Intrusion Detection Intrusion hanne/NetworkSecurity/IDS-FHF.pdfInhalt • Begriffsdefinitionen • Aufgaben eines Intrusion Detection Systems • Architektur eines Intrusion Detection Systems • Methoden der Datensammlung

Download Intrusion Detection  Intrusion  hanne/NetworkSecurity/IDS-FHF.pdfInhalt • Begriffsdefinitionen • Aufgaben eines Intrusion Detection Systems • Architektur eines Intrusion Detection Systems • Methoden der Datensammlung

Post on 06-Feb-2018

213 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

<ul><li><p>Intrusion Detection &amp; Intrusion Detection &amp; Intrusion PreventionIntrusion Prevention</p><p>Tobias Marx</p><p>Gastvorlesung Sicherheit in Netzen14. April 2005</p></li><li><p>InhaltInhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion Detection Systems Methoden der Datensammlung Methoden der Datenanalyse Ergebnisdarstellung Gegenmanahmen Intrusion Prevention Systeme IDS vs. IPS Was sollte ein IDS/IPS erkennen?</p></li><li><p>BegriffsdefinitionenBegriffsdefinitionen</p><p> Intrusion Bswillige Verletzung der Security Policy </p><p> Intrusion Detection Erkennung einer bswilligen Verletzung der Security Policy</p><p> Intrusion Detection System Virtueller Einbrecheralarm</p></li><li><p>Aufgaben eines Intrusion Aufgaben eines Intrusion Detection SystemsDetection Systems</p><p> Angriffe gegen Netzwerke erkennen</p><p> Angriffe gegen Rechnersysteme erkennen</p><p> Informationen zu den Angriffen liefern</p><p> Einhaltung der Security Policy berwachen</p><p> Gegenmanahmen einleiten </p></li><li><p>Architektur eines Architektur eines Intrusion Detection SystemsIntrusion Detection Systems</p><p> Sensor Datensammlung</p><p> Detektor Datenanalyse</p><p> Ergebnisdarstellung Ergebnis der Datenanalyse / Alarmierung</p><p> Gegenmanahmen Einleiten von aktiven Gegenmassnahmen </p></li><li><p>Methoden der Methoden der DatensammlungDatensammlung</p><p> Hostbasiert (HIDS) Daten eines Hosts/Systems werden gesammelt Quellen: System- und Anwendungsdaten</p><p> Logdateien (system-log, security-log, application-log, w-events) Dateiattribute (owner, group, permissions, size) Windows Registry Prozessliste Kernel Monitoring...</p><p> Netzwerkbasiert (NIDS) Daten eines Netzwerks werden gesammelt Netzwerksniffer</p></li><li><p>Methoden der DatenanalyseMethoden der Datenanalyse</p><p> Signaturanalyse</p><p> Anomalieerkennung</p></li><li><p>SignaturanalyseSignaturanalyse Vorgehensweise</p><p> Suche nach Signaturen/Angriffsmustern (Pattern Matching)</p><p> beim HIDS Prfung von Systemdateien / Logdateien auf bestimmte Inhalte / </p><p>Muster</p><p> bspw. W-Registry, Systemlogs, Anwendungslogs (Apache), (Failed Logins, Registry-Manipulation wg. Trojaner etc.)</p><p> Prfung von Systemkomponenten (Kernel, Prozesse etc.) auf bestimmte Muster (Backdoor-/Rootkit-Detection, Kernel-Monitoring)</p><p> Vgl. vordefinierte Signaturcontainer (OS, Anwendungen etc.)</p><p> beim NIDS Prfung der Netzwerkpakete auf Angriffsmuster</p><p> Paket-Header, Paket-Payload</p></li><li><p>SignaturanalyseSignaturanalyse</p><p> Vortteile False Positive Rate gering Suche nach bestimmten Angriffen</p><p> Nachteile IDS von Signaturdatenbank abhngig</p><p> neue Angriffe werden nicht erkannt</p><p> Fazit IDS ist nur so gut wie seine Signaturdatenbank vgl. </p><p>Virenscanner</p></li><li><p>AnomalieerkennungAnomalieerkennung</p><p> Vorgehensweise Suche nach Anomalien / Abweichung vom Normalzustand definiere das Normalverhalten bzw. Normalzustand</p></li><li><p>Anomalieerkennung beim Anomalieerkennung beim HIDSHIDS</p><p> nderungen von Dateiattributen</p><p> owner</p><p> group</p><p> permissions</p><p> nderungen von Hashwerten</p><p> bspw. MD5-Summe von wichtigen Konfigdateien</p><p> Vgl. Snapshot von Neuinstallation</p><p> Manipulation von Dateien, Verzeichnissen etc. erkennbar</p></li><li><p>Arten der AnomalieerkennungArten der Anomalieerkennung</p><p> Statistischer Ansatz Festlegung von zustandsabhngigen oder </p><p>zustandsunabhngigen Parametern</p><p> Logischer Ansatz Betrachtung der zeitlichen Abfolge von Ereignissen</p><p> Protocol/Traffic Anomalien Nicht RFC-konformer Netzwerkverkehr untypischer Netzwerkverkehr</p></li><li><p>AnomalieerkennungAnomalieerkennung</p><p> Vorteile False Negative Rate gering Neue Angriffe erkennen</p><p> Nachteile False Positive Rate hoch</p><p> Problem: Was ist das Normalverhalten???</p></li><li><p>ErgebnisdarstellungErgebnisdarstellung</p><p> Benachrichtigung der verantwortlichen Person(en) (Alarmierung)</p><p> Hilfsmittel E-Mail WinPopup</p><p> SNMP Eintrge in Logdatei (syslog)</p></li><li><p>GegenmanahmenGegenmanahmen</p><p> Aktive Reaktion auf Angriff durch IDS</p><p> Hilfsmittel Firewall-Hardening Verbindungen terminieren durch senden von </p><p> TCP-RST Ausfhren von selbst geschriebenen Skripten</p></li><li><p>Hostbasiert vs. Hostbasiert vs. NetzwerkbasiertNetzwerkbasiert</p><p> Zwei verschiedene Arten von Daten System- und Anwendungsdaten / Netzwerkdaten</p><p> HIDS</p><p>Vorteile: Lokale Attacken, Attacken auf Dienste, Attacken auf Dateien </p><p>sind erkennbar</p><p>Nachteile: keine Netzwerkangriffe erkennbar, Daten sind nicht mehr im </p><p>ursprnglichen Zustand</p></li><li><p>Hostbasiert vs. Hostbasiert vs. NetzwerkbasiertNetzwerkbasiert</p><p> NIDS</p><p>Vorteile: Attacken auf mehre Hosts / Netzwerke, Anzeichen von </p><p>Attacken, Missbrauch von Netzwerkressourcen erkennbar</p><p>Nachteile: Netzwerkbandbreite, Fehlalarme, Switches, verschlsselte </p><p>Verbindungen</p></li><li><p>Was sollte ein IDS/IPS Was sollte ein IDS/IPS erkennen?erkennen?</p><p> HIDS Manipulationen von Dateien, Registry, Kernel etc... Installationen von Rootkits und Backdoors Erfolgreiche Angriffe</p><p> NIDS Portscans Buffer Overflows &amp; Co. Wrmer / Trojaner / Bots DoS-Attacken Spoofing-Attacken Verste gegen die Security Policy...</p></li><li><p>Intrusion Prevention SystemeIntrusion Prevention Systeme</p><p>Sind NIDS aber.....</p><p> aktive Systeme</p><p> In-Line Modi</p><p> Bridge, Router, Proxy-ARP</p><p> Pakete/Verbindungen knnen verworfen (drop) werden</p></li><li><p>IDS vs. IPSIDS vs. IPS</p><p> IDS Vorteile gleichzeitige berwachung von mehreren </p><p>Netzwerksegmenten mglich (NIDS)</p><p> berwachung einzelner Systeme mglich (HIDS)</p><p> keine Beeintrchtigung des Netzwerkverkehrs bei Systemausfllen</p><p> False Positives</p><p> einfacher zu konfigurieren da passives System</p></li><li><p>IDS vs. IPSIDS vs. IPS</p><p> IDS Nachteile nur Angriffserkennung und Benachrichtigung (vgl. SQL-</p><p>Slammer)</p><p> keine Mglichkeit Pakete/Verbindungen zu verwerfen (drop)</p></li><li><p>IDS vs. IPSIDS vs. IPS</p><p> IPS Vorteile</p><p> Pakete/Verbindungen knnen verworfen (drop) werden</p><p> gleichzeitige Angriffserkennung und Abwehr (SQL-Slammer)</p></li><li><p>IDS vs. IPSIDS vs. IPS</p><p> IPS Nachteile Beeintrchtigung des Netzwerkverkehrs bei</p><p> Systemausfllen False Positives </p><p> Schwieriger zu konfigurierenFalse Positives knnen zu Strungen des </p><p>Netzwerkverkehrs fhren</p><p> Performance Probleme bei sehr hohen Bandbreiten</p></li><li><p>IDS vs. IPSIDS vs. IPS</p><p>Grundstzliche Frage...</p><p>Ist es ausreichend einen Angriff nur zu erkennen, oder muss dieser nach Mglichkeit auch gleichzeitig verhindert werden knnen?</p></li></ul>