Intrusion DetectionSystems

Kevin Büchele, Michael Schmidt

IDS

Inhalt

Einleitung

Arten

Funktionsweisen

Attacken

Honeypot

Einleitung

IDS ist wie eine Alarmanlage

überwacht Systemkomponenten

greift nicht aktiv ein

Intrusion Response System schon aktiv!

Anforderungen an ein IDS

Gesicherte IDS-Umgebung

Echtzeitfähigkeit

Reporting-Tool

Hohe fachliche Kompetenz bzgl Faktor Mensch

Arten der IDS

Host-basierende IDS

Netz-basierende IDS

Hybride IDSCisco Intrusion Detection SystemNetwork Module

Host-basierte IDS

Überwachung der Auditdaten auf einem Rechner

überwachen nur das Gerät auf dem installiert

Analyse von Prüfsummen über Systemdateien

Vorteile

keine Hardware nötig

Umfassende Überwachung

(auch in verschlüsselter Umgebung)

Nachteile

Einzelne Installationen erforderlich(hoher Aufwand, hohe Kosten)

wirkt negativ auf die Performance

Netz-basierende IDS

steigende Vernetzung durchs Internet

eigenes Gerät im Netzwerk

untersucht nur IP-Pakete

überwacht alle Rechner in einem Netz

Wo im Netzwerk?

vor der Firewall hinter der Firewall

Vorteile

Echtzeit-Überwachung

Überwachung von großen Netzwerken mit

geringem Aufwand

Nachteile

Eventuell hoher Netzwerktraffic

Inhalte verschlüsselter Daten können nicht erkannt werden

Schlecht bei DDoS

Hybride IDS verbindet Host- und Netz-basierendes Prinzip

Nachteile beider Systeme werden ausgeglichen

höhere Abdeckung

beide Sensortypen durch Managementeinheit verbunden

Hybride Arbeitsweisen weit verbreitet

Feedback-Methoden

ein lokaler Alarm, wie z. B. ein Pop-Up-Fenster auf der Sicherheitskonsole des Administrators

eine Alarmmeldung per Mail, Handy oder Pager wenn die Sicherheitskonsole nicht ständig überwacht wird

Gegenmaßnahmen

Rekonfiguration der Firewall oder der Router

Herunterfahren von Diensten

In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden.

Interaktion

Funktionsweisen des IDS

Misuse Detection

Anomaly Detection

Strict Anomaly Detection

Missbrauchserkennung

Misuse Detection (Signaturanalyse) Sehr häufig genutztes Verfahren Einfach zu realisieren Identifiziert bekannte Angriffe Abgleich mit einer Referenzdatenbank Mustervergleich positiv?

Verletzung der Security-Policy

Missbrauchserkennung

Mögliche Attacken

Speziell geformte Netzwerkpakete

Auffallend große/kleine Pakete

Ungewöhnliche Protokolle

Ungewöhnliche TCP-Flags

Zugriffe auf spezielle Ports

Nachteil

Funktioniert nur bei bekannten Sicherheitsproblemen (also: Muster muss in der Datenbank enthalten sein, erfordert regelmäßige Updates (vergleichbar mit Virenscanner))

Anomalieerkennung Auch: statische Analyse

Eigens definierter Regelsatz

Primitive Arbeitsweise (alles, was nicht nomal ist, ist abnormal => Angriff)

Lernphase kurz nach der Installation durch Analyser

Nachteile

False positives

Hoher Verwaltungsaufwand (v.a am Anfang)

Strict Anomaly Detection

Ähnlich der Anomalieeerkennung, jedoch anderes Mustererkennungsverfahren

=> wie bei Misuse Detection

Nur bekannte Systemaktivitäten werden in der Datenbank abgespeichert

=> weniger Verwaltungsaufwand als bei A.D.

Anzeichen von Attacken

Systembezogen (CPU-Aktivität, ungewöhnliche Login-Aktivität)

Änderungen im Dateisystem (Logfiles, gelöschte Dateien, Änderungen von Rechten)

Netzwerkspezifisch (Hoher Traffic (DDOS?), Aktivität zu ungewöhnlichen Zeiten)

Attacken

Honeypot

Einrichtung, die vom eigentlichen Ziel ablenken soll

Täuschen Interessante Daten vor Keine bestimmten Dienste Ungeschützt

Einflüsse von außen werden als Angriff bewertet

Einflüsse können ggf. abgespeichert werden (Datensammlung für ein IDS)

Honeypot

Quellen

Seminararbeit zu: Sicherheit in vernetzten Systemen WS 2002/03 – Universität Hamburg

http://www.informatik.uni-hamburg.de/RZ/lehre/18.415/seminararbeit/8_IDS.pdf

Website der Universität Oldenburg – IDShttp://einstein.informatik.uni-oldenburg.de/

23653.html

diverse Präsentationen von Vorgängern

Vielen Dank für die Aufmerksamkeit