Intrusion Detection Sven Diesendorf INF02. Übersicht 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau

Download Intrusion Detection Sven Diesendorf INF02. Übersicht 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau

Post on 05-Apr-2015

107 views

Category:

Documents

2 download

Embed Size (px)

TRANSCRIPT

<ul><li> Folie 1 </li> <li> Intrusion Detection Sven Diesendorf INF02 </li> <li> Folie 2 </li> <li> bersicht 1 Einfhrung Intrusion Intrusion Detection Firewall und Intrusion Detection System 2 Technik Aufbau und Funktionsweise von IDS Host Intrusion Detection System Networt Intrusion Detection System Honeypot </li> <li> Folie 3 </li> <li> bersicht 3 Praxis Einfaches Host Intrusion Detection System Einfaches Network Intrusion Detection System 4 Zusammenfassung </li> <li> Folie 4 </li> <li> 1 Einfhrung Intrusion Was ist Intrusion, wie kann man diese definieren Eine Intrusion ist ein unerlaubter Zugriff auf oder Aktivitt in einem Informationssystem Handlungen von Personen Unterscheidung in Angriff, Missbrauch, Anomalie </li> <li> Folie 5 </li> <li> 1 Einfhrung es beginnt alles mit einem Portscan Wer fhrt den Portscan durch? Wieso wird der Portscan durchgefhrt? sind diese Informationen bekannt, kann man unterscheiden zwischen Angriff und Missbrauch </li> <li> Folie 6 </li> <li> 1 Einfhrung Intrusion Detection Drei Kategorien von Intrusion Detection: Angriffs/Einbruchserkennung Missbraucherkennung Anomalieerkennung </li> <li> Folie 7 </li> <li> 1 Einfhrung Angriffs-/Einbruchserkennung Angriffe von Auen erkennen Missbrauchserkennung Angriffe durch Insider erkennen Anomalieerkennung Erkennung von ungewhnlichen Systemzustnden </li> <li> Folie 8 </li> <li> 1 Einfhrung Firewall und Intrusion Detection System Firewall trennendes Glied zwischen 2 Netzen erlaubt nur bestimmte Informationen auszutauschen ist im OSI-Modell zwischen Schicht 2 und 7 implementiert </li> <li> Folie 9 </li> <li> 1 Einfhrung </li> <li> Folie 10 </li> <li> kann Kommunikation einschrnken kann den Verkehr analysieren und einschrnken kann Angreifer von innen nicht erkennen Abhilfe durch Intrusion Detection System </li> <li> Folie 11 </li> <li> 1 Einfhrung Intrusion Detection System 2 Arten: Host Intrusion Detection System Network Intrusion Detection System Ziele: bei einem Angriff muss die Untersttzung bei der Reaktion vorhanden sein Fehlertoleranz Geringer Administrationsaufwand und selbststndige Lauffhigkeit Leichte Installation in das vorhandene System </li> <li> Folie 12 </li> <li> 1 Einfhrung Funktionalitten: Analyse der Rohdaten muss dasselbe Ergebnis bringen mgliche Angriffe und Einbrche erkennen Rckschluss auf die Rohdaten erlauben Die Alarmierungsschwelle muss konfigurierbar sein Die Speicherung der Daten und des Berichts muss in einem anerkannten Format erfolgen Ein IDS sollte eine automatische Reaktion auf einen Angriff untersttzen </li> <li> Folie 13 </li> <li> 2 Technik Aufbau und Funktionsweise Besteht aus drei Hauptkomponenten: Network Engine Agent Management </li> <li> Folie 14 </li> <li> 2 Technik Network Engine analysiert Datenpakete in Echtzeit sendet Alarmmeldungen trifft Gegenmanahmen besteht aus Netzwerkadapter, Packet Capture, Filter, Angriffsdetektor und Response Modul </li> <li> Folie 15 </li> <li> 2 Technik Response Modul Angriffsdetektor Filter Benutzer Packet Capture Kernel-Software Netzwerkadapter Hardware Netzwerk </li> <li> Folie 16 </li> <li> 2 Technik Netzwerkadapter der gesamte Verkehr wird aufgenommen und an die Network Engine weiter geleitet Packet Capture Pakete werden fr den Transport an die Network Engine organisiert Filter es knnen Protokolle gefiltert werden </li> <li> Folie 17 </li> <li> 2 Technik Angriffsdetektor Untersucht den Datenstrom nach bekannten Angriffsmustern Response Modul Leitet Gegenmanahmen ein und alarmiert zustndige Person </li> <li> Folie 18 </li> <li> 2 Technik Agent berwacht Systemaktivitten zustzliche berwachung von CPU-Last, log-Dateien, etc. berwacht Benutzer-logons und -logoffs berwacht die Aktivitten des Administrators berwacht wichtige Dateien gegen Manipulation </li> <li> Folie 19 </li> <li> 2 Technik Managementsystem administriert und konfiguriert die Network Engine und den Agenten Kommunikation erfolgt verschlsselt fngt alle Events von der Network Engine oder von dem Agent erstellt Statistiken fr weitere Analysen </li> <li> Folie 20 </li> <li> 2 Technik Host Intrusion Detection System HIDS analysiert Daten auf dem lokalen Rechner Daten knnen Protokolle oder sonstige von Anwendungen erzeugte Daten sein prfen die Integritt des Systems System Integrity Verify oder File Integrity Assessment </li> <li> Folie 21 </li> <li> 2 Technik erkennen Angriffe durch Insider knnen auch Angriffe von auen erkennen Nachteile: berwachung bei einer groen Anzahl von Rechnern muss auf jedem Rechner installiert sein dadurch Verwaltung und Administration schwierig </li> <li> Folie 22 </li> <li> 2 Technik Erkennbare Angriffe Der bereitgestellte Zugang fr externe Personen wurde nicht deaktiviert Alte Konten sind nicht gelscht Versuch eine Hintertr einzubauen Modifikation kritischer Daten Verwendung von Administrationsrechten von unbekannten Personen Installation von Trojanern </li> <li> Folie 23 </li> <li> 2 Technik Technologien kommerzielle Systeme setzen auf mehrere Technologien, Open-Source Lsungen meist auf eine viele Technologien, z.B.: Protokollanalyse Protokolle von Anwendungen werden ausgewertet Integrittstest Systemdateien und andere Dateien werden mithilfe von Snapshots geprft Echtzeitanalyse berwachung von Zugriffen auf Systemdateien und andere Dateien </li> <li> Folie 24 </li> <li> 2 Technik Network Intrusion Detection System NIDS bezieht seine Daten aus dem Netzwerk einige Systeme untersuchen nur Protokolle Bestens dafr geeignet Angriffe zu erkennen Kann auch Angreifer von innen erkennen Installation und Administration mit deutlich weniger Aufwand verbunden als bei HIDS oft reicht nur ein NIDS-Sensor pro Netzwerk </li> <li> Folie 25 </li> <li> 2 Technik Erkennbare Angriffe Denial of Service mit Bufferoverflow Ungltige Pakete Angriffe auf der Applikationsschicht Zugriff auf vertrauliche Daten Angriffe gegen die Firewall oder IDS Distributed Denial of Service Spoofing Angriffe Portscans </li> <li> Folie 26 </li> <li> 2 Technik Technologien Verfgt wie HIDS ber mehrere Technologien, wie: Signaturerkennung ber eine Datenbank werden Pakete verglichen Protokolldekodierung der Datenstrom wird normalisiert, gut gegen Angriffe mit Unicode oder ASCII statistische Anomalie-Analyse durch die Hufigkeit der Fehler als Angriff gewertet heuristische Analyse mithilfe von Algorithmen wie z.B.: Bayer-Moore </li> <li> Folie 27 </li> <li> 2 Technik Honeypot kann aus einem Rechner oder einem Rechnernetzwerk bestehen stellt keine Verteidigung dar sondern als Ablenkung gedacht liefert ntzliche Ergebnisse bei der Analyse von Angriffen und Einbrchen </li> <li> Folie 28 </li> <li> 2 Technik Tiny Honeypot entschrfte Variante des Honeypots auf bestimmten Ports werden nur Dienste simuliert meist kleine Perl-Programme Bsp.: wird eine Verbindung mit Port 1433 hergestellt, dann wird diese Verbindung mithilfe der Netfilter- Architektur an den Port 65334 weiter geleitet </li> <li> Folie 29 </li> <li> 2 Technik Honeypot-Varianten Forschungssystem dienen zum Erkenntnis ber das Verhalten der Angreifer sollen neue Angriffe herausfinden Produktionssystem dienen der Sicherheit dienen zur Erkennung und Verfolgung der Angriffe und Einbrche </li> <li> Folie 30 </li> <li> 2 Technik Vorteile und Nachteile Vorteile Datensammlung Daten sind interessant, da es potentielle Angriffe sein knnen Ressourcen Honeypots entlasten den Netwerkverkehr, da viele Angriffe dann auf dem Honeypot stattfinden </li> <li> Folie 31 </li> <li> 2 Technik Nachteile Singularitt eine Maschine kann man schlecht im Internet finden erhhtes Risiko wurde auf dem Honeypot eingebrochen, knnen weitere Angriffe gegen das Netzwerk stattfinden </li> <li> Folie 32 </li> <li> 2 Technik Honeypot und das Gesetz in Deutschland problematisch da Beihilfe zu einer Straftat unter Strafe steht es werden folgende Gesetze wirksam, wenn ein Honeypot in Betrieb gesetzt wird: StGB 26 Anstiftung StGB 27 Beihilfe </li> <li> Folie 33 </li> <li> 3 Praxis Einfaches HIDS die Implementierung eines einfachen HIDS soll das Verzeichnis /etc unter Linux berwacht werden wird mit den Werkzeugen find und less von Linux realisiert ist erweiterbar auf andere Verzeichnisse, z.B.: Eigene Dateien bzw. Persnlicher Ordner </li> <li> Folie 34 </li> <li> 3 Praxis Vorgehensweise : der Ist-Zustand des Sytems wird mit Hilfe von find in einem Snapshot gespeichert </li> <li> Folie 35 </li> <li> 3 Praxis In der Datei baseline.2005-11-24 ist nun jeder Dateieintrag (find type f) des Verzeichnisses /etc mit seiner Inodenummer(-i), den Rechten, dem Besitzer, der Gre und dem nderungsdatum(-l) abgespeichert dabei ruft der Befehl find fr jede gefundene Datei den Befehl ls ail auf und bergibt ihm den Namen der gefundenen Datei {} </li> <li> Folie 36 </li> <li> 3 Praxis Nun kann man mit less den Inhalt von baseline.2005-11-24 betrachten: </li> <li> Folie 37 </li> <li> 3 Praxis </li> <li> Folie 38 </li> <li> Jetzt wird zu den Testzwecken ein neuer Benutzer im System angelegt das Anlegen eines neuen Benutzer modifiziert die Systemdaten und man kann somit eine Vernderung des Systems feststellen geht man davon aus, dass das Anlegen eines neuen Benutzers nicht vorgesehen war, kann man das als ein Angriff bewerten </li> <li> Folie 39 </li> <li> 3 Praxis Um zu wissen was nun verndert wurde, kann man in regelmigen Abstnden mithilfe von diff das System vergleichen und die nderungen in eine Textdatei abspeichern </li> <li> Folie 40 </li> <li> 3 Praxis nach der Prfung der Systemintegritt, kann man im Verzeichnis /root eine Datei Namens and.txt finden </li> <li> Folie 41 </li> <li> 3 Praxis nachdem betrachten der Datei and.txt mit less kann man alle nderungen seit dem erstellen des Snapshots finden </li> <li> Folie 42 </li> <li> 3 Praxis Dieses System leicht austricksbar der Angreifer erzeugt eine Datei, in der die baseline Datei neu abgespeichert wird, wird das vor dem Integrittstest nicht geprft, findet der Vergleich mit der modifizierten Datei statt zweite Gefahr stellt die Tatsache, dass man Mithilfe von bestimmten Programmen den Inhalt und die Gre der Datei so verndert, dass es nie eine Modifikation an der Datei stattgefunden htte </li> <li> Folie 43 </li> <li> 3 Praxis eine Prfsumme mittels exec md5sum zustzlich erzeugen werden nun enthlt die Baseline-Datei fr jede Datei zustzlich einen MD5 Hash </li> <li> Folie 44 </li> <li> 3 Praxis nun wird wieder ein neuer Benutzer angelegt und der Integrittstest durchgefhrt danach kann man in der Datei and2.txt auch die Prfsumme der Dateien sehen, diese kann man sowohl in der baseline als auch in der Protokoll-Datei(and2.txt) sehen </li> <li> Folie 45 </li> <li> 3 Praxis Fazit sehr einfach keine besonderen Funktionen reicht es aus, um z.B. festzustellen ob jemand an dem Rechner in der Abwesenheit war und ob diese Person irgendwelche Systemdateien oder normale Dateien verndert hat. weiter entwickeltes HIDS ist z.B. LIDS Linux Intrusion Detection System </li> <li> Folie 46 </li> <li> 3 Praxis Einfaches NIDS Tcpdump tcpdump ist in allen Distributionen von Linux vorhanden in diesem Beispiel soll tcpdump die Verbindung ber ein Modem berwachen es soll zustzlich eine log-Datei im libpcap- Format angelegt werden </li> <li> Folie 47 </li> <li> 3 Praxis unter der Benutzung des BPF-Filters werden nur bestimmte Pakete gesammelt tcpdump arbeitet automatisch im promiscuous-Mode und bekommt somit alle Pakete vom Netzwerk, auch wenn sie nicht fr den Rechner bestimmt waren. </li> <li> Folie 48 </li> <li> 3 Praxis Vorgehensweise : Tcpdump ohne log-Datei Man ruft tcpdump mit dem Befehl tcpdump i ppp0 tcpdump soll mithilfe von i ppp0 das Modem verwenden. </li> <li> Folie 49 </li> <li> 3 Praxis nach dem Aufruf beginnt tcpdump sofort mit der Analyse der Pakete man dann sehen, was vom Rechner zu einem Webserver und zurck geschickt wird </li> <li> Folie 50 </li> <li> 3 Praxis 19:15:05.633235 IP dialin-212-144-065- 212.pools.arcor-ip.net.32976 &gt; dd6908.kasserver.com.http: P414:758 (344) ack 969 win 8129 es wird nun kurz das Ausgabeformat erlutert: der Zeitstempel erlaubt es die Pakete zeitlich zuzuordnen 19:15:05.633235 </li> <li> Folie 51 </li> <li> 3 Praxis dann werden die Kommunikationspartner angezeigt inklusive ihrer Ports: IP dialin-212-144-065-212.pools.arcor- ip.net.32976 &gt; dd6908.kasserver.com.http in diesem Falle Port des Clients: 32976 und des Webservers http (80) hier handelt es sich um eine ACK Nummer ack 969 </li> <li> Folie 52 </li> <li> 3 Praxis damit der Webserver wei, wie viele Informationen vom Client verarbeitet werden knnen, bermittelt der Client die Window- Gre win 8129 beim Aufbau der Verbindung werden noch weitere Informationen vom Client bermittelt, diese werden dann als TCP-Optionen bermittelt </li> <li> Folie 53 </li> <li> 3 Praxis wenn man tcpdump beendet, wird eine Statistik aufgerufen es wird angezeigt, wie viele Pakete es insgesamt waren wie viele durch den Filter durchgelassen wurden und wie viele durch das Kernel abgewiesen wurden </li> <li> Folie 54 </li> <li> 3 Praxis Tcpdump mit einer log-Datei mit dem Befehl s 100 wird die Anzahl der protokollierenden Bytes eines Pakets festgelegt, mit w tcpdump.log werden die Pakete in der abgespeichert die Datei wird im libpcap-Format erzeugt und kann somit zustzlich von snort oder ethereal gelesen werden. </li> <li> Folie 55 </li> <li> 3 Praxis die Datei wird mittels tcpdump X r tcpdump.log gelesen und die Pakete werden im Hexadezimalen als auch im ASCII Format angezeigt. </li> <li> Folie 56 </li> <li> 3 Praxis Einrichtung eines Filters BPF-Filter definieren, welche Pakete gesammelt werden. der Filterausdruck kann aus mehreren Teilen bestehen jeder dieser Teilausdrcke enthlt mindestens eine oder drei folgenden Eigenschaften vorangestellt wird. Typ host, net oder port Richtung dst, src Protokoll z.B.: tcp, udp den Filter startet man mit Protokoll, Ziel, Ziel-Port </li> <li> Folie 57 </li> <li> 3 Praxis In diesem Beispiel wre das Protokoll tcp Ziel http://diesy.diesendorf.net und der Port 80 (http) und 443 (https) Dieser Filter wird alle zutreffenden Pakete in der Datei server.log abspeichern. Und hier kann man erkennen, dass nur die Anfragen und Antworten vom Client und Webserver abgespeichert wurden. </li> <li> Folie 58 </li> <li> 3 Praxis </li> <li> Folie 59 </li> <li> Fazit tcpdump ist ein mchtiges Werkzeug wenn man es richtig einstellt und die vielen Einstellungsmglichkeiten auch richtig ausnutzt die log-Dateien kann man zum besseren Verstndnis am besten mit snort lesen tcpdump eignet sich sowohl fr analoge als auch Netzwerkverbindungen und ist somit fr jeden nutzbar </li> <li> Folie 60 </li> <li> 4 Zusammenfassung ein hochwirksames Mittel fr die Erkennung, Analyse und Verhinderung von Einbrchen in Rechnersystemen und Netzinfrastrukturen. der Einsatz lohnt sich auf jeden Fall, denn mit einem IDS und einer Firewall kann man zwar nicht die 100% Sicherheit schaffen, man kann jedoch den hchsten Sicherheitsgrad schaffen beide Systeme ergnzen sich gut. wo es wirklich berlegt werden muss, ob man lieber ein Open Source IDS verwendet oder doch lieber Geld fr ein kommerzielles System ausgibt </li> <li> Folie 61 </li> <li> ENDE </li> <li> Folie 62 </li> <li> Das Skript Intrusion Detection ist unter http://diesy.diesendorf.nethttp://diesy.diesendorf.net zu finden. </li> </ul>