Neue Sicherheitstechnologien. Intrusion Detection

Größe: px
Ab Seite anzeigen:

Download "Neue Sicherheitstechnologien. Intrusion Detection"

Transkript

1 Hauptseminar Neue Sicherheitstechnologien Intrusion Detection Thilo Nesnidal Universität Stuttgart - Institut für Parallele und Verteilte Höchstleistungsrechner (IPVR)

2 0 Abstract Diese Ausarbeitung umfasst einen Überblick über Konzepte und Techniken in der Intrusion Detection. Zum besseren Verständnis für die Ansätze und Probleme, die in der Intrusion Detection entstehen, wird dabei zunächst in einer Übersicht auf die unterschiedlichen Angriffsarten eingegangen. Im Anschluss daran werden die Hauptausrichtungen der Intrusion Detection vorgestellt, erläutert und die Problematik der False Positives und False Negatives untersucht. Den zweiten Schwerpunkt bildet die Betrachtung von Intrusion Detection Systemen (IDS). Dabei werden hostbasierte und netzwerkbasierte Systeme vorgestellt. Die Vielzahl der unterschiedlichen IDS macht es jedoch unmöglich, sie in ihrer Gesamtheit einzeln vorzustellen. So sind die hier behandelten Systeme als Beispiel vorgeführt, um grundsätzliche Ansätze und Probleme der IDS aufzuzeigen. 1 Einleitung Die ständig wachsende Komplexität und Anzahl der Systeme, die temporär oder permanent in Kommunikationsnetzen teilnehmen, stellen eine immer schwerer zu lösende Aufgabe, Effektivität und zugleich Sicherheit gewährleisten zu können. Dafür verantwortlich sind eine ganze Reihe an Faktoren, die es vom heutigen Standpunkt aus nicht ermöglichen, Systeme so zu schaffen, dass im Vorfeld jegliche Art eines Angriffs verhindert werden kann. Einer der Hauptfaktoren hierbei ist die Tatsache, dass die derzeitigen Betriebssysteme und Programmiersprachen, die zur Entwicklung neuer Systeme verwendet werden, eine ganze Reihe an Sicherheitslücken aufweisen. Diese sind außerdem schwer auszumachen und können von Angreifern ausgenutzt werden, um bestehende oder neue Sicherheitsmechanismen zu umgehen. Ebenso bilden kryptographische Verfahren, die Sicherheit im Austausch von Daten zu gewährleisten versuchen, für einen Angreifer, der über genügend Ressourcen verfügt, auch keine unüberwindbare Barriere. Eine Studie des FBI in Zusammenarbeit mit dem Computer Security Institute (CSI) [FBICSI01] weist eine über die letzten Jahre ständig steigende Anzahl der Einbrüche in Netzwerke von Firmen, Banken, Universitäten, staatliche sowie privaten Einrichtungen auf. In dieser Studie gaben % an, in den letzten 12 Monaten Opfer eines Angriffs geworden zu sein. Davon verursachten 64% der Angriffe finanzielle Schäden. Von diesen bezifferten wiederum 186 (35%) ihren offiziellen Gesamtschaden, der durch diese Einbrüche verursacht wurde. Die Summe beläuft sich für das Jahr 2001 auf 377,8 Millionen Dollar. Da dies allerdings nur einen kleinen Teil dessen darstellt, was weltweit pro Jahr an Verlusten durch Computerkriminalität verursacht wird, lässt sich die Dunkelziffer nur schwer erahnen. Nach einer Schätzung beläuft sich allein in Deutschland der jährliche Schaden nach Angaben des TÜV auf 10 Milliarden Euro [FAZ]. Die Tatsache, dass dieser enorme finanzielle Schaden trotz des Einsatzes von Maßnahmen zur Sicherheit wie Firewalls, Viren Scanner und sicherheitstechnisch verbesserter oder restriktiver gehandhabter Systeme auftritt, ließ die Nachfrage nach Intrusion Detection Systemen (IDS), die sozusagen als letzte sicherheitstechnische Instanz diese Angriffe aufzeichnen, in den letzten Jahren beträchtlich steigen. Mit Hilfe von automatisch generierten Aufzeichnungen von System-, User- und Netzwerkaktivität (audit trail) und deren Analyse läßt sich eine große Anzahl an Angriffen zurückverfolgen und rekonstruieren. Ziel dieser Analysen ist es, weitere Ansätze zu finden, die eigene Sicherheit zu verbessern, so dass zumindest derselbe Einbruch nicht mehr möglich ist bzw. neue Angriffe abgewehrt werden können. In manchen Fällen gelingt es, den Angreiffer zu idenfizieren, um rechtliche Massnahmen einzuleiten. Der automatisierten Analyse der Systeme zur Erkennung solcher Angriffe stehen aber ebenfalls eine Reihe an komplexen Hindernissen entgegen. Zum einen sind die Systeme permanent ungeheuren Mengen an Daten, die es aufzuzeichnen und zu analysieren gilt, ausgesetzt. Zum anderen treten ständig neue, immer komplexer werdende Angriffsmuster, die mit den bestehenden Systemen kaum oder nur sehr schwer zu erkennen sind, auf.

3 Im Folgenden Abschnitt wird auf Angriffstypen eingegangen im Hinblick auf wichtige Aspekte der Intrusion Detection. Die Ansätze der Intrusion Detection orientieren sich sehr häufig am konkreten Fall, so ist eine Klassifizierung der Typen von Angriffen für das Verständnis von vorteil. Danach folgt eine Einführung in die grundsätzlichen Methoden der Intrusion Detection und abschliessend werden die Grundtypen von Intrusion Detection Systemen (IDS) mit Beispielen vorgestellt. 2 Angriffsmuster 2.1 Angriffstypen J.P.Anderson [JPA80] führte als erster eine Definition für Intrusion ein. Er bezeichnete Intrusion als den Versuch, ohne Autorisierung auf Informationen zuzugreifen oder diese zu verändern bzw. ein System so zu verändern, dass es unzuverlässig oder unbrauchbar wird. Er unterschied grundsätzlich zwischen Angriffen von außerhalb und innerhalb des lokalen Netzwerks oder Systems, wobei interne Angreifer nochmals unterschieden werden in misfeasors, clandestine user und masquerader. [Abbildung 1]. Als masquerader werden Angreifer bezeichnet, die sich als im System bestehende reguläre User ausgeben. In den häufigsten Fällen werden diese regulären Benutzerkonten von Angreifern im vorab durch einen geglückten Angriff (exploit) auf ein bestehendes Userkonto erworben. Angreifer, die ausschließlich Rechte des Systemverwalters erlangen wollen, werden als clandestine users bezeichnet. Die Namensgebung rührt von der Tatsache, dass sie mit Hilfe der erworbenen Rechte ihre eigenen Spuren auslöschen können und dadurch überhaupt sehr schwer feststellbar sind. Die letzte Gruppe der internen Angreifer, die misfeasors, nutzen die Rechte ihres regulären Benutzerkontos, um unerlaubtes damit anzustellen. Obwohl die Anzahl der Angriffe von außerhalb mittlerweile auf 40% beziffert wird, wobei hierbei in den meisten Fällen Webserver betroffen sind, sind interne Angriffe wesentlich ernsthafter zu betrachten. Grund dafür sind die Kenntnisse der Angreifer über die Eigenschaften und Strukturen der Systeme, da sie oftmals sehr genau und sehr lange studiert werden konnten. Intrusion Intern xtern misfeasor Abbildung 1: Angriffstypen clandestine user masquerader 2.2 Ebenen von Angriffen Angriffe finden auf verschiedenen Protokollebenen des OSI-Schichtenmodells [OSI81] statt. Bevorzugt werden Angriffe auf niedriger Protokollebene ausgeführt. Grund dafür ist die schwache Protokollierung und fehlende Sicherheitsmechanismen. Eine der am verbreitetsten Angriffe sind die sogenannten Denial-of-Service (DoS) Angriffe. Ist ein solcher Angriff erfolgreich, hat dies zur Folge, dass ein System oder ein Dienst nicht mehr reagieren kann. Ein bekanntes Beispiel ist der Smurf-Angriff. Hier nutzt man die Fähigkeit von ICMP aus, den Verkehr an die Broadcast-Adresse zu schicken. Viele Hosts können dann wiederum auf eine einzelne, an die Broadcast-Adresse geschickten ICMP-Echo Anfrage antworten (ping). Hierzu braucht man lediglich eine ICMP-Echo Anfrage mit gefälschter Quell-Adresse des

4 Opfers an die Broadcast-Adresse zu senden und im Fall, dass der Router die eingehenden ICMP-Echo Anfrage gestattet, antworten alle im Netz beteiligten Systeme der gefälschte Quell-Adresse. [Abbildung 2] Abbildung 2: Smurf Angriff (Quelle: [SNJN01]) Weitere bekannte Angriffsarten auf niedriger Protokollebene ist das Mitlesen von übertragenen Daten (Sniffing), Hijacking und Spoofing- und Flooding-attacken. Beim Spoofing wird dem Zielsystem eine falsche Adresse vorgetäuscht und somit die wahre Identität des Angreifers verschleiert. Ein bekanntes Beispiel ist DNS-Spoofing (siehe Vortrag Secure DNS) Unter Flooding versteht man das Überfluten eines Zielrechners mit einer großen Anzahl von Daten. So ist z.b. unter dem Begriff SYN-Flooding ein Angriff bekannt geworden, der vorgibt eine Verbindung aufzubauen, den Verbindungsaufbau (3-Wege-Handshake) jedoch nicht vollendet. Hierbei wird ausgenutzt, dass bei einer TCP-Verbindung im Verbindungsaufbau beim Drei-Wege-Handshake [Abbildung 3] auf ein SYN-request des Angreifers der Zielrechner mit einem SYN/ACK-request antwortet, Ressourcen für den Verbindungsaufbau schon bereitstellt und auf das ACK des Angreifers wartet, der dieses jedoch nicht lossendet. Bei jeder Wiederholung alloziert der Zielrechner nach und nach so viel Ressourcen, bis keine mehr zur Verfügung stehen und die Dienste gar nicht oder nur schleppend ausgeführt werden können.

5 Abbildung 3: Drei-Wege-Handshake Angriffe auf hoher Protokollebene werden durch nicht ausreichende Sorgfalt im Verlauf der Entwicklung von Anwendungen ermöglicht. Eine wesentliche Bedrohung auf Applikationsebene stellt die große Anzahl von Viren, Trojanern und Würmern, die besonders in Folge der zunehmenden Kommunikation über sehr leicht verbreitet werden, dar. Üblicherweise wird hierbei schadhafter Code im Anhang an eine mitgeliefert. Auf spezifischen Plattformen ist das bloße Öffnen dieses Anhangs in einem vom Betriebssystem bereitgestellten Client allein ausreichend, um die Kettenreaktion auszulösen, mit der sich der schadhafte Code im System unbemerkt installiert. Zusammenfassend werden alle 6 Kategorien von Angriffen im Zusammenhang auf die Methoden, mit denen sie feststellt werden können, aufgelistet [DED87]: - Einbruchsversuche (attempted break-ins) : Jemand versucht, in ein System z.b. durch häufiges Ausprobieren verschiedener gängiger Benutzer- und Passwordkombinationen ein in ein System einzudringen. Dies kann mittels atypischer Verhaltensprofile oder dadurch, dass Sicherheitsschranken durchbrochen werden, entdeckt werden. - Maskierte Angriffe (masquerade attacks) : Maskierte Angriffe sind sozusagen erfolgreiche Einbruchsversuche. Entdeckt werden kann ein solcher Angriff ebenfalls mittels atypischer Verhaltensprofile oder dadurch, dass Sicherheitsschranken durchbrochen werden. Zum Beispiel untypische Zeiten, in denen der Benutzer im System präsent ist. - Durchdringung der Sicherheitsmechanismen (penetration of the security control system): Das Durchdringen von existierenden Sicherheitssystemen kann durch gezieltes Überwachen (monitoring) der Aufkommen spezifischer Verhaltens- oder Aktivitätsmuster entdeckt werden. Beispielsweise gibt eine Aufzeichnung der verwendeten Kommandos des Benutzers, die er eigentlich nicht ausführen darf, Aufschluss über ein solches Durchdringen. - Sicherheitslücken (leakage) : kann durch auffälligen Gebrauch von System Ressourcen entdeckt werden. Beispielsweise ist das Ausdrucken von Dokumenten zu ungewöhnlichen Zeiten in diesem Zusammenhang schon ein Hinweis. - Missbrauch (malicious use) : kann durch atypischer Verhaltensprofile oder dadurch, dass Sicherheitsschranken durchbrochen werden, oder dem Gebrauch von speziellen Rechten entdeckt werden. - Denial of Servie (DoS) : Diese Art des Angriffs wird (meistens zu spät) durch die auffällige hohe Anzahl der Zugriffe auf einen bestimmten Service entdeckt. Hier ist es erforderlich, im Vorfeld die Netzaktivität des Angreifers herauszufiltern zu können.

6 3 Audit trail Einer der Grundbausteine für die Erkennung von Angriffen und Einbrüchen ist das Aufzeichnen der Aktivitäten von Netzwerk, System und der Benutzer (audit trail). Voraussetzung dafür sind Betriebssysteme oder Anwendungen, die diese Aktivitäten aufzeichnen können. Aufgezeichnet wird häufig in der dem System zugrunde liegenden Form (native audit record), es gibt also keine Standards. Beispielsweise verfügen UNIX Betriebssysteme durch den Syslogd [rfc3164] standardmäßig über einen Mechanismus, die Vorgänge im System aufzuzeichnen. Es wird empfohlen, in jedem Fall folgende Daten dabei zu berücksichtigen: Zeitstempel. Subjekt. Objekt. ausgeführte Aktion. Abbruchbedingung. Ressource Subjekt ist hier der Initiator der ausgeführten Aktion am Objekt zu einem gegebenen Zeitpunkt, der mittels dem Zeitstempel festgehalten wird. Zusammen mit der verwendeten Ressource und der Abbruchbedingung lässt somit sehr genau feststellen, was von wo aus entsprechend beabsichtig wurde. Die meisten Intrusion Detection Systeme bieten eine ganze Reihe an Möglichkeiten für diese Aufzeichnungen. So ist es z.b. bei Snort [SN00] möglich, verschiedene Formate wie z.b. XML, ASCII, etc. zu wählen. Üblicherweise wird jedoch im Binärformat protokolliert, da bei der Umwandlung in andere Formate Geschwindigkeitseinbussen, die unter Umständen zur Folge haben, dass Pakete verloren gehen, entstehen. Ebenso sollte es möglich sein, im Vorfeld gewisse Filter einsetzten zu können, um selektiv aufzeichnen zu können. Es macht beispielsweise wenig Sinn, bei Backuproutinen auf entfernte Rechner bei üblicherweise sehr großen Datenmengen jedes Vorkommen eines gesendeten UDP Paket zu diesem Zielrechner mitzuloggen. Auf die Art und Weise, wie solche Filter entstehen, wird im folgenden Abschnitt genauer eingegangen. 4 Intrusion Detection Die beiden grundsätzlichen Methoden der Intrusion Detection sind Erkennung von Anomalien (Anomaly Detection), und Missbraucherkennung (Misuse Detection). Im praktischen Einsatz ist es wichtig, beide Varianten in Kombination einzusetzen, denn keine ist für sich hinreichend, um ein umfassendes Modell für Intrusion Detection Systeme zu bilden. 4.1 Anomaly Detection Bei dieser Methode geht man davon aus, dass in einem System normale und anomale Aktivitäten unterscheidbar gemacht werden können. Angriffe oder Einbrüche sind dabei Teilmenge anomaler Verhaltensweisen im System. Wenn es also möglich ist, ein Profil für normale Aktivität zu generieren, können die gesamten Aktivitäten von Benutzern, System und Netzwerk aufgezeichnet und dagegen geprüft werden (in einem sogenannten Profiler) und signifikante Unterschiede gemeldet werden. Ein solches Profil beinhaltet eine Reihe von Metriken wie z.b. durchschnittliche Auslastung der CPU oder des Netzwerks zu verschiedenen Uhrzeiten, Anzahl der Prozesse, etc. Für diese Metriken werden Grenzwerte festgelegt. Wenn diese Grenzwerte überschritten werden, meldet das System einen Vorfall oder Angriff. [Abbildung 4]

7 Abbildung 4: Anomaly Detection Modell Der große Vorteil dieser Methode ist die Möglichkeit, neue Angriffsmuster ebenso wie Varianten bestehender zu erkennen, ohne das System verändern oder neu programmieren zu müssen, da nicht Angriffe, sondern Abweichung von Normalzuständen beobachtet werden. Außerdem ist damit auch die Möglichkeit gegen, dass Systeme über einen bestimmten Zeitraum hinweg von selbst benutzerspezifische Eigenarten feststellen und sich entsprechend anpassen können. Da Angriffe eine Teilmenge anomaler Aktivität sind, ist es möglich, dass normales Verhalten bei nicht korrekt spezifizierter Abgrenzung als anomal gilt, und somit einen Fehlalarm auslöst, Ein solcher Fehlalarm wird als False Positive bezeichnet. Der weitaus schwerwiegendere Fall ist dann gegeben, wenn ein Angriff als normales Verhalten klassifiziert wurde und somit unentdeckt bleibt. Entsprechend wird dies False Negative bezeichnet. Die Effektivität eines solchen Modells hängt von der Genauigkeit der Spezifikation des Profils ab und somit wiederum von der Anzahl der Metriken. Je mehr Metriken es gibt, desto weniger false negatives und positives treten auf. Da außerdem die Häufigkeit, in der gegen dieses Profil getestet wird, ebenfalls ein entscheidender Faktor ist, muss im Hinblick auf die zur Verfügung stehenden Betriebsmittel ein Kompromiss gefunden werden. Dies ist sicherlich der Hauptgrund, warum in diesen Systemen die Zahl der false positives so enorm hoch gegenüber den tatsächlichen Angriffen ist. Die meisten in der Praxis eingesetzten Profile werden daher üblicherweise erst dann eingesetzt, wenn sie vorher in eigens dafür geschaffenen Umgebungen trainiert und ausgiebig getestet wurden. Für das Training notwendig sind Datensätze, die frei von Angriffsmustern sind (clean data). Das Herstellen solcher Datensätze ist sehr komplex, zeitaufwendig und meistens mit dem Risiko verbunden, für den vorgesehenen Einsatz nicht ausreichend durchdacht zu sein. Dazu kommt die Schwierigkeit, diese Systeme während der Zeit, in der sie eingesetzt werden, sich nicht weiteren oder neuen Erfordernissen anpassen können, da sie ausschließlich mit clean data trainiert werden müssen. Richtig problematisch wird es natürlich, wenn es einem Angreifer möglich ist, sich bereits während der Zeit, in der das System trainiert wird, Zugang zu verschaffen. Daher wird derzeit nach Ansätze geforscht, die es Systemen ermöglichen, Anomalien aus den Datensätzen, mit denen ein Profil generiert wird, zu erkennen [ES00]. Ausgehend von der Annahme, dass Anomalien sehr selten im Vergleich zu normalen Daten vorkommen, wird nach einer Wahrscheinlichkeitsverteilung ein Datenmodell für Anomalieerkennung

8 aufgestellt, das ermöglicht, Systeme von Beginn an mit den Daten arbeiten zu lassen, die im realen Umfeld vorhanden sind, also vermutlich auch Angriffe beinhalten (noisy data). Die Vorteile dabei sind außer dem Wegfallen der Trainingszeiten vor dem wirklichen Einsatz eines solchen Systems die selbstständige Weiterentwicklung dieses Systems. Profile werden ständig automatisch verbessert und können, je länger ein solches System im Einsatz ist, die Eigenschaften der dort tätigen Benutzern sehr genau eingrenzen, so dass die False Positive bzw. False Negative Rate ständig verbessert wird. Die Umsetzung dieser Ansätze findet ihren Ursprung in der Beobachtung und Erweiterung der Methoden, die für das maschinelle Lernen, der Statistik- und Wahrscheinlichkeitsrechnung eingesetzt werden. Da diese Methoden nicht ohne eingehende Vorkenntnisse vorgestellt werden können, soll dies hier der Vollständigkeit halber mit dem Hinweis auf die Referenzen zur weiteren Vertiefung im Anschluss and die Literaturangaben (siehe: Weiterführende Literaturangaben) erwähnt sein. [LSCE01,PES01,EMZY00] 4.2 Misuse Detection Bei dieser Methode steht im Gegensatz zur Anomalie-Erkennung das Beobachten der Schwachstellen und der möglichen Angriffe darauf im Vordergrund. Dabei wird für jeden Angriff eine Signatur definiert, die die Struktur des Angriffs so repräsentiert, dass auch Abweichungen dieses Angriffs erkennbar sind. Ein einfaches Beispiel für eine Signatur ist ein sog. Null-Passwort-Eintrag. Hierbei wird ein Benutzerkonto von einem Systemprozess, der mit den notwendigen Rechten ausgestattet ist, mit leerem Passwort angelegt, um einem Angreifer von außen Zugang zum System zu verschaffen. Diese Signaturen werden vom System verwaltet und mit dem audit trail verglichen. Gibt es eine Übereinstimmung, so wird ein Angriff gemeldet.[abbildung 5]. Dadurch liegt die False Positive Rate deutlich unter der von Systemen mit Anomalieerkennung, da nur auf bereits bekannte Angriffsmuster reagiert wird. Abbildung 5: Misuse Detection Modell Die Schwierigkeit liegt nun darin, eine Signatur zu finden, die möglichst alle Variationen dieses Angriffstyps beinhaltet, gleichzeitig aber noch zwischen einem Angriff und normaler Aktivität des Benutzers oder Systems unterscheiden kann. False Positives können somit auch bei dieser Methode sehr leicht entstehen, da die charakteristischen Merkmale eines Angriffs, die in einer Signatur festgehalten werden, sich mit denen des Normalbetriebs überschneiden. Versucht man nun, die Anzahl der False Positives zu verringern, in dem man das Angriffsmuster schmaler eingrenzt, läuft man zwangsläufig der Gefahr entgegen, einen Angriff zu übersehen. False Negatives entstehen aber auch dann, wenn ein neues, bisher noch nie aufgetretenes Angriffsmuster auftaucht, da keine der im System vorhandenen Signaturen mit dem neuen Angriffsmuster übereinstimmen können.

9 4.3 Vergleich Im direkten Vergleich der beiden Ansätze fällt auf, dass Missbrauch am System (misfeasors) sehr viel schlechter mit Hilfe der Anomalieerkennung aufgedeckt wird, da ein Benutzer seinen Missbrauch vorbereiten kann, indem er das System sozusagen für sein Vorhaben über einen gewissen Zeitraum trainiert. Dagegen werden maskierte Angriffe von Systemen mit Anomalieerkennung sehr viel besser erkannt, da diese Angriffe meist deutlich unterschiedliches Verhalten zum normalen aufweisen. Die folgende Tabelle fasst noch einmal zusammen: Anomaly Detection +FalseNegativeRategering + neue Angriffe entdecken - False Positive Rate sehr hoch - Insider können das System so trainieren, dass Angriffe möglich sind. Misuse Detection + False Positive Rate gering - Neue Angriffe werden nicht erkannt 5 Klassifizierung von Systemen Intrusion Detection Systeme, die auf diesen Methoden basieren, können durch die Technik, in der diese Ansätze umgesetzt werden, wie folgt klassifiziert werden: - Systeme mit statistischer Analyse Eine der ersten Techniken für Intrusion Detection Systeme mit Anomalieerkennung ist die statistische Analyse von aufgezeichneten Daten. Es wird hier zwischen Threshold Detection und Profile-based Detection unterschieden. o In der Threshold Detection werden Grenzwerte der System- und Benutzeraktivitäten festgesetzt, nach denen statistisch gesucht wird. Die Parameter dieser statistischen Analyse sind die Aktivität, die untersucht werden soll, die Häufigkeit, in der das IDS eine Analyse ausführen soll und der Grenzwert, der angibt, ob diese Aktivität ein Angriff ist oder nicht. o Bei der Profile-based Detection werden Schemata für normale oder erlaubte Benutzer- und Systemaktivität festgelegt. Abweichungen von diesen Schemata werden als Angriff klassifiziert. Der Vorteil dieser Technik liegt in der Anpassungsfähigkeit und darin, dass das IDS ohne speziellen Vorkenntnisse über den Benutzer und System einsetzbar ist. - Systeme mit KI-Techniken Ebenfalls eine der frühen Techniken in der Intrusion Detection, die auch in den meisten Systemen verwendet werden. ist der Einsatz von künstlicher Intelligenz. Hier unterscheidet man zwischen Expertensystemen, Systemen mit vorhersehbaren Schemata, Neuronalen Netzwerken und Systemen mit maschinellem Lernen. o o Die bekanntesten Systeme der Intrusion Detection sind Expertensysteme (z.b. IDES) [SRI92]. Dies sind regelbasierte Systeme, die typischerweise durch if-then Anweisungen implementiert werden. Diese Regeln bestimmen den Typ des Angriffs und die Schemata für die Anomalieerkennung. Um diese Regeln festzusetzen ist der sehr kostspielige und zeitaufwendige Einsatz eines Experten erforderlich. Außerdem muss ein solches System ständig überarbeitet werden. Ein weiterer Ansatz in der Anomalieerkennung sind Systeme, die mit Hilfe von Schemata durch das ständige Beobachten der bisherigen Aktivitäten die zukünftigen vorhersagen. Dabei wird die Wahrscheinlichkeit der nächsten Schritte

10 o o aufgrund von statistischen Beobachtungen der vorausgegangen festgelegt. Wenn eine Folge von vorhergesagten Aktivitäten eintritt, so wird dies als Angriffsversuch gemeldet. Mit Hilfe dieser Methode lassen sich Angriffe entdecken, die andere Systeme nur sehr schwer aufdecken. Neuronale Netze finden ihre Anwendung auch in der IDS. Ein solches System kann beispielsweise so trainiert werden, dass es in einem festegelegten Ereignisfenster die Benutzer- oder Systemaktivitäten vorhersagt. Das Neuronal Netz wird so trainiert, dass es typisches Benutzerverhalten lernt, um somit später in der Lage zu sein, Abweichungen zu erkennen. Abhängig von der Lernmethode kann dieses System auf mit noisy data trainiert werden. Beim Einsatz der Technik des maschinellen Lernens in einem IDS wird eine Bibliothek der vergangen Benutzerkommandos erstellt und mittels eines Ereignisfensters mit der aktuellen Eingabe verglichen. Dabei hat sich in der Praxis herausgestellt, dass die besten Resultate erzielt werden, wenn man 8-12 Kommandos mit einer Anzahl von Kommandofolgen vergleicht. Durch den dadurch gemessenen Grad der Ähnlichkeit und vorher festgelegten Grenzwerten wird dann entschieden, ob es sich um normales oder anomales Verhalten des Benutzers handelt. - Systeme mit Graph-basierten Techniken In manchen Misuse Detection Systemen werden Benutzer- und Systemaktivitäten sowie Signaturen durch eine Reihe von Graphen beschrieben. Diese werden miteinander verglichen, um Angriffe festzustellen. Hier wird zwischen Zustandsübergangsanalyse und Pattern Matching unterschieden o Bei der Zustandsübergangsanalyse wird von einen System ein Übergangsdiagramm erstellt. Bekannte Angriffsmuster werden als Zustände in diesem Diagramm repräsentiert. Am Ende einer Kette steht jeweils ein Endzustand, der als ein Angriff gilt. Die vorausgehenden Zustände unterscheiden zwischen Angriffsverhalten oder normaler Aktivität. Mit diesen Systemen können kooperative und verteilte Angriffe festgestellt werden. Dieses Verfahren wurde bei USTAT [USTAT90] verwendet. o Pattern Matching ist der klassische Fall eines Misuse Detection Systems. Dabei werden bekannte Angriffsmuster mit dem audit trail verglichen und bei einer gefunden Übereinstimmung als Angriff gemeldet. Diese Technik ist in IDIOT[IDIOT99] (Intrusion Detection in our time) implementiert. - Systeme mit Informationsrückgewinnung Bei echtzeitrelevanten Systemen werden Techniken der Informationsrückgewinnung verwendet. Hier kommen Misuse Detection Systeme zum Einsatz, die aus dem audit trail durch bestimmte Techniken Index-Dateien (audit index) herstellen, um darin nach Angriffsmuster zu suchen. Einsatzfähig sind diese Systeme allerdings nur dann, wenn sie in der Lage sind. zur Laufzeit diesen audit index ständig zu erneuern. 6 Intrusion Detection Systeme Bei Intrusion Detection Systeme unterscheidet man zwischen Hostbasierten und Netzwerkbasierten System. Systeme, die sowohl netzwerk- als auch hostbasiert arbeiten, werden als hybride Systeme bezeichnet. 6.1 Hostbasierte IDS (HIDS)

11 HIDS werden auf dem konkreten, zu überwachenden System installiert. Die Analyse der Daten erfolgt somit lokal. HIDS überprüfen den Kommunikationsverkehr innerhalb des Systems sowie den einkommenden und ausgehenden Datenstrom. Sie kontrollieren die Integrität von Systemdateien und überwachen Systemprozesse. Bei HIDS kann man in zwei Hauptgruppen unterscheiden: - Netzwerkmonitore Diese Systeme überprüfen ausschließlich eingehende und ausgehende Daten des Systems. Die Netzwerk-Interface-Karte wird also nicht im sog. promiscuous mode eingesetzt, um das gesamte lokale Netzwerk abzuhören. - Host-Monitore Ein Host-Monitor überwacht z.b. zu schützende Dateien, Filesysteme, etc.. Ein Beispiel für einen Host-Monitor sind File Integrity Checker, auf die später eingegangen wird. Eine der Hauptaufgaben eines HIDS ist das Überwachen der eingehenden Verbindungen. So lassen sich zum Beispiel DoS-Angriffe oder Portscans feststellen, indem man den Port überwacht, unter dem der angegriffene Service läuft. Verdächtige Pakete auf diesen Port können dann abgefangen werden und beispielsweise zusätzlich noch die Firewall alarmiert werden, ihre lokale Konfiguration zu ändern. Die Überwachung von sog. Root-Aktivitäten bzw. Prozessen ist eine weitere Hauptaufgabe. Angreifer versuchen hauptsächlich, sich mit Systemverwalter-Zugriffsrechten auszustatten, da dadurch beliebig großer Schaden anzurichten ist und ferner die eigenen Spuren leicht auszulöschen sind. Beispielsweise werden in einem HIDS gewisse Zeiten für Wartungsarbeiten festlegen. Die für Wartungsarbeiten typischen Prozessabläufe, z.b. ändern von Konfigurationsdateien, werden in Profilen oder Signaturen hinterlegt. Verwendet ein Eindringling außerhalb dieser festgelegten Zeiten ähnliche Muster solcher Prozessabläufe, so kann dies entdeckt werden. HIDS arbeiten mittlerweile sehr effektiv bei der Erkennung von internen Angriffen und Angriffen aus dem lokalen Netz. Einer der Nachteile von HIDS ist allerdings, dass sie auf den Produktionssystemen nicht zu unterschätzende Ressourcen für sich in Anspruch nehmen. Des weiteren sind sie meist ein beliebtes Ziel von Angriffen. Gelingt ein solcher Angriff, so werden die nachfolgenden Handlungen des Angreifers nicht weiter überwacht, was meistens schwerwiegende Konsequenzen hat. [MSY01] unterscheidet zwei Gruppen an Hostbasierter IDS Software: Host-Wrapper oder Personal Firewalls und agentenbasierte Software, auf die später eingegangen wird. 6.2 Netzwerkbasierte IDS (NIDS) Bei NIDS wird der Datenverkehr eines bestimmten Netzwerks oder Teil eines Netzwerks überwacht. Dabei wird jedes Paket, das in diesem Netz gesendet wird, auf Signaturen von Angriffen untersucht. Im Regelfall geht eine Protokollanalyse voraus, da nicht alle Pakete mit allen Signaturen verglichen werden können. Wenn man beispielsweise eine 20 Byte große Signatur bei einem voll ausgelasteten 100MBit Netz in allen Paketen suchen müsste, so hätte man bei durchschnittlichen 300 Byte großen Paketen und eine Bibliothek an 4000 Signaturen 20 x 300 x 30,000 x 4,000 (720,000,000,000) Vergleiche pro Sekunde durchzuführen, wenn man Byte für Byte vergleicht. Die Zahl der Vergleiche lässt sich durch Protokollanalyse deutlich verringern. Da ein Paket besteht aus einer regelmäßigen Zusammensetzung verschiedener Protokoll-Header des jeweiligen Layers [OSI81, TA92] besteht, ist es möglich, zunächst an Byteposition 13 die Protokoll-ID auszulesen (z.b für IP). Dadurch kann man Rückschlüsse auf das aufgesetzte Protokoll ziehen und direkt an die Byteposition der nächsten Schicht springen und diese auslesen (z.b. an 24.Position 06 für TCP). Bei TCP/IP

12 findet man so z.b. an Byteposition 35 die Portnummer und kann so bestimmen, für welchen Service (z.b für HTTP) das Paket bestimmt ist. Außerdem lässt sich dadurch wiederum die Anzahl der Signaturen eingrenzen, die verglichen werden müssen. Somit sind insgesamt deutlich weniger Vergleiche notwendig, um ein Angriffsmuster in ein Paket zu entdecken. Bei NIDS werden sog. Sensoren in das zu überwachenden Netz eingebunden. Die Sensoren sind zum einen in der Lage, nach Angriffsmustern wie z.b. Portscans im gesamten Netzwerk zu suchen, zum anderen zeichnen sie den Datenverkehr auf, um aufgezeichnete Daten auf verteilte Angriffe hin zu untersuchen. Im Regelfall findet eine solche Auswertung aus Performancegründen auf speziellen Analyse-Stationen, die mit den entsprechenden Datensätzen von den Sensoren beliefert werden, statt. Ein hoher Durchsatz an Paketen stellt für Sensoren heutzutage immer noch ein sehr großes Problem dar. Die Produkte des Marktführers ISS (RealSecure Network Sensor)[ISS01] garantieren bei 40MBit eine vollständige Überwachung aller Pakete. Im Gegensatz zu HIDS sind NIDS im Netzwerk nur schwer auszumachen und außerdem für den Angreifer nicht zu umgehen. Ferner verbrauchen sie keinerlei Ressourcen auf den Produktionssystemen. In Kooperation mit einer Firewall kann außerdem für alle im Netz befindlichen Systeme sehr schnell auf Angriffe reagiert werden. Wenn beispielsweise ein Portscan auf sämtliche Systeme im Netz entdeckt wurde, kann dies dem Firewall signalisiert werden, der dann die entsprechenden Ports oder IP-Adresse für den Angreifer sperrt Sensorplatzierung Neben dem Paketdurchsatz ist die Platzierung des Sensors ist eines der Kernprobleme von NIDS. Außerhalb der Firewall ist es Angriffsentdeckung und innerhalb ist es Einbruchsentdeckung [SNJN00]. Es wird empfohlen, den Sensor innerhalb der Firewall zu platzieren. Die Angriffsfläche des Sensors ist wesentlich kleiner und die Gefahr deutlich geringer, dass ein Sensor entdeckt und selbst angegriffen werden kann. Außerdem kann festgestellt werden, wie gut die Firewall arbeitet. Und schließlich erzeugt er weniger False Positives, da er weniger Lärm ausgesetzt ist. Einer der Hauptgründe, einen Sensor außerhalb der Firewall zu platzieren, ist die Gewissheit, dass ein Angriff stattgefunden hat. Wenn eine Firewall attackiert wird, so kann dies nicht von einem Sensor festgestellt werden, der hinter der Firewall steht. Im Betrieb außerhalb erhält man einen Überblick über die Art der Angriffe, der das System ausgesetzt wird und kann so seine Sicherheitsmassnahme entsprechend ständig anpassen. Will man Sensoren auf beiden Seiten betreiben, so hat man zunächst die besten Voraussetzungen, Angriffe und falsch konfigurierte Systeme zu entdecken. Die Schwierigkeit, die hier auftritt, ist die Korrelation der beiden Systeme. Da diese Systeme miteinander kommunizieren müssen, erfordert dies aufwendige Verfahren, um den Datenaustausch und die Verbindungen zu sichern. Abschließend hier noch weitere Möglichkeiten, Sensoren zu platzieren [SNJN00]: - Partnernetzwerke, durch die Sie oft innerhalb Ihrer Firewall direkte Verbindungen zu Kunden haben - High-Value-Standorte wie Forschungs- und Buchhaltungsnetzwerke. - Netzwerke mit einer großen Zahl mobiler Mitarbeiter - Subnetze, die durch Outsider angegriffen werden.

13 7 Weitere IDS 7.1 File Integrity Checker Bei einem Systemeinbruch werden sehr häufig wichtige Systemdateien verändert, um sich permanenten Zugang zum System zu verschaffen (z.b. /etc/passwd) oder um unerkannt zu bleiben (z.b. Login-Einträge aus dem Syslog entfernen). File Integrity Checker sind in der Lage, Änderungen an Systemdateien festzustellen und zu beobachten. Dazu wird eine Datenbank mit verschlüsselten Hashes (z.b. md5, sha1,.) der zu beobachtenden Dateien erstellt. Das System prüft in periodischen Abständen die Hashwerte der Datenbank mit den aktuellen Hashwerten der Systemdateien. Wird eine Abweichung festgestellt, meldet das System einen Alarm. Derzeit wird Tripwire (http://www.tripwire.com) auf unter den Top50 IDS als einziger File Integrity Checker geführt. 7.2 Honeypots. Honeypots sind Simulationen von Produktionssystemen. Sie geben vor, gewisse, bei Angreifern beliebte Services bereitzustellen. Tatsächlich verbirgt sich dahinter ein IDS, das alle Angriffe aufzeichnet und andere Komponenten wie Firewalls, NIDS, etc. alarmiert. Da diese Systeme nur dazu eingesetzt werden, einen Angreifer anzulocken, sollten sie keine weitere Funktion ausführen. Benutzer sollten dieses System ebenfalls nicht antasten, da es jeden Vorfall meldet. Wenn Angriffe auf Honeypots registriert werden, gewinnt man solange sich der Angreifer auf dem Honeypot auslebt - wichtige Zeit, die relevanten Systeme rechtzeitig gegen diesen Angriff zu schützen. 7.3 Beispiele für IDS Es gibt eine sehr große Anzahl an Intrusion Detection Systemen, in denen die beschriebenen Ansätze implementiert sind. Einen sehr guten Überblick über kommerzielle IDS bekommt man derzeit auf für IDS aus Forschungsprojekten derzeit bei Im folgenden soll nun ein Beispiel für ein Verteiltes IDS, AAFID, vorgestellt werden. Im Anschluss daran wird Snort, das Intrusion Detection System für jedermann, vorgestellt Autonome Agenten für Intrusion Detection (AAFID) AAFID ist ein verteiltes IDS, das von CERIAS[CER00] entwickelt wurde. AAFID war das erste System, das den Einsatz von autonomen Agenten in einem IDS untersuchte. Der Einsatz von Autonomen Agenten hat den Vorteil, dass sie unabhängig voneinander sind. So ist es möglich, sie einzeln hinzuzufügen, entfernen oder neu konfigurieren, ohne dass eine andere Komponente oder das ganze System verändert oder neu gestartet werden muss. Sie können hostbasiert oder netzwerkbasiert eingesetzt werden, da jeder Agent eine beliebige Funktion ausführen kann. Des weiteren kann jeder Agent einzeln getestet werden, bevor er in das Produktionssystem eingebunden wird. Agenten können untereinander Nachrichten austauschen, so dass Zusammenhänge bei Angriffen besser erkannt werden können. Sollte ein Agent ausfallen, so fällt nur eine Funktion im System aus und nicht das ganze System selbst. Wenn dieser Agent bzw. sein Ergebnis von einem anderen Agenten gebraucht wird, so kann dieser entweder den Ausfall dem System melden oder in manchen Fällen die Funktion selbst übernehmen.([crsp95] stellen dazu in ihrem Paper Agenten mit generischen Algorithmen vor). AAFID besteht aus vier Hauptkomponenten: Agenten, Filter, Tranceiver und Monitore [Abbildung 6]. Auf jedem Host können beliebig viele Agenten installiert sein. Filter werden eingesetzt, um Daten in systemunabhängige Formate umzuwandeln. Diese Daten werden Transceivern übermittelt. Transceiver sind die Koordinationseinheiten der Agenten und damit auf jedem der Hosts, auf den sich ein Agent befinden, installiert. Sie können Agenten starten,

14 stoppen oder deren Konfiguration ändern. Transceiver melden ihre Ergebnisse einem oder mehreren der Monitore im System. Monitore sind zum einen für die Korrelation der einzelnen Tansceiver-Einheiten zuständig, zum anderen für die Auswertung der Ergebnisse. Da sie die Daten des gesamten Systems überblicken, ist es möglich, verteilte Angriffe auf verschiedene Hosts zu entdecken. Monitore können selbst auch hierarchisch unterteil sein und sich gegenseitig kontrollieren. Schließlich bilden sie noch die Benutzerschnittstelle, um dem Analysten oder Administrator mit Informationen zu versorgen oder Kommandos zu empfangen. Abbildung 6: Architektur von AAFID Einer der wesentlichen Vorteile des Systems besteht in der Skalierbarkeit. Die hierarchische Struktur ermöglicht eine beliebig große Unterteilung der einzelnen Einheiten. Die Daten werden nur zur nächst höheren Hierarchiestufe weitergeleitet und dort ausgewertet. Durch den Einsatz von standardisierten Datenaustauschformaten kann AAFID auch in heterogenen Umgebungen installiert werden. Sollten neue Systeme oder Dienste hinzugefügt werden, können bestehende Agenten migriert bzw. portiert werden. Der erste Prototyp wurde in Perl, Tcl/Tk und C programmiert und war damals mit 12 Agenten ein - erstes Modell, das Konzept zu prüfen. Danach gab es noch Weiterentwicklungen in Gebiet der Erweiterbarkeit und Konfigurierbarkeit. Die Forschungsarbeit ist derzeit bis auf weiteres eingestellt worden. Dennoch ist es ein System, das unbezahlbar für das Identifizieren von Charakteristika in der Intrusion Detecion ist und Grundlage vieler anderer Forschungsprojekte der Intrusion Detection Snort Der Autor von Snort, Martin Roesch, wollte mit dem System eine, wie er sagt, ökologische Nische im Bereich der IDS füllen. Mit Snort ist ein plattformübergreifendes, lightweight System entstanden, das in kleinen Netzen zur Intrusion Detection eingesetzt werden kann. Begünstigt durch die Flexibilität und die enorme Verbreitung (open source) ist Snort mittlerweile zu einem sehr umfangreichen und performanten NIDS und v.a. konkurrenzfähigen IDS weiterentwickelt geworden. Snort ist ein libpcap-basierender[pcap94] Paket-Sniffer, der sich auf 3 unterschiedliche Arten einsetzen lässt: Als Paket-Sniffer (ähnlich wie tcpdump), als Paket-Logger, um Netzwerke zu analysieren, oder als vollständiges IDS. Im folgenden soll nur der letztere Fall weiter verfolgt werden.

15 Snort besteht aus 3 Komponenten: einem Paket-Dekoder, einer sog. Detection-Engine und einem Logging- und Alarmierungssubsystem. Der Paket-Decoder orientiert sich an den Vorgaben des TCP/IP-Protokolls. Zur Dekodierung jeder einzelnen Schicht im TCP/IP-Stack wird nacheinander die entsprechende Routine aufgerufen. Innerhalb der Routine, die die Applikations-Schicht dekodiert, wird hauptsächlich der Dateninhalt, also nicht der Protokoll-Header, untersucht. Protokollanalyse, Defragmentation der Pakete und stream reassembly ist dadurch möglich. Der Paket-Decoder kann derzeit Ethernet, SLIP und raw (PPP) data-link Protokolle untersuchen. Snort ist ein Regelbasiertes IDS. Die Regeln werden von der Detection-Engine in einer zweidimensional verketteten Liste verwaltet. In dieser Liste werden Regeln, die ähnliche Merkmale aufweisen (z.b. gleicher Port, gleiche Zieladresse, etc.) in sog. Chain-Header zusammengefasst, die einzelne detaillierte Beschreibung in den sog. Chain-Options. Die zu untersuchenden Pakete werden zunächst mit dem Chain-Header verglichen, um die Anzahl der Vergleiche zu reduzieren und so die Geschwindigkeit zu verbessern. Fällt der Vergleich positiv aus, wird von der Stelle an die Chain-Options Kette verglichen. Das System hat viele Möglichkeiten, Pakete, Alarmierungen oder Analysen aufzuzeichnen. Das dafür zuständige Subsystem arbeitet in Echtzeit und ist einfach zu konfigurieren. So können Netzwerkpakete sowohl im Binärformat als auch in ASCII aufgezeichnet werden, Alarmierungen können ebenso durch Einträge ins Syslog oder aber durch WinPopup Nachrichten angezeigt werden. Snort bietet einen sehr umfangreichen Regelsatz um z.b. Buffer Overflows, Stealth Portscans, CGI Angriffe und andere bekannte Angriffsmuster zu entdecken. Es besteht außerdem die Möglichkeit, Regeln selbst zu schreiben. Dabei gibt es 3 Kategorien an Filtern: pass, log und alert. Pass-Regeln ignorieren das Paket, bei log-regeln wird das Paket im entsprechend konfigurierten Format vom Loggin-Subsystem aufgezeichnet. Im Falle der alert-regel wird das Paket aufgezeichnet und das System oder Administrator je nach Konfiguration - alarmiert. Um beispielsweise alle Pakete des Webserver (auf Port 80) auf einem Host mit IP- Adresse aufzuzeichnen, lautet die Regel wie folgt: log tcp any any -> / Will man über bestimmte Zugriffe des Webservers, z.b. bestimme Dateien im CGI- Verzeichnis, alarmiert werden, kann man die obige Regel wie folgt erweitern: alert tcp any any > /24 80 (content: /cgi-bin/dangerous.pl ; msg: Zugriff auf dangerous.pl ;) Mit dem Parameter msg wird der Inhalt der Nachricht festgelegt. Snort unterscheidet neben msg und content insgesamt zwischen 14 verschiedenen Parametern wie z.b. ttl (time-to-live eines Pakets) oder flags (TCP Flag prüfen). Diese können beliebig miteinander kombiniert werde und somit kann sehr flexibel auf die relevanten Pakete fokussiert werden. Snort verfügt außerdem noch über die Möglichkeit, Filter einzusetzen (Berkeley Paket Filter, siehe auch: tcpdump [TCPDUMP]). Diese Filter werden wie der Regelsatz aus einer Datei bei der Initialisierung eingelesen. Snort-Filter können ähnlich wie Regeln eingesetzt werden, um Zusammenhänge von Hosts, Netzpakten und Protokollen zu filtern. Das folgende Beispiel filtert alle TCP-Pakete des Class C Subnetz außer denen des Hosts : tcp net and not host

16 Eine ausführliche Beschreibung des korrekten Einsatzes der BPF-Filter erhält man auf der Manpage von tcpdump. Die aktuelle Distribution ist für diverse Plattformen auf erhältlich. 8 Zusammenfassung Trotz der Vielzahl der Ansätze und Systeme in der Intrusion Detection, ist es derzeit nicht möglich, eine absolute Lösung zu finden, alle Angriffe aufzudecken. Dennoch sind sehr gute Ergebnisse durch Kombination dieser Ansätze zu erreichen. Die Antwortzeiten der Systeme verbessern sich ständig, so dass in vielen Fällen auf Angriffe, die üblicherweise automatisiert bzw. skriptgesteuert ablaufen, sehr schnell reagiert werden kann, wobei die Praxis lehrt, etwas von den Versprechungen der meisten kommerziellen Anbieter zu distanzieren. Besonders im Bereich der Paketüberprüfung werden bei NIDS oftmals Angaben gemacht, die nur unter sehr eingeschränkten Bedingungen zu erreichen sind. 9 Organisationen SANS Global Incident Analysis Centr (GIAC) COAST 10 Literatur [FBICSI01] [JPA80] [OSI81] [SN00] [SNJN00] [DED87] [ES00] 2001 Computer Crime and Security Survey Computer Security Institute, März Computer Security Threat Monitoring and Surveillance J.P. Anderson Co. Tech. Rep. 79F296400, April 1980 OSI Model A. Lyman Chapin RFC787, July SnortNet Marty Roesch et al. IDS: Intrusion Detection Systems Stephen Northcutt, Judy Novak Mitp, 2001 An Intrusion-Detection Model Dorothy E.Denning IEEE Transactions of Software Engineering, vol.3 (12), 1997 Anomaly Detection over Noisy Data using Learned Probability Distributions

17 Eleazar Eskin In Proceedings of the 17th International Conf. on Machine Learning, [SGS-C95] [USTAT90] [SRI92] [IDIOT] [MSY01] [TA92] [ISS01] [CER00] [CER00] [PCAP94] Distributed Tracing of Intruders Stuart Gresley Staniford-Chen Master Thesis, UC DAVIS, USTAT: A real-time intrusion detection system for UNIX K. Ilgun In Proceedings of the IEEE Symp. on Research in Security and Privacy, Oakland, 1990 A Realtime Intrusion Detection Expert System IDES T. Lunt, A. Tamaru, F. Gilham, R. Jagannathan SRI International, Menlo Park, Februar 1992 IDIOT: Intrusion Detection In Our Time Sandeep Kumar In Proceedings of the National Computer Security Conference, Intrusion Detection als ergänzender Sicherheitsmechanismus am Beispiel von UNIX S. Mutlu, A. Schnell, E. Yüskel Universität Hamburg, 2001 Modern Operating Systems Andrew S. Tannenbaum Prentice Hall International Editions, 1992 RealSecure Network Sensor Internet Security Systems \ security_products/intrusion_detection/realsecure_networksensor/ Center for Education and Research in Information Assurance and Security Purdue University, West Lafayette Defending a computer system using autonomous agents M. Crosbie, E. Spafford In Proceedings of the 18th National Information Systems and Security Conference, Oktober 1995 libpcap Van Jacobsen, Craig Leres, Steven McCanne Lawrence Berkeley National Laboratory, 1994

18 [TCPDUMP] tcpdump/libpcap 11 Weiterführende Literaturangaben [LSCE01] [PES01] [EMZY00] [LSCE01] Real Time Data Mining-based Intrusion Detection Wenke Lee, Salvatore J. Stolfo, Philip K. Chan Eleazar Eskin,... Columbia University, Department of Computer Science, Juni Intrusion Detection with Unlabeled Data Using Clustering Leonid Portnoy, Elezear Eskin, Sal Stolfo Columbia University, Department of Computer Science, 2001 In Proceedings of ACM CSS Workshop on Data Mining Applied to Security Adaptive Model Generation for Intrusion Detection Eleazar Eskin, Matthew Miller, Zhi-Da Zhong, George Yi,... Columbia University, Department of Computer Science, Real Time Data Mining-based Intrusion Detection Wenke Lee, Salvatore J. Stolfo, Philip K. Chan Eleazar Eskin,... Columbia University, Department of Computer Science, Juni 2001

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Network Intrusion Detection

Network Intrusion Detection System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS)

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS) Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Prof. Dr. Dietrich Reschke Klassifikation und Einsatzmöglichkeiten

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Kurzanleitung. 29. Februar 2008 2. Oktober 2008 Update. APtool-Kurzanleitung-V1_2_DE Seite 1 von 8

Kurzanleitung. 29. Februar 2008 2. Oktober 2008 Update. APtool-Kurzanleitung-V1_2_DE Seite 1 von 8 Kurzanleitung 29. Februar 2008 2. Oktober 2008 Update APtool-Kurzanleitung-V1_2_DE Seite 1 von 8 Inhalt INHALT... 2 EINFÜHRUNG... 3 VORBEREITUNG... 3 LIZENZIERUNG... 3 PROJEKT LIZENZEN... 4 GENERIERUNG

Mehr

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

Registrierung und Inbetriebnahme der UTM-Funktionen

Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung der USG Bevor einzelne UTM-Dienste aktiviert werden können, muss das Device in einem MyZyXEL-Account registriert werden. Die Registrierung

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung VERSION 8.0 FEBRUAR 2013 Logics Software GmbH Schwanthalerstr. 9 80336 München Tel.: +49 (89) 55 24 04-0 Fax +49 (89) 55

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 Kurzanleitung zur Softwareverteilung von Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 I. BitDefender Management Agenten Verteilung...2 1.1. Allgemeine Bedingungen:... 2 1.2. Erste

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen 13. Deutscher IT-Sicherheitskongress 14. - 16. Mai 2013 Bonn - Bad Godesberg Ralf Meister genua mbh Teil 1:

Mehr

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen Hacker unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen physikalischer Zugang möglich im LAN des Opfers außerhalb physikalischer Zugang wie kriegt man den? Diebstahl

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Monitoring Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

büro der zukunft Informationen zur Sicherheit der höll-fleetmanagement Software www.hoell.de

büro der zukunft Informationen zur Sicherheit der höll-fleetmanagement Software www.hoell.de Informationen zur Sicherheit der höll-fleetmanagement Software www.hoell.de Inhaltsverzeichnis Informationen zur Sicherheit der Fleet & Servicemanagement Software... Seite 1 Übersicht über die Fleet &

Mehr

Intrusion Detection Systems

Intrusion Detection Systems Paolo Di Stolfo, Stefan Hasenauer, Raffael Lorup 23.05.2011 Definition von IDS Arten von Attacken Angriffserkennung Basisarchitekturen Management von Alarmen und Korrelation Intrusion Response Beispiel

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr.

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr. Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007 Thema: Intrusion Detection Von Mathias Bernhard Mat. Nr.: 0627917 Datum: 25. Mai 2007 Inhaltsverzeichnis 1. Kurzfassung... 3

Mehr

Event-Aggregation in Frühwarnsystemen. Till Dörges. 2009 by PRESENSE Technologies GmbH

Event-Aggregation in Frühwarnsystemen. Till Dörges. 2009 by PRESENSE Technologies GmbH Event-Aggregation in Frühwarnsystemen Till Dörges Gliederung Motivation Definitionen Aggregationsverfahren Implementierung Ergebnisse / Ausblick Folie 2 / Event-Aggregation 18. März 2009 Hamburg Motivation

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

4.3 Einbruchsentdeckung Intrusion Detection

4.3 Einbruchsentdeckung Intrusion Detection 4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit

Mehr

Intrusion-Detection für Automatisierungstechnik

Intrusion-Detection für Automatisierungstechnik Intrusion-Detection für Automatisierungstechnik Franka Schuster Lehrstuhl Rechnernetze und Kommunikationssysteme Brandenburgische Technische Universität, Cottbus SPRING 7 GI SIDAR Graduierten-Workshop

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

State of the Art in Network-Related Extrusion Prevention Systems. Andreas Hackl, Barbara Hauer

State of the Art in Network-Related Extrusion Prevention Systems. Andreas Hackl, Barbara Hauer State of the Art in Network-Related Extrusion Prevention Systems Andreas Hackl, Barbara Hauer Übersicht Extrusion Prevention Systems Network-Related Extrusion Prevention Systems Schwachstellen Zusammenfassung

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Vorbereitung Intrusion Detection II Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Methoden zur adaptiven Steuerung von Overlay-Topologien in Peer-to-Peer-Diensten

Methoden zur adaptiven Steuerung von Overlay-Topologien in Peer-to-Peer-Diensten Prof. Dr. P. Tran-Gia Methoden zur adaptiven Steuerung von Overlay-Topologien in Peer-to-Peer-Diensten 4. Würzburger Workshop IP Netzmanagement, IP Netzplanung und Optimierung Robert Henjes, Dr. Kurt Tutschku

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Client-Server mit Socket und API von Berkeley

Client-Server mit Socket und API von Berkeley Client-Server mit Socket und API von Berkeley L A TEX Projektbereich Deutsche Sprache Klasse 3F Schuljahr 2015/2016 Copyleft 3F Inhaltsverzeichnis 1 NETZWERKPROTOKOLLE 3 1.1 TCP/IP..................................................

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Was ist Sicherheit - das Vokabular Angriff und Verteidigung Zugriff verweigert - drei A s Lücken und Löcher - man kommt doch rein Lauschangriff und Verschluesselung DoS - nichts

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP)

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP) Netzmanagement SS 2014 Prof. Dr. Martin Leischner / Dipl.Inf. Wolfgang Pein 14.5.14 - V1 Laborübung SNMP Einführung Um Netzmanagement betreiben zu können, ist es notwendig, auf Managementinformationen

Mehr

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Internet Security 2009W Protokoll WLAN Relay

Internet Security 2009W Protokoll WLAN Relay Internet Security 2009W Protokoll WLAN Relay Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 23. Dezember 2009 1 Inhaltsverzeichnis

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

TimePunch. TimePunch Command. Benutzerhandbuch 14.08.2013. TimePunch KG, Wormser Str. 37, 68642 Bürstadt

TimePunch. TimePunch Command. Benutzerhandbuch 14.08.2013. TimePunch KG, Wormser Str. 37, 68642 Bürstadt TimePunch TimePunch Command Benutzerhandbuch 14.08.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch Command Revisions-Nummer 37 Gespeichert

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

Infomelde-Server Einstellungen

Infomelde-Server Einstellungen Genau im Auge behalten, was Ihnen wichtig ist... Seite Themen 1 Servereinstellungen 2 Störmeldungen / Regeln 3 Regeln erstellen 4 Master-Daten / Schlüsselbegriffe 5 Empfänger / Rückmelde-Aktionen 6 Apple

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Interneteinstellungen für Agenda-Anwendungen

Interneteinstellungen für Agenda-Anwendungen Interneteinstellungen für Agenda-Anwendungen Bereich: TECHNIK - Info für Anwender Nr. 6062 Inhaltsverzeichnis 1. Ziel 2. Voraussetzungen 3. Vorgehensweise: Firewall einstellen 4. Details 4.1. Datenaustausch

Mehr

Kapitel 4 Zugriffsbeschränkungen

Kapitel 4 Zugriffsbeschränkungen Kapitel 4 Zugriffsbeschränkungen In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk durch Zugriffsbeschränkungen des 54 MBit/s Wireless Router WGR614 v6 schützen können. Diese Funktionen finden Sie im

Mehr