb eines Netzwerksegments den Verkehr überwachen.
Somit sind IDS und Paketfilter also komplementäre Mechanismen, die sich gegenseitig ergän-zen, nicht ersetzen.
11.2.4 Beispiel für die Verwendung eines IDS
Im Folgenden wollen wir ein Beispiel betrachten, wie aussagekräftig Informationen sein kön-nen, die man durch die Beobachtung des Netzwerkverkehrs erhalten kann. Dabei wollen wiruns auf die Entdeckung unautorisiert aufgestellter IEEE 802.11-WLAN-Access-Points in Insti-tutionen durch ein IDS anhand von MAC-Adressen konzentrieren. Dieses Beispiel ist etwas un-gewöhnlich, aber es demonstriert eindrucksvoll, welche Möglichkeiten allein schon durch dieÜberwachung und Überprüfung von MAC-Adressen bestehen.
Drahtlose lokale Netzwerke (WLAN) nach dem IEEE 802.11-Standard erfreuen sich bei An-wendern in Institutionen und im Heimbereich wachsender Beliebtheit. Wir werden uns mit draht-losen WLANs und deren Sicherheits in Sektion 15.3 ausführlicher befassen.
236 11 Netzwerküberwachung
LAN
Netzwerk
C
S
Default-Gateway R für Rechner C
AP
IDS-Sensor
802.11-Frame Ziel-MAC: R Quell-MAC: C
Ethernet-Frame Ziel-MAC: R Quell-MAC: C
konvertiert IEEE 802.11-Framesin Ethernet-Frames und ungekehrt
IEEE 802.11-Netzwerke arbeiten meistens im Infrastrukturmodus. Lässt man die spezifischenDetails der Datenverbindungsschicht unberücksichtigt, so bedeutet dies vereinfacht ausgedrückt,dass jeder über das WLAN verbundene Rechner mit einem spezifischen Access-Point (AP) desWLANs verbunden ist und seine gesamte Kommunikation ausschließlich über diesen Access-Point abwickelt. Genauer gesagt werden auf der Datenverbindungsschicht alle Frames des Rech-ners über das drahtlose Netz an den Access-Point geschickt, und der Rechner empfängt umge-kehrt ausschließlich Frames von diesem Access-Point. In diesem vereinfachten Modell kann mansich die WLAN-Verbindung also wie ein virtuelles Kabel zwischen dem Access-Point und demRechner vorstellen, ähnlich wie bei Ethernet zwischen einem Rechner und einem Switch.
Natürlich muss der so drahtlos angebundene Rechner nicht nur mit anderen über das WLANangebundenen Geräten kommunizieren können, sondern auch mit anderen, beliebigen Rechnernin Intranet und Internet, ganz unabhängig von der verwendeten Datenverbindungsschicht. Umdies zu erreichen, arbeitet der Access-Point als Bridge zwischen dem drahtlosen und dem draht-gebundenen Netz (siehe Abschnitt 7.3.1.3). Er besitzt sowohl ein WLAN-Interface als auch einEthernet-Interface, über das er mit dem drahtgebundenen Netzwerk der Institution verbundenist. Der AP übersetzt die unterschiedlichen Frameformate von WLANs und Ethernet ineinan-der und leitet Frames aus dem drahtlosen Netz, die für das drahtgebundene Netz bestimmt sind(oder umgekehrt), entsprechend weiter. Somit sind die mit dem Access-Point verbundenen Rech-ner Teil des drahtgebundenen LANs, in dem sich der Access-Point befindet. Rechner im gleichenLAN können direkt über die Datenverbindungsschicht erreicht werden, unabhängig vom Übertra-gungsmedium, das sie verwenden. Dies ist in Abbildung 11.4 skizziert. Der mit dem AP drahtlosverbundene Rechner C kommuniziert mit einem Server S irgendwo im Internet. Auf der Daten-verbindungsschicht adressiert Rechner C seine nicht für das eigene LAN bestimmten Datenpa-kete wie üblich an sein Default-Gateway, im skizzierten Fall den Router R, genauer die MAC-Adresse des entsprechenden Interfaces von R im LAN. Details, wie die Frames im WLAN adres-siert werden, sollen an dieser Stelle nicht behandelt werden. Als Absenderadresse verwendet C
11.3 Scannen 237
die MAC-Adresse seines IEEE 802.11-Interfaces. Die Frames werden zunächst per WLAN vonC zum AP geschickt. Dieser übersetzt die Header der Frames vom IEEE 802.11-Frameformatin das Ethernet-Frameformat. Der hier entscheidende Punkt ist, dass dabei die MAC-Adressedes WLAN-Interface von C als Absenderadresse im Ethernet-Frame übernommen wird. Daherwird über das Ethernet ein Frame verschickt, der als Absenderadresse die MAC-Adresse desdrahtlosen Interfaces von C besitzt.
Wird ein solcher Frame im LAN von einem IDS-Sensor registriert, enthält er also die MAC-Adresse des drahtlosen Interfaces von C. Diese MAC Adresse kann nun weitergehend analysiertwerden. Wie bereits in 7.3.1.1 erwähnt, bestehen MAC-Adressen aus 6 Byte, von denen die ers-ten drei Bytes (OUI) vom Hersteller des Interface beim IEEE erworben werden müssen. Da dieHersteller MAC-Adressen global eindeutig vergeben müssen, kann anhand der OUI und weitererMerkmale oft auch genau ermittelt werden, um was für eine Art von Interface es sich handelt.Diese Information ist öffentlich verfügbar und kann dazu genutzt werden, um über das IDS fest-zustellen, dass es sich bei der MAC-Adresse C um die eines WLAN-Interfaces handelt.
In vielen Institutionen ist die Verwendung von WLANs aus Sicherheitsgründen nicht gestattetoder sie werden zumindest in separaten LANs betrieben. Entdeckt man dann wie oben dargestelltin einem LAN ohne autorisierte WLAN-Komponenten eine WLAN-MAC-Adresse, so lässt diesauf die Verwendung eines nicht autorisierten WLAN-Access-Points schließen und weitere Maß-nahmen können eingeleitet werden.
Es gibt Möglichkeiten, einen unautorisierten Access-Point oder einen drahtlosen Client aneinem unautorisierten Access-Point in einem Netzwerk zu betreiben und die oben beschriebeneEnttarnung über die MAC-Adresse zu umgehen, etwa durch die Verwendung einer gefälschtenMAC-Adresse (siehe Abschnitt 8.2.2) oder den Betrieb des Access-Points als Router mit NetworkAddress Translation (NAT) (siehe Abschnitt 9.2.1.5).
11.3 Scannen
11.3.1 Einführung
Ein Programm auf einem Rechner in einem Netzwerk kann anderen Rechnern über das NetzwerkDienste anbieten. Wie in Kapitel 7 erläutert, muss sich hierfür das Programm an einen TCP oderUDP-Port anbinden. An diesem Port eingehende Verbindungen werden dann an es weitergeleitet.
Auf eingehende Verbindungen wartende Programme sind mit einem inhärenten Sicherheits-risiko behaftet, denn man kann diese Dienste von anderen Maschinen aus kontaktieren und soeventuell Schwachstellen im anbietenden Programm wie in Abschnitt 4.6 skizziert ausnutzen.Daher ist es in einer Institution wichtig, genau festzulegen, welche Dienste welcher Rechner ineinem Netzwerk anbieten soll und auch zu überprüfen, dass keine weiteren, zusätzlichen Diensteangeboten werden.
Eine Möglichkeit der Überprüfung ist es, die Konfiguration jedes Rechners in Augenscheinzu nehmen und unerwünschte Dienste abzuschalten. Eine weitere Möglichkeit ist ein Scan desNetzwerks. Unter diesem Begriff versteht man das Abtasten eines Netzes mit dem Ziel, mög-lichst detaillierte und umfassende Informationen über das Netzwerk und die damit verbundenenRechner zu erhalten. Ein Scan kann unter anderem dazu dienen,
238 11 Netzwerküberwachung
• die aktiven Rechner im Netz zu identifizieren,
• festzustellen, welche Dienste auf den einzelnen Maschinen erreichbar sind,
• das Betriebssystem auf den Rechnern zu erkennen und
• die Topologie des Netzes zu analysieren.
Es versteht sich von selbst, dass solche Informationen auch für einen Angreifer von Interessesind. Findet er durch einen Scan Schwachstellen in einem Netzwerk, so kann er diese für einenAngriff ausnutzen. Ein unautorisierter Scan kann daher die Vorstufe eines Angriffs sein. Daherist die Beobachtung derartiger Vorgänge (etwa durch ein IDS) ein sehr ernstzunehmendes Warn-signal. Wir werden uns nun Schritt für Schritt vorarbeiten und das Scannen näher unter die Lupenehmen.
11.3.2 Finden von Geräten im Netz
11.3.2.1 Ping-Sweep
Bei der Analyse eines Netzes stellt sich die Frage, welche Maschinen dort überhaupt vorhandensind. Eine Maschine kann dabei jedes Gerät mit IP-Adresse sein, angefangen vom Desktop-PCüber Server bis hin zu Routern. Hat ein Gerät mehrere IP-Adressen, so kann es bei einem Scanauch mehrfach auftauchen. Die Frage, wie man feststellen kann, ob ein Gerät mehrere Adressenhat, wollen wir im Folgenden ausklammern, ebenso die Frage, wie man tatsächlich vorhandeneGeräte von virtuellen Maschinen oder Proxies unterscheiden kann.
Eine einfache Möglichkeit, aktive Rechner in IP-basierten Netzen zu finden, ist die Verwen-dung von ICMP. Dieses Protokoll wurde in 7.3.3.3 kurz beschrieben und dient zur Übermittlungvon Statusinformationen und Kontrollnachrichten zwischen Zwischenstationen (auch Empfän-gern) und Sendern von IP-Paketen. Das Protokoll bietet die Möglichkeit zu überprüfen, ob einanderer Rechner über das Netz erreicht werden kann oder nicht.
Hierzu sendet der anfragende Rechner ein ICMP-Paket an den zu überprüfenden Rechner mitdem Typ ICMP-Echo-Request. Erreicht ein solches Paket den Empfänger, so antwortet dieserunmittelbar mit einer ICMP-Nachricht vom Typ ICMP-Echo-Response. Die bei Echo-Requests/Responses verwendeten Pakete tragen auch Sequenznummern und Zeitstempel, so dass eine ein-deutige Zuordnung der Antworten zu den Anfragen möglich ist. Auf diese Weise kann man durchdie Verwendung von ICMP auch die durchschnittliche Round Trip Time der Verbindung ermit-teln, also die Zeit, die ein Paket benötigt um vom Sender zum Empfänger und zurück durch dasNetz befördert zu werden. Es gibt darüber hinaus noch eine ganze Reihe weitere Optionen, dieICMP-Echo-Requests und Responses bei der Diagnostik in Netzwerken hilfreich machen.
Die einfachste Einsatzmöglichkeit des ICMP-Echo-Mechanismus ist seine Verwendung umfestzustellen, ob ein bestimmter Rechner im Netzwerk, dessen IP-Adresse man kennt, überhaupterreichbar ist. Ein Anwendungsprogramm, welches das einfache Verwenden von ICMP-Echoserlaubt, ist das Ping-Programm. Der Begriff Pingen hat sich als Synonym für das Versendeneines ICMP-Echo-Requests eingebürgert. Gibt man dem Ping-Programm die IP-Adresse einesRechners, so wird ein ICMP-Echo-Request generiert und die Antwort abgewartet. Abbildung11.5 zeigt einen entsprechenden Screenshot. Wir hatten Ping bereits mehrfach bei unseren prak-tischen Tests eingesetzt, etwa in Abschnitt 7.4 und Abschnitt 9.2.1.6.
11.3 Scannen 239
Abbildung 11.5: Ping.
Erhält man also auf ein Ping eine Antwort, so gibt es im Internet einen Rechner, der die ent-sprechende IP-Adresse verwendet. Die Idee, diesen Mechanismus zu verwenden, um damit akti-ve Rechner im Netzwerk zu suchen, ist naheliegend.
Will man etwa im Netzwerk 192.168.1.0/24 überprüfen, welche Rechner dort aktiv sind, so istvon vornherein bekannt, welche IP-Adressen in diesem Netz verwendet werden können. DieserAdressraum wird dann (vollständig) durch sukzessives „Pingen“ der einzelnen Adressen über-prüft. Dieses Vorgehen wird als Ping Sweep bezeichnet. Es gibt eine Reihe von Tools, die dieseAufgabe selbständig durchführen.
Mittlerweile hat sich herumgesprochen, dass das Beantworten von Ping-Anfragen mit gewis-sen Risiken verbunden ist. Daher bieten die meisten Betriebssysteme die Möglichkeit, die Ant-wort auf ICMP-Echo-Requests zu verhindern und entsprechende Anfragen zu ignorieren.
11.3.2.2 Address Resolution Protocol
Auch das in 7.3.3.6 vorgestellte ARP-Protokoll kann dazu verwendet werden, aktive IP-Adressenin einem Netzwerk zu ermitteln. Wie bereits erwähnt dient ARP dazu, zu einer gegebenen IP-Adresse im eigenen LAN-Segment (Subnetz) die entsprechende MAC-Adresse zu ermitteln.Sendet man also sukzessive ARP-Queries auf die lokalen IP-Adressen aus, kann man sich anhandder Antworten ein Bild über die im Netz verwendeten IP-Adressen machen.
ARP funktioniert nur innerhalb des eigenen Netzwerksegments, daher können mit dieser Me-thode auch nur lokal verfügbare Rechner ermittelt werden.
Die Funktion des ARP-Protokolls, nämlich das Auflösen von IP- in MAC-Adressen, ist für dieNetzwerkkommunikation unentbehrlich. Obwohl es noch andere Probleme mit der Sicherheit desARP-Protokolls wie ARP-Spoofing gibt (siehe Abschnitt 8.2.3) und Alternativen zu ARP durch-aus möglich sind, wird das Protokoll trotzdem in den meisten Netzen eingesetzt. Da ARP nurim lokalen Netz Verwendung findet und daher seine Schwächen nur ausgenutzt werden können,wenn ein Angreifer bereits direkten Zugang zum jeweiligen Netzwerk hat, vertrauen viele Insti-tutionen darauf, dass die Absicherung ihrer Netzwerke gegen unbefugte Zugriffe solche Angriffe
240 11 Netzwerküberwachung
verhindert.
11.3.2.3 Domain Name Service
Eine andere Methode, sich Informationen über ein Netzwerk zu beschaffen, ist die Verwendungdes Domain Name Service (DNS). Wie bereits in 7.3.5.2 beschrieben, wird dieser Dienst da-zu verwendet, Domainnamen in IP-Adressen zu übersetzen. Es ist möglich, mittels sogenannterZone Transfers die DNS-Daten (Resource Records) ganzer Domainbereiche auf einmal zu er-halten. Dies kann einem Angreifer interessante Informationen über die Struktur des Netzwerksund die einzelnen Rechner liefern, speziell bei aussagekräftiger Benennung der Rechner (manbraucht nicht viel detektivischen Spürsinn, um auf eine Idee zu kommen, wer den Rechneruwe-mueller-pc.finanzabteilung.irgendeinefirma.de benutzt und in welcher Abtei-lung er arbeitet). Darüber hinaus kann man die IP-Adressen sämtlicher Rechner des Netzes mitextern sichtbaren Domainnamen erhalten.
Die Administratoren eines Netzwerks verfügen über diese Informationen ohnehin. Daher istdiese Art der Informationsbeschaffung vor allem für Angreifer interessant. Systemadministrato-ren sollten darauf achten, dass die von außen verfügbaren DNS-Informationen über ein Netzwerkauf die tatsächlich notwendigen Daten (d.h. extern verfügbare Server etc.) beschränkt sind. ImIntranet selbst können durchaus weitere DNS-Namen vergeben werden, sofern diese nicht vomInternet aus abgefragt werden können. Es empfiehlt sich also eine strikte Trennung von internemund externem DNS-System.
11.3.3 Portscanning
11.3.3.1 Prinzipielle Vorgehensweise
Eine weitere Möglichkeit, Rechner zu entdecken oder bereits entdeckte Rechner genauer zu un-tersuchen, ist Portscanning. Unter diesem Begriff versteht man das Durchprobieren von TCP-und/oder UDP-Ports eines Rechners mit dem Ziel festzustellen, welche Dienste auf dem Rech-ner verfügbar sind. Wie in 7.3.4.1 bereits erwähnt, gibt es Konventionen, welche TCP- undUDP-Portnummern serverseitig von bestimmten Anwendungsprotokollen verwendet werden. Ei-ne Antwort auf einem entsprechenden Port liefert also bereits einen ersten Hinweis darauf, wel-cher Dienst wahrscheinlich angeboten wird. Portscanning kann bei TCP und UDP durchgeführtwerden. Die prinzipielle Vorgehensweise bei UDP und TCP ist sehr ähnlich. Da UDP verbin-dungslos operiert, gibt es bei UDP-Scans weniger Möglichkeiten als für TCP. Daher werden wiruns im Folgenden hauptsächlich mit TCP befassen.
11.3.3.2 TCP-Connect-Scan
Die einfachste Variante eines TCP-Scans ist der TCP-Connect-Scan. Dabei wird versucht, eineTCP-Verbindung mit dem zu scannenden Port auf dem Zielsystem aufzubauen. Die bei einem er-folgreichen Verbindungsaufbau durchlaufenen Schritte kennen wir bereits aus Abschnitt 7.3.4.1,wo sie in Abbildung 7.9 dargestellt wurden. Wenn auf dem gescannten System keine Anwendungam überprüften TCP-Port auf eingehende Verbindungen wartet, so schlägt der Verbindungsver-such fehl. Dabei gibt es wiederum zwei Möglichkeiten, die in Abbildung 11.6 skizziert sind.
11.3 Scannen 241
SYN
Zeit
ICMP Port unreachable
SYN
Zeit
SYN
SYN
(timeout)
(timeout)
failed
...
keine Antwort ICMP-Port-unreachable-Nachricht
Abbildung 11.6: Möglichkeiten bei fehlgeschlagenen TCP-Verbindungsversuchen.
Im ersten Fall erhält der anfragende Rechner auf das ausgesandte SYN überhaupt keine Ant-wort. Dies ist im linken Teil der Abbildung dargestellt. Nach mehreren weiteren Versuchen gibtder anfragende Rechner auf. Die zweite Möglichkeit ist der Erhalt einer ICMP-Nachricht wieim rechten Teil der Abbildung dargestellt. In diesem Fall sendet der kontaktierte Rechner nachEmpfang des Segments mit gesetzem SYN-Flag eine ICMP-Port-unreachable Nachricht an denSender des Segments. Bei Empfang bricht der Sender seinen Versuch, eine Verbindung zumentsprechenden Port auf dem anderen Rechner aufzubauen, sofort ab. Für den Sender ist diesvorteilhaft, denn der Verbindungsaufbau wird in diesem Fall wesentlich schneller abgebrochenals bei einem Timeout. Der Empfang einer ICMP-Nachricht ist bei einem Scan jedoch eine wert-volle Information, denn er verrät zumindest, dass die entsprechende IP-Adresse tatsächlich ver-wendet wird. Es gibt noch andere Varianten, wie ein Verbindungsversuch fehlschlagen kann, aufdie wir aber hier nicht näher eingehen können.
Kommt die Verbindung zustande, so kann man bei vielen Diensten eine Reihe weiterer Infor-mationen sammeln. Begrüßt einen die dahinterliegende Anwendung mit einer Meldung, welchedie eindeutige Identifizierung des antwortenden Programms und dessen Version sowie vielleichtsogar noch des auf dem Rechner laufenden Betriebssystems ermöglicht, kann ein Angreifer da-durch vielleicht sogar schon erfahren, ob ein bestimmter Angriff aufgrund bekannter Schwach-stellen in der entsprechenden Version des Programms lohnend erscheint oder nicht. Das Extra-hieren von solchen Informationen aus den Begrüßungsmeldungen der Anwendungen ist unterdem Begriff Banner Grabbing bekannt. Es hat sich mittlerweile herumgesprochen, dass es nichtbesonders ratsam ist, derartige Informationen jedem zu liefern, der ein Programm kontaktiert.
11.3.3.3 TCP-SYN-Scan
Bei obiger Vorgehensweise kommt zwischen der scannenden Maschine und dem gescanntenRechner im Erfolgsfall eine Verbindung zustande. Verbindungen werden meistens durch das Be-triebssystem und auch die Anwendung protokolliert, welche die Verbindung entgegennimmt,
242 11 Netzwerküberwachung
SYNZe
it
RST
SYN ACK
Abbildung 11.7: Reset vor Abschluss des Three-Way-Handshakes bei TCP.
und in ein Log geschrieben. Auf diese Weise hinterlässt ein potentieller Angreifer also Spu-ren, die er vielleicht lieber verwischen würde. Eine Möglichkeit besteht darin, die Verbindungnicht zustande kommen zu lassen, sondern den Verbindungsaufbau vor der Vervollständigungdes Three-Way-Handshakes abzubrechen. Diese Variante ist unter dem Namen TCP-SYN-Scanbekannt und ist in Abbildung 11.7 dargestellt.
Der scannende Rechner beginnt wie bei einem gewöhnlichen Verbindungsaufbau. Erhält erdie beim Three-Way-Handshake übliche Antwort, so bricht der scannende Rechner den Verbin-dungsaufbau ab, indem er nicht wie normalerweise den Empfang des Segments mit gesetztemSYN-Flag und gesetztem ACK-Flag bestätigt, sondern ein Segment mit gesetztem RST-Flag(„Reset“) zurückschickt und damit den Verbindungsaufbau abbricht. Natürlich ist bei einem sol-chen Scan Banner Grabbing nicht möglich. Dafür ist die Wahrscheinlichkeit, dass der Scan un-entdeckt bleibt, etwas höher.
11.3.3.4 Weitere TCP-Scans
Eine weitere Möglichkeit, TCP-Ports zu überprüfen, besteht darin, gar nicht erst eine Verbin-dung aufzubauen, sondern TCP-Segmente zu fabrizieren, die zu keiner Verbindung gehören. DieReaktion auf solche Segmente erlaubt wiederum Rückschlüsse auf die Frage, ob die IP-Adressetatsächlich in Verwendung ist und ob an dem Port ein Programm auf eingehende Verbindungenwartet oder nicht. Die TCP-Spezifikation [RFC 793] verlangt, dass solche Segmente an Ports,die nicht auf eingehende Verbindungen warten, mit einem TCP-Reset beantwortet werden müs-sen, während an Ports, die auf Verbindungen warten, keine Reaktion erfolgen sollte. Auch wenneinige Betriebssysteme diese Spezifikationen nicht exakt erfüllen, ist ein TCP-Reset als Ant-wort auf ein fabriziertes TCP-Segment zumindest ein klares Indiz dafür, dass die entsprechende
11.3 Scannen 243
IP-Adresse in Betrieb ist.Es ist sogar möglich, einen anderen Rechner zu scannen, ohne ihn direkt zu kontaktieren.
Beim sogenannten Idle-Scan sendet der scannende Rechner eine Anfrage mit einer gefälschtenIP-Quelladresse an das Zielsystem. Die IP-Quelladresse gehört dabei einem dritten Rechner, derje nachdem, ob der gescannte Port offen oder geschlossen ist, unterschiedliche Antworten vomZielsystem erhält (die er gar nicht angefordert hat) und auf diese dann auch unterschiedlich rea-giert. Diese Reaktionen des dritten Rechners beobachtet der scannende Rechner dabei indirekt,indem er den dritten Rechner vorher und nachher scannt. Der dritte Rechner muß dabei nichteinmal unter der Kontrolle des Angreifers stehen, allerdings funktioniert dieser Scan nur unterbestimmten Voraussetzungen.
11.3.3.5 OS-Fingerprinting
Durch die oben verwendeten Methoden lassen sich nicht nur aktive IP-Adressen und angeboteneDienste ermitteln, sondern oftmals ist es auch möglich, das auf dem gescannten Rechner laufendeBetriebssystem mehr oder weniger genau zu bestimmen. Dieses Vorgehen ist unter dem NamenOS (Operating System)-Fingerprinting bekannt. Einige der Merkmale, die eine Identifizierungdes Betriebssystems erlauben können, sind:
• die auf der Maschine verfügbaren Dienste,
• durch Banner Grabbing erhaltene Informationen und
• die Analyse der Reaktionen des Betriebssystems auf bestimmte Anfragen.
Die ersten beiden Punkte bedürfen keiner weiteren Erläuterung, doch auf den letzten Punktwollen wir noch etwas genauer eingehen. Die Implementierung des TCP/IP-Protokollstacks un-terscheidet sich von Betriebssystem zu Betriebssystem geringfügig. Diese geringfügigen Unter-schiede zeigen sich in marginalen Differenzen im Verhalten in bestimmten Situationen. Testetund beobachtet man gezielt das Verhalten eines Rechners im Hinblick auf diese Unterschiede,so kann man dadurch relativ präzise feststellen, welches Betriebssystem auf der Maschine läuft.Nimmt man all diese Informationen zusammen, so können sogar in einigen Fällen bestimmteVarianten desselben Betriebssystems unterschieden werden.
11.3.4 Schutz vor Scanning
Zusammenfassend kann eine Analyse von durch Scanning gewonnenen Daten einem Angreifereine Fülle von Informationen über das gescannte Netz liefern, bis hin zu möglichen Angriffs-punkten, von denen ausgehend sich der Angreifer dann vorarbeiten kann. Aus Sicherheitsgrün-den ist es also ratsam, darauf zu achten, dass durch Scanning möglichst wenig oder sogar keineInformationen über das Netz und die im Netz befindlichen Rechner gewonnen werden können.
Um Scans eines unternehmensinternen Intranets aus dem Internet zu unterbinden, bietet sicheine entsprechende Konfiguration der Firewall an. Werden bereits an der Firewall ICMP-Echo-Requests und eingehende TCP-Verbindungsanfragen geblockt, sind einige der oben skizziertenScanning-Methoden aus dem Internet heraus schon nicht mehr praktikabel, da sie durch die Fire-wall unterbunden werden. Ist die Firewall dynamisch, können auch unangefordert an das Intranet
244 11 Netzwerküberwachung
gerichtete UDP-Datagramme blockiert werden, und fabrizierte TCP-Segmente, die nicht zu einerbestehenden Verbindung gehören, werden ebenfalls aufgehalten. Auch die strikte Trennung zwi-schen internem und externem DNS-System kann durch die Firewall überwacht werden. Wenndie Firewall also restriktiv genug ist, dann kann sie Scans des hinter ihr liegenden Netzes nahezuganz verhindern. Der Vollständigkeit halber sei erwähnt, dass bestimmte Arten von Scans auchInformationen über die zum Schutz des Intranets verwendete Firewall liefern.
Das Scannen eines Intranets von einem Rechner aus dem Intranet heraus lässt sich so gut wienicht verhindern. Jeder Dienst, den ein Rechner im Intranet bereitstellt, ist durch einen Scanzu entdecken. Nicht nur deshalb ist es ratsam, die in Abschnitt 4.6 skizzierten Maßnahmen zubefolgen und nicht benötigte Dienste auf den Rechnern abzuschalten. Da man Scans im Intranetnicht verhindern kann, sollte man sie wenigstens entdecken, um geeignete Gegenmaßnahmeneinleiten zu können. Dies ist ein Grund, warum der Betrieb eines IDS wichtig ist.
11.3.5 Scanning zum Schutz des Netzes
Die Möglichkeit Netze zu scannen kann nicht nur von Angreifern missbraucht werden, um Infor-mationen über mögliche Ziele zu erhalten, sondern Scannen kann vor allen Dingen auch gezieltdazu eingesetzt werden, die Sicherheit des Netzes im laufenden Betrieb zu überwachen. EinSystemadministrator kann durch den Scan seines Netzes
• bestehende Schwachstellen in angebotenen Diensten finden (bevor ein Angreifer dies tut)und
• unerwünschte, von Benutzern oder Malware unautorisiert oder ungewollt eingerichteteDienste finden.
Der erste Punkt ist klar und bedarf eigentlich keiner weiteren Erläuterung. Das Finden un-autorisiert eingerichteter Dienste durch Scans ist ein sehr wichtiger Punkt. Hat beispielsweiseein Nutzer unautorisiert einen Webserver auf seinem PC eingerichtet, wird ein Scan des Systemsdiesen Dienst finden und die Abschaltung des Dienstes kann veranlasst werden. Gleiches gilt fürunerlaubt verwendete Zusatzkomponenten (WLAN-Router, privater Laptop, etc.).
Es wird manchmal diskutiert, inwieweit Tools, die eine Überprüfung der Sicherheit in Netzenerlauben, schädlich oder nützlich sind und beispielsweise verboten und deren Benutzung unterStrafe gestellt werden sollten. Die Antwort auf diese Frage sollte eigentlich offensichtlich sein:Verbietet man diese Werkzeuge, so werden sich die Angreifer von deren Einsatz wohl kaumabbringen lassen. Für einen Angreifer ist die Überprüfung des Netzes oft nur die Vorstufe zueinem Angriff, der ohnehin strafrechtlich verfolgt werden kann. Umgekehrt verlieren die Be-treiber der Netze bei einem Verbot die Möglichkeit, ihr Netz regelmäßig (wie ein Angreifer) aufSchwachstellen zu prüfen und so vorbeugend aktiv werden zu können. Somit ist ein Verbot dieserWerkzeuge also wenig hilfreich.
Bedauerlicherweise findet der Einsatz und die Entwicklung solcher sinnvollen Tools zur Ver-besserung der IT-Sicherheit in Deutschland zukünftig trotzdem in einer rechtlichen Grauzonestatt. Im Sommer 2007 wurde vom Gesetzgeber das Strafrechtsänderungsgesetz (StrÄndG) zurBekämpfung der Computerkriminalität beschlossen [StrÄndG]. In §202c Abs. 1 heißt es wört-lich: „Wer eine Straftat (..) vorbereitet, indem er (...) Computerprogramme, deren Zweck die
11.3 Scannen 245
Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einemanderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einemJahr oder mit Geldstrafe bestraft.“ Viele Branchenvertreter befürchten wohl nicht zu Unrecht,dass gerade der oben zitierte Satz 2 die Arbeit von IT-Sicherheitsexperten und Forschern krimi-nalisieren könnte. Tools, die Netzwerke analysieren, um Schwachstellen aufzuspüren, sind perse immer auch dazu geeignet, zur Vorbereitung eines Angriffs missbraucht zu werden.
Somit sehen sich zumindest die Entwickler solcher Werkzeuge nun mit einer unklaren Rechts-lage konfrontiert. Es bleibt abzuwarten, wie die ersten Präzedenzfälle vor Gericht entschiedenwerden. Sollte es tatsächlich zu Urteilen kommen, welche die Entwickler von Sicherheitstoolsoder Betreiber von Webseiten, die diese anbieten, kriminalisieren, so wäre dies wahrscheinlichein ausgesprochen kontraproduktives Ergebnis.
Hacker mit kriminellen Absichten werden sich durch einen solchen Paragraphen kaum ab-schrecken lassen, da sie ohnehin noch weit schwerere Straftaten begehen, wohl aber rechtschaffe-ne Sicherheitsexperten. Damit wäre ungewollt ein gesetzlicher Vorsprung für kriminelle Hackergegenüber den Sicherheitsexperten geschaffen worden.
11.4 Zusammenfassung
Unter Intrusion Detection versteht man das Überwachen von Systemen und/oder Netz-werken mit dem Ziel, unerwünschte oder nicht autorisierte Vorgänge zu erkennen,zu protokollieren und zu melden. Es gibt verschiedene Typen von Intrusion Detecti-on Systemen, darunter insbesondere netzwerkbasierte und hostbasierte Systeme sowiehybride Formen. Intrusion Detection Systeme können Angriffe, Missbrauch oder auchirreguläres Systemverhalten bemerken. Problematisch bei einem Intrusion DetectionSystem ist die richtige Austarierung der Konfiguration, so dass einerseits Fehlalarmevermieden werden, aber andererseits tatsächliche Intrusions auch wirklich gemeldetwerden. Ein netzwerkbasiertes Intrusion Detection System besteht aus einem odermehreren Sensoren, die ihre Meldungen an einen Server mit Datenbankfunktion wei-terleiten. Die Sensoren sollten so positioniert sein, dass das gesamte Netzwerk abge-deckt wird.Durch Netzwerkscanner ist es möglich, ein Netzwerk aktiv auf vorhandene Diensteund mögliche Schwachstellen zu überprüfen. Es gibt eine Vielzahl von Möglichkei-ten, wie aktive Rechner in einem Netzwerk ermittelt werden können, angefangen vonder Verwendung von Funktionen der Netzwerkschicht bis hin zu verschiedenen Vari-anten von Portscans. Dabei ist es eventuell sogar möglich, das Betriebssystem einesRechners festzustellen.
246 11 Netzwerküberwachung
11.5 Übungsaufgaben
11.5.1 Wiederholungsaufgaben
Aufgabe 11.1:
Definieren Sie den Begriff „Intrusion Detection System“.
Aufgabe 11.2:
Erklären und klassifizieren Sie mögliche Ursachen für den Alarm eines Intrusion Detection Sys-tems.
Aufgabe 11.3:
Erläutern Sie Aufbau, Funktionsweise und Architektur eines netzwerkbasierten Intrusion Detec-tion Systems. Gehen Sie dabei auch auf die verschiedenen möglichen Typen von Sensoren ein.
Aufgabe 11.4:
Beschreiben Sie Gemeinsamkeiten und Unterschiede von netzwerkbasierten Intrusion DetectionSystemen und Paketfiltern.
Aufgabe 11.5:
Skizzieren Sie, wie und unter welchen Voraussetzungen ein Intrusion Detection System unauto-risiert aufgestellte WLAN-Access-Points entdecken kann.
Aufgabe 11.6:
Erklären Sie, wie man aktive Geräte in einem Netzwerk entdecken kann und welche Möglich-keiten es gibt, dies zu verhindern.
Aufgabe 11.7:
Beschreiben Sie die verschiedenen vorgestellen Varianten von TCP-Port-Scanning und verglei-chen Sie sie.
Aufgabe 11.8:
Erläutern Sie, was man unter OS-Fingerprinting versteht.
11.5.2 Weiterführende Aufgaben
Aufgabe 11.9:
Ein in der Praxis eingesetztes IDS ist das Open-Source-System Snort [Snort-Web]. Recher-chieren Sie Details der Funktionsweise von Snort und möglicher Zusatzkomponenten des Pro-gramms. Installieren Sie Snort auf einem Rechner und testen Sie seine Funktionsweise.
