intrusion detection intrusion hanne/networksecurity/ids-fhf.pdfinhalt • begriffsdefinitionen •...

Download Intrusion Detection Intrusion hanne/NetworkSecurity/IDS-FHF.pdfInhalt • Begriffsdefinitionen • Aufgaben eines Intrusion Detection Systems • Architektur eines Intrusion Detection

Post on 06-Feb-2018

215 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

  • Intrusion Detection & Intrusion Detection & Intrusion PreventionIntrusion Prevention

    Tobias Marx

    Gastvorlesung Sicherheit in Netzen14. April 2005

  • InhaltInhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion Detection Systems Methoden der Datensammlung Methoden der Datenanalyse Ergebnisdarstellung Gegenmanahmen Intrusion Prevention Systeme IDS vs. IPS Was sollte ein IDS/IPS erkennen?

  • BegriffsdefinitionenBegriffsdefinitionen

    Intrusion Bswillige Verletzung der Security Policy

    Intrusion Detection Erkennung einer bswilligen Verletzung der Security Policy

    Intrusion Detection System Virtueller Einbrecheralarm

  • Aufgaben eines Intrusion Aufgaben eines Intrusion Detection SystemsDetection Systems

    Angriffe gegen Netzwerke erkennen

    Angriffe gegen Rechnersysteme erkennen

    Informationen zu den Angriffen liefern

    Einhaltung der Security Policy berwachen

    Gegenmanahmen einleiten

  • Architektur eines Architektur eines Intrusion Detection SystemsIntrusion Detection Systems

    Sensor Datensammlung

    Detektor Datenanalyse

    Ergebnisdarstellung Ergebnis der Datenanalyse / Alarmierung

    Gegenmanahmen Einleiten von aktiven Gegenmassnahmen

  • Methoden der Methoden der DatensammlungDatensammlung

    Hostbasiert (HIDS) Daten eines Hosts/Systems werden gesammelt Quellen: System- und Anwendungsdaten

    Logdateien (system-log, security-log, application-log, w-events) Dateiattribute (owner, group, permissions, size) Windows Registry Prozessliste Kernel Monitoring...

    Netzwerkbasiert (NIDS) Daten eines Netzwerks werden gesammelt Netzwerksniffer

  • Methoden der DatenanalyseMethoden der Datenanalyse

    Signaturanalyse

    Anomalieerkennung

  • SignaturanalyseSignaturanalyse Vorgehensweise

    Suche nach Signaturen/Angriffsmustern (Pattern Matching)

    beim HIDS Prfung von Systemdateien / Logdateien auf bestimmte Inhalte /

    Muster

    bspw. W-Registry, Systemlogs, Anwendungslogs (Apache), (Failed Logins, Registry-Manipulation wg. Trojaner etc.)

    Prfung von Systemkomponenten (Kernel, Prozesse etc.) auf bestimmte Muster (Backdoor-/Rootkit-Detection, Kernel-Monitoring)

    Vgl. vordefinierte Signaturcontainer (OS, Anwendungen etc.)

    beim NIDS Prfung der Netzwerkpakete auf Angriffsmuster

    Paket-Header, Paket-Payload

  • SignaturanalyseSignaturanalyse

    Vortteile False Positive Rate gering Suche nach bestimmten Angriffen

    Nachteile IDS von Signaturdatenbank abhngig

    neue Angriffe werden nicht erkannt

    Fazit IDS ist nur so gut wie seine Signaturdatenbank vgl.

    Virenscanner

  • AnomalieerkennungAnomalieerkennung

    Vorgehensweise Suche nach Anomalien / Abweichung vom Normalzustand definiere das Normalverhalten bzw. Normalzustand

  • Anomalieerkennung beim Anomalieerkennung beim HIDSHIDS

    nderungen von Dateiattributen

    owner

    group

    permissions

    nderungen von Hashwerten

    bspw. MD5-Summe von wichtigen Konfigdateien

    Vgl. Snapshot von Neuinstallation

    Manipulation von Dateien, Verzeichnissen etc. erkennbar

  • Arten der AnomalieerkennungArten der Anomalieerkennung

    Statistischer Ansatz Festlegung von zustandsabhngigen oder

    zustandsunabhngigen Parametern

    Logischer Ansatz Betrachtung der zeitlichen Abfolge von Ereignissen

    Protocol/Traffic Anomalien Nicht RFC-konformer Netzwerkverkehr untypischer Netzwerkverkehr

  • AnomalieerkennungAnomalieerkennung

    Vorteile False Negative Rate gering Neue Angriffe erkennen

    Nachteile False Positive Rate hoch

    Problem: Was ist das Normalverhalten???

  • ErgebnisdarstellungErgebnisdarstellung

    Benachrichtigung der verantwortlichen Person(en) (Alarmierung)

    Hilfsmittel E-Mail WinPopup

    SNMP Eintrge in Logdatei (syslog)

  • GegenmanahmenGegenmanahmen

    Aktive Reaktion auf Angriff durch IDS

    Hilfsmittel Firewall-Hardening Verbindungen terminieren durch senden von

    TCP-RST Ausfhren von selbst geschriebenen Skripten

  • Hostbasiert vs. Hostbasiert vs. NetzwerkbasiertNetzwerkbasiert

    Zwei verschiedene Arten von Daten System- und Anwendungsdaten / Netzwerkdaten

    HIDS

    Vorteile: Lokale Attacken, Attacken auf Dienste, Attacken auf Dateien

    sind erkennbar

    Nachteile: keine Netzwerkangriffe erkennbar, Daten sind nicht mehr im

    ursprnglichen Zustand

  • Hostbasiert vs. Hostbasiert vs. NetzwerkbasiertNetzwerkbasiert

    NIDS

    Vorteile: Attacken auf mehre Hosts / Netzwerke, Anzeichen von

    Attacken, Missbrauch von Netzwerkressourcen erkennbar

    Nachteile: Netzwerkbandbreite, Fehlalarme, Switches, verschlsselte

    Verbindungen

  • Was sollte ein IDS/IPS Was sollte ein IDS/IPS erkennen?erkennen?

    HIDS Manipulationen von Dateien, Registry, Kernel etc... Installationen von Rootkits und Backdoors Erfolgreiche Angriffe

    NIDS Portscans Buffer Overflows & Co. Wrmer / Trojaner / Bots DoS-Attacken Spoofing-Attacken Verste gegen die Security Policy...

  • Intrusion Prevention SystemeIntrusion Prevention Systeme

    Sind NIDS aber.....

    aktive Systeme

    In-Line Modi

    Bridge, Router, Proxy-ARP

    Pakete/Verbindungen knnen verworfen (drop) werden

  • IDS vs. IPSIDS vs. IPS

    IDS Vorteile gleichzeitige berwachung von mehreren

    Netzwerksegmenten mglich (NIDS)

    berwachung einzelner Systeme mglich (HIDS)

    keine Beeintrchtigung des Netzwerkverkehrs bei Systemausfllen

    False Positives

    einfacher zu konfigurieren da passives System

  • IDS vs. IPSIDS vs. IPS

    IDS Nachteile nur Angriffserkennung und Benachrichtigung (vgl. SQL-

    Slammer)

    keine Mglichkeit Pakete/Verbindungen zu verwerfen (drop)

  • IDS vs. IPSIDS vs. IPS

    IPS Vorteile

    Pakete/Verbindungen knnen verworfen (drop) werden

    gleichzeitige Angriffserkennung und Abwehr (SQL-Slammer)

  • IDS vs. IPSIDS vs. IPS

    IPS Nachteile Beeintrchtigung des Netzwerkverkehrs bei

    Systemausfllen False Positives

    Schwieriger zu konfigurierenFalse Positives knnen zu Strungen des

    Netzwerkverkehrs fhren

    Performance Probleme bei sehr hohen Bandbreiten

  • IDS vs. IPSIDS vs. IPS

    Grundstzliche Frage...

    Ist es ausreichend einen Angriff nur zu erkennen, oder muss dieser nach Mglichkeit auch gleichzeitig verhindert werden knnen?

Recommended

View more >