intrusion detection systems kevin büchele, michael schmidt ids
TRANSCRIPT
Intrusion DetectionSystems
Kevin Büchele, Michael Schmidt
IDS
Inhalt
Einleitung
Arten
Funktionsweisen
Attacken
Honeypot
Einleitung
IDS ist wie eine Alarmanlage
überwacht Systemkomponenten
greift nicht aktiv ein
Intrusion Response System schon aktiv!
Anforderungen an ein IDS
Gesicherte IDS-Umgebung
Echtzeitfähigkeit
Reporting-Tool
Hohe fachliche Kompetenz bzgl Faktor Mensch
Arten der IDS
Host-basierende IDS
Netz-basierende IDS
Hybride IDSCisco Intrusion Detection SystemNetwork Module
Host-basierte IDS
Überwachung der Auditdaten auf einem Rechner
überwachen nur das Gerät auf dem installiert
Analyse von Prüfsummen über Systemdateien
Vorteile
keine Hardware nötig
Umfassende Überwachung
(auch in verschlüsselter Umgebung)
Nachteile
Einzelne Installationen erforderlich(hoher Aufwand, hohe Kosten)
wirkt negativ auf die Performance
Netz-basierende IDS
steigende Vernetzung durchs Internet
eigenes Gerät im Netzwerk
untersucht nur IP-Pakete
überwacht alle Rechner in einem Netz
Wo im Netzwerk?
vor der Firewall hinter der Firewall
Vorteile
Echtzeit-Überwachung
Überwachung von großen Netzwerken mit
geringem Aufwand
Nachteile
Eventuell hoher Netzwerktraffic
Inhalte verschlüsselter Daten können nicht erkannt werden
Schlecht bei DDoS
Hybride IDS verbindet Host- und Netz-basierendes Prinzip
Nachteile beider Systeme werden ausgeglichen
höhere Abdeckung
beide Sensortypen durch Managementeinheit verbunden
Hybride Arbeitsweisen weit verbreitet
Feedback-Methoden
ein lokaler Alarm, wie z. B. ein Pop-Up-Fenster auf der Sicherheitskonsole des Administrators
eine Alarmmeldung per Mail, Handy oder Pager wenn die Sicherheitskonsole nicht ständig überwacht wird
Gegenmaßnahmen
Rekonfiguration der Firewall oder der Router
Herunterfahren von Diensten
In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden.
Interaktion
Funktionsweisen des IDS
Misuse Detection
Anomaly Detection
Strict Anomaly Detection
Missbrauchserkennung
Misuse Detection (Signaturanalyse) Sehr häufig genutztes Verfahren Einfach zu realisieren Identifiziert bekannte Angriffe Abgleich mit einer Referenzdatenbank Mustervergleich positiv?
Verletzung der Security-Policy
Missbrauchserkennung
Mögliche Attacken
Speziell geformte Netzwerkpakete
Auffallend große/kleine Pakete
Ungewöhnliche Protokolle
Ungewöhnliche TCP-Flags
Zugriffe auf spezielle Ports
Nachteil
Funktioniert nur bei bekannten Sicherheitsproblemen (also: Muster muss in der Datenbank enthalten sein, erfordert regelmäßige Updates (vergleichbar mit Virenscanner))
Anomalieerkennung Auch: statische Analyse
Eigens definierter Regelsatz
Primitive Arbeitsweise (alles, was nicht nomal ist, ist abnormal => Angriff)
Lernphase kurz nach der Installation durch Analyser
Nachteile
False positives
Hoher Verwaltungsaufwand (v.a am Anfang)
Strict Anomaly Detection
Ähnlich der Anomalieeerkennung, jedoch anderes Mustererkennungsverfahren
=> wie bei Misuse Detection
Nur bekannte Systemaktivitäten werden in der Datenbank abgespeichert
=> weniger Verwaltungsaufwand als bei A.D.
Anzeichen von Attacken
Systembezogen (CPU-Aktivität, ungewöhnliche Login-Aktivität)
Änderungen im Dateisystem (Logfiles, gelöschte Dateien, Änderungen von Rechten)
Netzwerkspezifisch (Hoher Traffic (DDOS?), Aktivität zu ungewöhnlichen Zeiten)
Attacken
Honeypot
Einrichtung, die vom eigentlichen Ziel ablenken soll
Täuschen Interessante Daten vor Keine bestimmten Dienste Ungeschützt
Einflüsse von außen werden als Angriff bewertet
Einflüsse können ggf. abgespeichert werden (Datensammlung für ein IDS)
Honeypot
Quellen
Seminararbeit zu: Sicherheit in vernetzten Systemen WS 2002/03 – Universität Hamburg
http://www.informatik.uni-hamburg.de/RZ/lehre/18.415/seminararbeit/8_IDS.pdf
Website der Universität Oldenburg – IDShttp://einstein.informatik.uni-oldenburg.de/
23653.html
diverse Präsentationen von Vorgängern
Vielen Dank für die Aufmerksamkeit