Neue Sicherheitstechnologien. Intrusion Detection

Größe: px
Ab Seite anzeigen:

Download "Neue Sicherheitstechnologien. Intrusion Detection"

Transkript

1 Hauptseminar Neue Sicherheitstechnologien Intrusion Detection Thilo Nesnidal Universität Stuttgart - Institut für Parallele und Verteilte Höchstleistungsrechner (IPVR)

2 0 Abstract Diese Ausarbeitung umfasst einen Überblick über Konzepte und Techniken in der Intrusion Detection. Zum besseren Verständnis für die Ansätze und Probleme, die in der Intrusion Detection entstehen, wird dabei zunächst in einer Übersicht auf die unterschiedlichen Angriffsarten eingegangen. Im Anschluss daran werden die Hauptausrichtungen der Intrusion Detection vorgestellt, erläutert und die Problematik der False Positives und False Negatives untersucht. Den zweiten Schwerpunkt bildet die Betrachtung von Intrusion Detection Systemen (IDS). Dabei werden hostbasierte und netzwerkbasierte Systeme vorgestellt. Die Vielzahl der unterschiedlichen IDS macht es jedoch unmöglich, sie in ihrer Gesamtheit einzeln vorzustellen. So sind die hier behandelten Systeme als Beispiel vorgeführt, um grundsätzliche Ansätze und Probleme der IDS aufzuzeigen. 1 Einleitung Die ständig wachsende Komplexität und Anzahl der Systeme, die temporär oder permanent in Kommunikationsnetzen teilnehmen, stellen eine immer schwerer zu lösende Aufgabe, Effektivität und zugleich Sicherheit gewährleisten zu können. Dafür verantwortlich sind eine ganze Reihe an Faktoren, die es vom heutigen Standpunkt aus nicht ermöglichen, Systeme so zu schaffen, dass im Vorfeld jegliche Art eines Angriffs verhindert werden kann. Einer der Hauptfaktoren hierbei ist die Tatsache, dass die derzeitigen Betriebssysteme und Programmiersprachen, die zur Entwicklung neuer Systeme verwendet werden, eine ganze Reihe an Sicherheitslücken aufweisen. Diese sind außerdem schwer auszumachen und können von Angreifern ausgenutzt werden, um bestehende oder neue Sicherheitsmechanismen zu umgehen. Ebenso bilden kryptographische Verfahren, die Sicherheit im Austausch von Daten zu gewährleisten versuchen, für einen Angreifer, der über genügend Ressourcen verfügt, auch keine unüberwindbare Barriere. Eine Studie des FBI in Zusammenarbeit mit dem Computer Security Institute (CSI) [FBICSI01] weist eine über die letzten Jahre ständig steigende Anzahl der Einbrüche in Netzwerke von Firmen, Banken, Universitäten, staatliche sowie privaten Einrichtungen auf. In dieser Studie gaben % an, in den letzten 12 Monaten Opfer eines Angriffs geworden zu sein. Davon verursachten 64% der Angriffe finanzielle Schäden. Von diesen bezifferten wiederum 186 (35%) ihren offiziellen Gesamtschaden, der durch diese Einbrüche verursacht wurde. Die Summe beläuft sich für das Jahr 2001 auf 377,8 Millionen Dollar. Da dies allerdings nur einen kleinen Teil dessen darstellt, was weltweit pro Jahr an Verlusten durch Computerkriminalität verursacht wird, lässt sich die Dunkelziffer nur schwer erahnen. Nach einer Schätzung beläuft sich allein in Deutschland der jährliche Schaden nach Angaben des TÜV auf 10 Milliarden Euro [FAZ]. Die Tatsache, dass dieser enorme finanzielle Schaden trotz des Einsatzes von Maßnahmen zur Sicherheit wie Firewalls, Viren Scanner und sicherheitstechnisch verbesserter oder restriktiver gehandhabter Systeme auftritt, ließ die Nachfrage nach Intrusion Detection Systemen (IDS), die sozusagen als letzte sicherheitstechnische Instanz diese Angriffe aufzeichnen, in den letzten Jahren beträchtlich steigen. Mit Hilfe von automatisch generierten Aufzeichnungen von System-, User- und Netzwerkaktivität (audit trail) und deren Analyse läßt sich eine große Anzahl an Angriffen zurückverfolgen und rekonstruieren. Ziel dieser Analysen ist es, weitere Ansätze zu finden, die eigene Sicherheit zu verbessern, so dass zumindest derselbe Einbruch nicht mehr möglich ist bzw. neue Angriffe abgewehrt werden können. In manchen Fällen gelingt es, den Angreiffer zu idenfizieren, um rechtliche Massnahmen einzuleiten. Der automatisierten Analyse der Systeme zur Erkennung solcher Angriffe stehen aber ebenfalls eine Reihe an komplexen Hindernissen entgegen. Zum einen sind die Systeme permanent ungeheuren Mengen an Daten, die es aufzuzeichnen und zu analysieren gilt, ausgesetzt. Zum anderen treten ständig neue, immer komplexer werdende Angriffsmuster, die mit den bestehenden Systemen kaum oder nur sehr schwer zu erkennen sind, auf.

3 Im Folgenden Abschnitt wird auf Angriffstypen eingegangen im Hinblick auf wichtige Aspekte der Intrusion Detection. Die Ansätze der Intrusion Detection orientieren sich sehr häufig am konkreten Fall, so ist eine Klassifizierung der Typen von Angriffen für das Verständnis von vorteil. Danach folgt eine Einführung in die grundsätzlichen Methoden der Intrusion Detection und abschliessend werden die Grundtypen von Intrusion Detection Systemen (IDS) mit Beispielen vorgestellt. 2 Angriffsmuster 2.1 Angriffstypen J.P.Anderson [JPA80] führte als erster eine Definition für Intrusion ein. Er bezeichnete Intrusion als den Versuch, ohne Autorisierung auf Informationen zuzugreifen oder diese zu verändern bzw. ein System so zu verändern, dass es unzuverlässig oder unbrauchbar wird. Er unterschied grundsätzlich zwischen Angriffen von außerhalb und innerhalb des lokalen Netzwerks oder Systems, wobei interne Angreifer nochmals unterschieden werden in misfeasors, clandestine user und masquerader. [Abbildung 1]. Als masquerader werden Angreifer bezeichnet, die sich als im System bestehende reguläre User ausgeben. In den häufigsten Fällen werden diese regulären Benutzerkonten von Angreifern im vorab durch einen geglückten Angriff (exploit) auf ein bestehendes Userkonto erworben. Angreifer, die ausschließlich Rechte des Systemverwalters erlangen wollen, werden als clandestine users bezeichnet. Die Namensgebung rührt von der Tatsache, dass sie mit Hilfe der erworbenen Rechte ihre eigenen Spuren auslöschen können und dadurch überhaupt sehr schwer feststellbar sind. Die letzte Gruppe der internen Angreifer, die misfeasors, nutzen die Rechte ihres regulären Benutzerkontos, um unerlaubtes damit anzustellen. Obwohl die Anzahl der Angriffe von außerhalb mittlerweile auf 40% beziffert wird, wobei hierbei in den meisten Fällen Webserver betroffen sind, sind interne Angriffe wesentlich ernsthafter zu betrachten. Grund dafür sind die Kenntnisse der Angreifer über die Eigenschaften und Strukturen der Systeme, da sie oftmals sehr genau und sehr lange studiert werden konnten. Intrusion Intern xtern misfeasor Abbildung 1: Angriffstypen clandestine user masquerader 2.2 Ebenen von Angriffen Angriffe finden auf verschiedenen Protokollebenen des OSI-Schichtenmodells [OSI81] statt. Bevorzugt werden Angriffe auf niedriger Protokollebene ausgeführt. Grund dafür ist die schwache Protokollierung und fehlende Sicherheitsmechanismen. Eine der am verbreitetsten Angriffe sind die sogenannten Denial-of-Service (DoS) Angriffe. Ist ein solcher Angriff erfolgreich, hat dies zur Folge, dass ein System oder ein Dienst nicht mehr reagieren kann. Ein bekanntes Beispiel ist der Smurf-Angriff. Hier nutzt man die Fähigkeit von ICMP aus, den Verkehr an die Broadcast-Adresse zu schicken. Viele Hosts können dann wiederum auf eine einzelne, an die Broadcast-Adresse geschickten ICMP-Echo Anfrage antworten (ping). Hierzu braucht man lediglich eine ICMP-Echo Anfrage mit gefälschter Quell-Adresse des

4 Opfers an die Broadcast-Adresse zu senden und im Fall, dass der Router die eingehenden ICMP-Echo Anfrage gestattet, antworten alle im Netz beteiligten Systeme der gefälschte Quell-Adresse. [Abbildung 2] Abbildung 2: Smurf Angriff (Quelle: [SNJN01]) Weitere bekannte Angriffsarten auf niedriger Protokollebene ist das Mitlesen von übertragenen Daten (Sniffing), Hijacking und Spoofing- und Flooding-attacken. Beim Spoofing wird dem Zielsystem eine falsche Adresse vorgetäuscht und somit die wahre Identität des Angreifers verschleiert. Ein bekanntes Beispiel ist DNS-Spoofing (siehe Vortrag Secure DNS) Unter Flooding versteht man das Überfluten eines Zielrechners mit einer großen Anzahl von Daten. So ist z.b. unter dem Begriff SYN-Flooding ein Angriff bekannt geworden, der vorgibt eine Verbindung aufzubauen, den Verbindungsaufbau (3-Wege-Handshake) jedoch nicht vollendet. Hierbei wird ausgenutzt, dass bei einer TCP-Verbindung im Verbindungsaufbau beim Drei-Wege-Handshake [Abbildung 3] auf ein SYN-request des Angreifers der Zielrechner mit einem SYN/ACK-request antwortet, Ressourcen für den Verbindungsaufbau schon bereitstellt und auf das ACK des Angreifers wartet, der dieses jedoch nicht lossendet. Bei jeder Wiederholung alloziert der Zielrechner nach und nach so viel Ressourcen, bis keine mehr zur Verfügung stehen und die Dienste gar nicht oder nur schleppend ausgeführt werden können.

5 Abbildung 3: Drei-Wege-Handshake Angriffe auf hoher Protokollebene werden durch nicht ausreichende Sorgfalt im Verlauf der Entwicklung von Anwendungen ermöglicht. Eine wesentliche Bedrohung auf Applikationsebene stellt die große Anzahl von Viren, Trojanern und Würmern, die besonders in Folge der zunehmenden Kommunikation über sehr leicht verbreitet werden, dar. Üblicherweise wird hierbei schadhafter Code im Anhang an eine mitgeliefert. Auf spezifischen Plattformen ist das bloße Öffnen dieses Anhangs in einem vom Betriebssystem bereitgestellten Client allein ausreichend, um die Kettenreaktion auszulösen, mit der sich der schadhafte Code im System unbemerkt installiert. Zusammenfassend werden alle 6 Kategorien von Angriffen im Zusammenhang auf die Methoden, mit denen sie feststellt werden können, aufgelistet [DED87]: - Einbruchsversuche (attempted break-ins) : Jemand versucht, in ein System z.b. durch häufiges Ausprobieren verschiedener gängiger Benutzer- und Passwordkombinationen ein in ein System einzudringen. Dies kann mittels atypischer Verhaltensprofile oder dadurch, dass Sicherheitsschranken durchbrochen werden, entdeckt werden. - Maskierte Angriffe (masquerade attacks) : Maskierte Angriffe sind sozusagen erfolgreiche Einbruchsversuche. Entdeckt werden kann ein solcher Angriff ebenfalls mittels atypischer Verhaltensprofile oder dadurch, dass Sicherheitsschranken durchbrochen werden. Zum Beispiel untypische Zeiten, in denen der Benutzer im System präsent ist. - Durchdringung der Sicherheitsmechanismen (penetration of the security control system): Das Durchdringen von existierenden Sicherheitssystemen kann durch gezieltes Überwachen (monitoring) der Aufkommen spezifischer Verhaltens- oder Aktivitätsmuster entdeckt werden. Beispielsweise gibt eine Aufzeichnung der verwendeten Kommandos des Benutzers, die er eigentlich nicht ausführen darf, Aufschluss über ein solches Durchdringen. - Sicherheitslücken (leakage) : kann durch auffälligen Gebrauch von System Ressourcen entdeckt werden. Beispielsweise ist das Ausdrucken von Dokumenten zu ungewöhnlichen Zeiten in diesem Zusammenhang schon ein Hinweis. - Missbrauch (malicious use) : kann durch atypischer Verhaltensprofile oder dadurch, dass Sicherheitsschranken durchbrochen werden, oder dem Gebrauch von speziellen Rechten entdeckt werden. - Denial of Servie (DoS) : Diese Art des Angriffs wird (meistens zu spät) durch die auffällige hohe Anzahl der Zugriffe auf einen bestimmten Service entdeckt. Hier ist es erforderlich, im Vorfeld die Netzaktivität des Angreifers herauszufiltern zu können.

6 3 Audit trail Einer der Grundbausteine für die Erkennung von Angriffen und Einbrüchen ist das Aufzeichnen der Aktivitäten von Netzwerk, System und der Benutzer (audit trail). Voraussetzung dafür sind Betriebssysteme oder Anwendungen, die diese Aktivitäten aufzeichnen können. Aufgezeichnet wird häufig in der dem System zugrunde liegenden Form (native audit record), es gibt also keine Standards. Beispielsweise verfügen UNIX Betriebssysteme durch den Syslogd [rfc3164] standardmäßig über einen Mechanismus, die Vorgänge im System aufzuzeichnen. Es wird empfohlen, in jedem Fall folgende Daten dabei zu berücksichtigen: Zeitstempel. Subjekt. Objekt. ausgeführte Aktion. Abbruchbedingung. Ressource Subjekt ist hier der Initiator der ausgeführten Aktion am Objekt zu einem gegebenen Zeitpunkt, der mittels dem Zeitstempel festgehalten wird. Zusammen mit der verwendeten Ressource und der Abbruchbedingung lässt somit sehr genau feststellen, was von wo aus entsprechend beabsichtig wurde. Die meisten Intrusion Detection Systeme bieten eine ganze Reihe an Möglichkeiten für diese Aufzeichnungen. So ist es z.b. bei Snort [SN00] möglich, verschiedene Formate wie z.b. XML, ASCII, etc. zu wählen. Üblicherweise wird jedoch im Binärformat protokolliert, da bei der Umwandlung in andere Formate Geschwindigkeitseinbussen, die unter Umständen zur Folge haben, dass Pakete verloren gehen, entstehen. Ebenso sollte es möglich sein, im Vorfeld gewisse Filter einsetzten zu können, um selektiv aufzeichnen zu können. Es macht beispielsweise wenig Sinn, bei Backuproutinen auf entfernte Rechner bei üblicherweise sehr großen Datenmengen jedes Vorkommen eines gesendeten UDP Paket zu diesem Zielrechner mitzuloggen. Auf die Art und Weise, wie solche Filter entstehen, wird im folgenden Abschnitt genauer eingegangen. 4 Intrusion Detection Die beiden grundsätzlichen Methoden der Intrusion Detection sind Erkennung von Anomalien (Anomaly Detection), und Missbraucherkennung (Misuse Detection). Im praktischen Einsatz ist es wichtig, beide Varianten in Kombination einzusetzen, denn keine ist für sich hinreichend, um ein umfassendes Modell für Intrusion Detection Systeme zu bilden. 4.1 Anomaly Detection Bei dieser Methode geht man davon aus, dass in einem System normale und anomale Aktivitäten unterscheidbar gemacht werden können. Angriffe oder Einbrüche sind dabei Teilmenge anomaler Verhaltensweisen im System. Wenn es also möglich ist, ein Profil für normale Aktivität zu generieren, können die gesamten Aktivitäten von Benutzern, System und Netzwerk aufgezeichnet und dagegen geprüft werden (in einem sogenannten Profiler) und signifikante Unterschiede gemeldet werden. Ein solches Profil beinhaltet eine Reihe von Metriken wie z.b. durchschnittliche Auslastung der CPU oder des Netzwerks zu verschiedenen Uhrzeiten, Anzahl der Prozesse, etc. Für diese Metriken werden Grenzwerte festgelegt. Wenn diese Grenzwerte überschritten werden, meldet das System einen Vorfall oder Angriff. [Abbildung 4]

7 Abbildung 4: Anomaly Detection Modell Der große Vorteil dieser Methode ist die Möglichkeit, neue Angriffsmuster ebenso wie Varianten bestehender zu erkennen, ohne das System verändern oder neu programmieren zu müssen, da nicht Angriffe, sondern Abweichung von Normalzuständen beobachtet werden. Außerdem ist damit auch die Möglichkeit gegen, dass Systeme über einen bestimmten Zeitraum hinweg von selbst benutzerspezifische Eigenarten feststellen und sich entsprechend anpassen können. Da Angriffe eine Teilmenge anomaler Aktivität sind, ist es möglich, dass normales Verhalten bei nicht korrekt spezifizierter Abgrenzung als anomal gilt, und somit einen Fehlalarm auslöst, Ein solcher Fehlalarm wird als False Positive bezeichnet. Der weitaus schwerwiegendere Fall ist dann gegeben, wenn ein Angriff als normales Verhalten klassifiziert wurde und somit unentdeckt bleibt. Entsprechend wird dies False Negative bezeichnet. Die Effektivität eines solchen Modells hängt von der Genauigkeit der Spezifikation des Profils ab und somit wiederum von der Anzahl der Metriken. Je mehr Metriken es gibt, desto weniger false negatives und positives treten auf. Da außerdem die Häufigkeit, in der gegen dieses Profil getestet wird, ebenfalls ein entscheidender Faktor ist, muss im Hinblick auf die zur Verfügung stehenden Betriebsmittel ein Kompromiss gefunden werden. Dies ist sicherlich der Hauptgrund, warum in diesen Systemen die Zahl der false positives so enorm hoch gegenüber den tatsächlichen Angriffen ist. Die meisten in der Praxis eingesetzten Profile werden daher üblicherweise erst dann eingesetzt, wenn sie vorher in eigens dafür geschaffenen Umgebungen trainiert und ausgiebig getestet wurden. Für das Training notwendig sind Datensätze, die frei von Angriffsmustern sind (clean data). Das Herstellen solcher Datensätze ist sehr komplex, zeitaufwendig und meistens mit dem Risiko verbunden, für den vorgesehenen Einsatz nicht ausreichend durchdacht zu sein. Dazu kommt die Schwierigkeit, diese Systeme während der Zeit, in der sie eingesetzt werden, sich nicht weiteren oder neuen Erfordernissen anpassen können, da sie ausschließlich mit clean data trainiert werden müssen. Richtig problematisch wird es natürlich, wenn es einem Angreifer möglich ist, sich bereits während der Zeit, in der das System trainiert wird, Zugang zu verschaffen. Daher wird derzeit nach Ansätze geforscht, die es Systemen ermöglichen, Anomalien aus den Datensätzen, mit denen ein Profil generiert wird, zu erkennen [ES00]. Ausgehend von der Annahme, dass Anomalien sehr selten im Vergleich zu normalen Daten vorkommen, wird nach einer Wahrscheinlichkeitsverteilung ein Datenmodell für Anomalieerkennung

8 aufgestellt, das ermöglicht, Systeme von Beginn an mit den Daten arbeiten zu lassen, die im realen Umfeld vorhanden sind, also vermutlich auch Angriffe beinhalten (noisy data). Die Vorteile dabei sind außer dem Wegfallen der Trainingszeiten vor dem wirklichen Einsatz eines solchen Systems die selbstständige Weiterentwicklung dieses Systems. Profile werden ständig automatisch verbessert und können, je länger ein solches System im Einsatz ist, die Eigenschaften der dort tätigen Benutzern sehr genau eingrenzen, so dass die False Positive bzw. False Negative Rate ständig verbessert wird. Die Umsetzung dieser Ansätze findet ihren Ursprung in der Beobachtung und Erweiterung der Methoden, die für das maschinelle Lernen, der Statistik- und Wahrscheinlichkeitsrechnung eingesetzt werden. Da diese Methoden nicht ohne eingehende Vorkenntnisse vorgestellt werden können, soll dies hier der Vollständigkeit halber mit dem Hinweis auf die Referenzen zur weiteren Vertiefung im Anschluss and die Literaturangaben (siehe: Weiterführende Literaturangaben) erwähnt sein. [LSCE01,PES01,EMZY00] 4.2 Misuse Detection Bei dieser Methode steht im Gegensatz zur Anomalie-Erkennung das Beobachten der Schwachstellen und der möglichen Angriffe darauf im Vordergrund. Dabei wird für jeden Angriff eine Signatur definiert, die die Struktur des Angriffs so repräsentiert, dass auch Abweichungen dieses Angriffs erkennbar sind. Ein einfaches Beispiel für eine Signatur ist ein sog. Null-Passwort-Eintrag. Hierbei wird ein Benutzerkonto von einem Systemprozess, der mit den notwendigen Rechten ausgestattet ist, mit leerem Passwort angelegt, um einem Angreifer von außen Zugang zum System zu verschaffen. Diese Signaturen werden vom System verwaltet und mit dem audit trail verglichen. Gibt es eine Übereinstimmung, so wird ein Angriff gemeldet.[abbildung 5]. Dadurch liegt die False Positive Rate deutlich unter der von Systemen mit Anomalieerkennung, da nur auf bereits bekannte Angriffsmuster reagiert wird. Abbildung 5: Misuse Detection Modell Die Schwierigkeit liegt nun darin, eine Signatur zu finden, die möglichst alle Variationen dieses Angriffstyps beinhaltet, gleichzeitig aber noch zwischen einem Angriff und normaler Aktivität des Benutzers oder Systems unterscheiden kann. False Positives können somit auch bei dieser Methode sehr leicht entstehen, da die charakteristischen Merkmale eines Angriffs, die in einer Signatur festgehalten werden, sich mit denen des Normalbetriebs überschneiden. Versucht man nun, die Anzahl der False Positives zu verringern, in dem man das Angriffsmuster schmaler eingrenzt, läuft man zwangsläufig der Gefahr entgegen, einen Angriff zu übersehen. False Negatives entstehen aber auch dann, wenn ein neues, bisher noch nie aufgetretenes Angriffsmuster auftaucht, da keine der im System vorhandenen Signaturen mit dem neuen Angriffsmuster übereinstimmen können.

9 4.3 Vergleich Im direkten Vergleich der beiden Ansätze fällt auf, dass Missbrauch am System (misfeasors) sehr viel schlechter mit Hilfe der Anomalieerkennung aufgedeckt wird, da ein Benutzer seinen Missbrauch vorbereiten kann, indem er das System sozusagen für sein Vorhaben über einen gewissen Zeitraum trainiert. Dagegen werden maskierte Angriffe von Systemen mit Anomalieerkennung sehr viel besser erkannt, da diese Angriffe meist deutlich unterschiedliches Verhalten zum normalen aufweisen. Die folgende Tabelle fasst noch einmal zusammen: Anomaly Detection +FalseNegativeRategering + neue Angriffe entdecken - False Positive Rate sehr hoch - Insider können das System so trainieren, dass Angriffe möglich sind. Misuse Detection + False Positive Rate gering - Neue Angriffe werden nicht erkannt 5 Klassifizierung von Systemen Intrusion Detection Systeme, die auf diesen Methoden basieren, können durch die Technik, in der diese Ansätze umgesetzt werden, wie folgt klassifiziert werden: - Systeme mit statistischer Analyse Eine der ersten Techniken für Intrusion Detection Systeme mit Anomalieerkennung ist die statistische Analyse von aufgezeichneten Daten. Es wird hier zwischen Threshold Detection und Profile-based Detection unterschieden. o In der Threshold Detection werden Grenzwerte der System- und Benutzeraktivitäten festgesetzt, nach denen statistisch gesucht wird. Die Parameter dieser statistischen Analyse sind die Aktivität, die untersucht werden soll, die Häufigkeit, in der das IDS eine Analyse ausführen soll und der Grenzwert, der angibt, ob diese Aktivität ein Angriff ist oder nicht. o Bei der Profile-based Detection werden Schemata für normale oder erlaubte Benutzer- und Systemaktivität festgelegt. Abweichungen von diesen Schemata werden als Angriff klassifiziert. Der Vorteil dieser Technik liegt in der Anpassungsfähigkeit und darin, dass das IDS ohne speziellen Vorkenntnisse über den Benutzer und System einsetzbar ist. - Systeme mit KI-Techniken Ebenfalls eine der frühen Techniken in der Intrusion Detection, die auch in den meisten Systemen verwendet werden. ist der Einsatz von künstlicher Intelligenz. Hier unterscheidet man zwischen Expertensystemen, Systemen mit vorhersehbaren Schemata, Neuronalen Netzwerken und Systemen mit maschinellem Lernen. o o Die bekanntesten Systeme der Intrusion Detection sind Expertensysteme (z.b. IDES) [SRI92]. Dies sind regelbasierte Systeme, die typischerweise durch if-then Anweisungen implementiert werden. Diese Regeln bestimmen den Typ des Angriffs und die Schemata für die Anomalieerkennung. Um diese Regeln festzusetzen ist der sehr kostspielige und zeitaufwendige Einsatz eines Experten erforderlich. Außerdem muss ein solches System ständig überarbeitet werden. Ein weiterer Ansatz in der Anomalieerkennung sind Systeme, die mit Hilfe von Schemata durch das ständige Beobachten der bisherigen Aktivitäten die zukünftigen vorhersagen. Dabei wird die Wahrscheinlichkeit der nächsten Schritte

10 o o aufgrund von statistischen Beobachtungen der vorausgegangen festgelegt. Wenn eine Folge von vorhergesagten Aktivitäten eintritt, so wird dies als Angriffsversuch gemeldet. Mit Hilfe dieser Methode lassen sich Angriffe entdecken, die andere Systeme nur sehr schwer aufdecken. Neuronale Netze finden ihre Anwendung auch in der IDS. Ein solches System kann beispielsweise so trainiert werden, dass es in einem festegelegten Ereignisfenster die Benutzer- oder Systemaktivitäten vorhersagt. Das Neuronal Netz wird so trainiert, dass es typisches Benutzerverhalten lernt, um somit später in der Lage zu sein, Abweichungen zu erkennen. Abhängig von der Lernmethode kann dieses System auf mit noisy data trainiert werden. Beim Einsatz der Technik des maschinellen Lernens in einem IDS wird eine Bibliothek der vergangen Benutzerkommandos erstellt und mittels eines Ereignisfensters mit der aktuellen Eingabe verglichen. Dabei hat sich in der Praxis herausgestellt, dass die besten Resultate erzielt werden, wenn man 8-12 Kommandos mit einer Anzahl von Kommandofolgen vergleicht. Durch den dadurch gemessenen Grad der Ähnlichkeit und vorher festgelegten Grenzwerten wird dann entschieden, ob es sich um normales oder anomales Verhalten des Benutzers handelt. - Systeme mit Graph-basierten Techniken In manchen Misuse Detection Systemen werden Benutzer- und Systemaktivitäten sowie Signaturen durch eine Reihe von Graphen beschrieben. Diese werden miteinander verglichen, um Angriffe festzustellen. Hier wird zwischen Zustandsübergangsanalyse und Pattern Matching unterschieden o Bei der Zustandsübergangsanalyse wird von einen System ein Übergangsdiagramm erstellt. Bekannte Angriffsmuster werden als Zustände in diesem Diagramm repräsentiert. Am Ende einer Kette steht jeweils ein Endzustand, der als ein Angriff gilt. Die vorausgehenden Zustände unterscheiden zwischen Angriffsverhalten oder normaler Aktivität. Mit diesen Systemen können kooperative und verteilte Angriffe festgestellt werden. Dieses Verfahren wurde bei USTAT [USTAT90] verwendet. o Pattern Matching ist der klassische Fall eines Misuse Detection Systems. Dabei werden bekannte Angriffsmuster mit dem audit trail verglichen und bei einer gefunden Übereinstimmung als Angriff gemeldet. Diese Technik ist in IDIOT[IDIOT99] (Intrusion Detection in our time) implementiert. - Systeme mit Informationsrückgewinnung Bei echtzeitrelevanten Systemen werden Techniken der Informationsrückgewinnung verwendet. Hier kommen Misuse Detection Systeme zum Einsatz, die aus dem audit trail durch bestimmte Techniken Index-Dateien (audit index) herstellen, um darin nach Angriffsmuster zu suchen. Einsatzfähig sind diese Systeme allerdings nur dann, wenn sie in der Lage sind. zur Laufzeit diesen audit index ständig zu erneuern. 6 Intrusion Detection Systeme Bei Intrusion Detection Systeme unterscheidet man zwischen Hostbasierten und Netzwerkbasierten System. Systeme, die sowohl netzwerk- als auch hostbasiert arbeiten, werden als hybride Systeme bezeichnet. 6.1 Hostbasierte IDS (HIDS)

11 HIDS werden auf dem konkreten, zu überwachenden System installiert. Die Analyse der Daten erfolgt somit lokal. HIDS überprüfen den Kommunikationsverkehr innerhalb des Systems sowie den einkommenden und ausgehenden Datenstrom. Sie kontrollieren die Integrität von Systemdateien und überwachen Systemprozesse. Bei HIDS kann man in zwei Hauptgruppen unterscheiden: - Netzwerkmonitore Diese Systeme überprüfen ausschließlich eingehende und ausgehende Daten des Systems. Die Netzwerk-Interface-Karte wird also nicht im sog. promiscuous mode eingesetzt, um das gesamte lokale Netzwerk abzuhören. - Host-Monitore Ein Host-Monitor überwacht z.b. zu schützende Dateien, Filesysteme, etc.. Ein Beispiel für einen Host-Monitor sind File Integrity Checker, auf die später eingegangen wird. Eine der Hauptaufgaben eines HIDS ist das Überwachen der eingehenden Verbindungen. So lassen sich zum Beispiel DoS-Angriffe oder Portscans feststellen, indem man den Port überwacht, unter dem der angegriffene Service läuft. Verdächtige Pakete auf diesen Port können dann abgefangen werden und beispielsweise zusätzlich noch die Firewall alarmiert werden, ihre lokale Konfiguration zu ändern. Die Überwachung von sog. Root-Aktivitäten bzw. Prozessen ist eine weitere Hauptaufgabe. Angreifer versuchen hauptsächlich, sich mit Systemverwalter-Zugriffsrechten auszustatten, da dadurch beliebig großer Schaden anzurichten ist und ferner die eigenen Spuren leicht auszulöschen sind. Beispielsweise werden in einem HIDS gewisse Zeiten für Wartungsarbeiten festlegen. Die für Wartungsarbeiten typischen Prozessabläufe, z.b. ändern von Konfigurationsdateien, werden in Profilen oder Signaturen hinterlegt. Verwendet ein Eindringling außerhalb dieser festgelegten Zeiten ähnliche Muster solcher Prozessabläufe, so kann dies entdeckt werden. HIDS arbeiten mittlerweile sehr effektiv bei der Erkennung von internen Angriffen und Angriffen aus dem lokalen Netz. Einer der Nachteile von HIDS ist allerdings, dass sie auf den Produktionssystemen nicht zu unterschätzende Ressourcen für sich in Anspruch nehmen. Des weiteren sind sie meist ein beliebtes Ziel von Angriffen. Gelingt ein solcher Angriff, so werden die nachfolgenden Handlungen des Angreifers nicht weiter überwacht, was meistens schwerwiegende Konsequenzen hat. [MSY01] unterscheidet zwei Gruppen an Hostbasierter IDS Software: Host-Wrapper oder Personal Firewalls und agentenbasierte Software, auf die später eingegangen wird. 6.2 Netzwerkbasierte IDS (NIDS) Bei NIDS wird der Datenverkehr eines bestimmten Netzwerks oder Teil eines Netzwerks überwacht. Dabei wird jedes Paket, das in diesem Netz gesendet wird, auf Signaturen von Angriffen untersucht. Im Regelfall geht eine Protokollanalyse voraus, da nicht alle Pakete mit allen Signaturen verglichen werden können. Wenn man beispielsweise eine 20 Byte große Signatur bei einem voll ausgelasteten 100MBit Netz in allen Paketen suchen müsste, so hätte man bei durchschnittlichen 300 Byte großen Paketen und eine Bibliothek an 4000 Signaturen 20 x 300 x 30,000 x 4,000 (720,000,000,000) Vergleiche pro Sekunde durchzuführen, wenn man Byte für Byte vergleicht. Die Zahl der Vergleiche lässt sich durch Protokollanalyse deutlich verringern. Da ein Paket besteht aus einer regelmäßigen Zusammensetzung verschiedener Protokoll-Header des jeweiligen Layers [OSI81, TA92] besteht, ist es möglich, zunächst an Byteposition 13 die Protokoll-ID auszulesen (z.b für IP). Dadurch kann man Rückschlüsse auf das aufgesetzte Protokoll ziehen und direkt an die Byteposition der nächsten Schicht springen und diese auslesen (z.b. an 24.Position 06 für TCP). Bei TCP/IP

12 findet man so z.b. an Byteposition 35 die Portnummer und kann so bestimmen, für welchen Service (z.b für HTTP) das Paket bestimmt ist. Außerdem lässt sich dadurch wiederum die Anzahl der Signaturen eingrenzen, die verglichen werden müssen. Somit sind insgesamt deutlich weniger Vergleiche notwendig, um ein Angriffsmuster in ein Paket zu entdecken. Bei NIDS werden sog. Sensoren in das zu überwachenden Netz eingebunden. Die Sensoren sind zum einen in der Lage, nach Angriffsmustern wie z.b. Portscans im gesamten Netzwerk zu suchen, zum anderen zeichnen sie den Datenverkehr auf, um aufgezeichnete Daten auf verteilte Angriffe hin zu untersuchen. Im Regelfall findet eine solche Auswertung aus Performancegründen auf speziellen Analyse-Stationen, die mit den entsprechenden Datensätzen von den Sensoren beliefert werden, statt. Ein hoher Durchsatz an Paketen stellt für Sensoren heutzutage immer noch ein sehr großes Problem dar. Die Produkte des Marktführers ISS (RealSecure Network Sensor)[ISS01] garantieren bei 40MBit eine vollständige Überwachung aller Pakete. Im Gegensatz zu HIDS sind NIDS im Netzwerk nur schwer auszumachen und außerdem für den Angreifer nicht zu umgehen. Ferner verbrauchen sie keinerlei Ressourcen auf den Produktionssystemen. In Kooperation mit einer Firewall kann außerdem für alle im Netz befindlichen Systeme sehr schnell auf Angriffe reagiert werden. Wenn beispielsweise ein Portscan auf sämtliche Systeme im Netz entdeckt wurde, kann dies dem Firewall signalisiert werden, der dann die entsprechenden Ports oder IP-Adresse für den Angreifer sperrt Sensorplatzierung Neben dem Paketdurchsatz ist die Platzierung des Sensors ist eines der Kernprobleme von NIDS. Außerhalb der Firewall ist es Angriffsentdeckung und innerhalb ist es Einbruchsentdeckung [SNJN00]. Es wird empfohlen, den Sensor innerhalb der Firewall zu platzieren. Die Angriffsfläche des Sensors ist wesentlich kleiner und die Gefahr deutlich geringer, dass ein Sensor entdeckt und selbst angegriffen werden kann. Außerdem kann festgestellt werden, wie gut die Firewall arbeitet. Und schließlich erzeugt er weniger False Positives, da er weniger Lärm ausgesetzt ist. Einer der Hauptgründe, einen Sensor außerhalb der Firewall zu platzieren, ist die Gewissheit, dass ein Angriff stattgefunden hat. Wenn eine Firewall attackiert wird, so kann dies nicht von einem Sensor festgestellt werden, der hinter der Firewall steht. Im Betrieb außerhalb erhält man einen Überblick über die Art der Angriffe, der das System ausgesetzt wird und kann so seine Sicherheitsmassnahme entsprechend ständig anpassen. Will man Sensoren auf beiden Seiten betreiben, so hat man zunächst die besten Voraussetzungen, Angriffe und falsch konfigurierte Systeme zu entdecken. Die Schwierigkeit, die hier auftritt, ist die Korrelation der beiden Systeme. Da diese Systeme miteinander kommunizieren müssen, erfordert dies aufwendige Verfahren, um den Datenaustausch und die Verbindungen zu sichern. Abschließend hier noch weitere Möglichkeiten, Sensoren zu platzieren [SNJN00]: - Partnernetzwerke, durch die Sie oft innerhalb Ihrer Firewall direkte Verbindungen zu Kunden haben - High-Value-Standorte wie Forschungs- und Buchhaltungsnetzwerke. - Netzwerke mit einer großen Zahl mobiler Mitarbeiter - Subnetze, die durch Outsider angegriffen werden.

13 7 Weitere IDS 7.1 File Integrity Checker Bei einem Systemeinbruch werden sehr häufig wichtige Systemdateien verändert, um sich permanenten Zugang zum System zu verschaffen (z.b. /etc/passwd) oder um unerkannt zu bleiben (z.b. Login-Einträge aus dem Syslog entfernen). File Integrity Checker sind in der Lage, Änderungen an Systemdateien festzustellen und zu beobachten. Dazu wird eine Datenbank mit verschlüsselten Hashes (z.b. md5, sha1,.) der zu beobachtenden Dateien erstellt. Das System prüft in periodischen Abständen die Hashwerte der Datenbank mit den aktuellen Hashwerten der Systemdateien. Wird eine Abweichung festgestellt, meldet das System einen Alarm. Derzeit wird Tripwire (http://www.tripwire.com) auf unter den Top50 IDS als einziger File Integrity Checker geführt. 7.2 Honeypots. Honeypots sind Simulationen von Produktionssystemen. Sie geben vor, gewisse, bei Angreifern beliebte Services bereitzustellen. Tatsächlich verbirgt sich dahinter ein IDS, das alle Angriffe aufzeichnet und andere Komponenten wie Firewalls, NIDS, etc. alarmiert. Da diese Systeme nur dazu eingesetzt werden, einen Angreifer anzulocken, sollten sie keine weitere Funktion ausführen. Benutzer sollten dieses System ebenfalls nicht antasten, da es jeden Vorfall meldet. Wenn Angriffe auf Honeypots registriert werden, gewinnt man solange sich der Angreifer auf dem Honeypot auslebt - wichtige Zeit, die relevanten Systeme rechtzeitig gegen diesen Angriff zu schützen. 7.3 Beispiele für IDS Es gibt eine sehr große Anzahl an Intrusion Detection Systemen, in denen die beschriebenen Ansätze implementiert sind. Einen sehr guten Überblick über kommerzielle IDS bekommt man derzeit auf für IDS aus Forschungsprojekten derzeit bei Im folgenden soll nun ein Beispiel für ein Verteiltes IDS, AAFID, vorgestellt werden. Im Anschluss daran wird Snort, das Intrusion Detection System für jedermann, vorgestellt Autonome Agenten für Intrusion Detection (AAFID) AAFID ist ein verteiltes IDS, das von CERIAS[CER00] entwickelt wurde. AAFID war das erste System, das den Einsatz von autonomen Agenten in einem IDS untersuchte. Der Einsatz von Autonomen Agenten hat den Vorteil, dass sie unabhängig voneinander sind. So ist es möglich, sie einzeln hinzuzufügen, entfernen oder neu konfigurieren, ohne dass eine andere Komponente oder das ganze System verändert oder neu gestartet werden muss. Sie können hostbasiert oder netzwerkbasiert eingesetzt werden, da jeder Agent eine beliebige Funktion ausführen kann. Des weiteren kann jeder Agent einzeln getestet werden, bevor er in das Produktionssystem eingebunden wird. Agenten können untereinander Nachrichten austauschen, so dass Zusammenhänge bei Angriffen besser erkannt werden können. Sollte ein Agent ausfallen, so fällt nur eine Funktion im System aus und nicht das ganze System selbst. Wenn dieser Agent bzw. sein Ergebnis von einem anderen Agenten gebraucht wird, so kann dieser entweder den Ausfall dem System melden oder in manchen Fällen die Funktion selbst übernehmen.([crsp95] stellen dazu in ihrem Paper Agenten mit generischen Algorithmen vor). AAFID besteht aus vier Hauptkomponenten: Agenten, Filter, Tranceiver und Monitore [Abbildung 6]. Auf jedem Host können beliebig viele Agenten installiert sein. Filter werden eingesetzt, um Daten in systemunabhängige Formate umzuwandeln. Diese Daten werden Transceivern übermittelt. Transceiver sind die Koordinationseinheiten der Agenten und damit auf jedem der Hosts, auf den sich ein Agent befinden, installiert. Sie können Agenten starten,

14 stoppen oder deren Konfiguration ändern. Transceiver melden ihre Ergebnisse einem oder mehreren der Monitore im System. Monitore sind zum einen für die Korrelation der einzelnen Tansceiver-Einheiten zuständig, zum anderen für die Auswertung der Ergebnisse. Da sie die Daten des gesamten Systems überblicken, ist es möglich, verteilte Angriffe auf verschiedene Hosts zu entdecken. Monitore können selbst auch hierarchisch unterteil sein und sich gegenseitig kontrollieren. Schließlich bilden sie noch die Benutzerschnittstelle, um dem Analysten oder Administrator mit Informationen zu versorgen oder Kommandos zu empfangen. Abbildung 6: Architektur von AAFID Einer der wesentlichen Vorteile des Systems besteht in der Skalierbarkeit. Die hierarchische Struktur ermöglicht eine beliebig große Unterteilung der einzelnen Einheiten. Die Daten werden nur zur nächst höheren Hierarchiestufe weitergeleitet und dort ausgewertet. Durch den Einsatz von standardisierten Datenaustauschformaten kann AAFID auch in heterogenen Umgebungen installiert werden. Sollten neue Systeme oder Dienste hinzugefügt werden, können bestehende Agenten migriert bzw. portiert werden. Der erste Prototyp wurde in Perl, Tcl/Tk und C programmiert und war damals mit 12 Agenten ein - erstes Modell, das Konzept zu prüfen. Danach gab es noch Weiterentwicklungen in Gebiet der Erweiterbarkeit und Konfigurierbarkeit. Die Forschungsarbeit ist derzeit bis auf weiteres eingestellt worden. Dennoch ist es ein System, das unbezahlbar für das Identifizieren von Charakteristika in der Intrusion Detecion ist und Grundlage vieler anderer Forschungsprojekte der Intrusion Detection Snort Der Autor von Snort, Martin Roesch, wollte mit dem System eine, wie er sagt, ökologische Nische im Bereich der IDS füllen. Mit Snort ist ein plattformübergreifendes, lightweight System entstanden, das in kleinen Netzen zur Intrusion Detection eingesetzt werden kann. Begünstigt durch die Flexibilität und die enorme Verbreitung (open source) ist Snort mittlerweile zu einem sehr umfangreichen und performanten NIDS und v.a. konkurrenzfähigen IDS weiterentwickelt geworden. Snort ist ein libpcap-basierender[pcap94] Paket-Sniffer, der sich auf 3 unterschiedliche Arten einsetzen lässt: Als Paket-Sniffer (ähnlich wie tcpdump), als Paket-Logger, um Netzwerke zu analysieren, oder als vollständiges IDS. Im folgenden soll nur der letztere Fall weiter verfolgt werden.

15 Snort besteht aus 3 Komponenten: einem Paket-Dekoder, einer sog. Detection-Engine und einem Logging- und Alarmierungssubsystem. Der Paket-Decoder orientiert sich an den Vorgaben des TCP/IP-Protokolls. Zur Dekodierung jeder einzelnen Schicht im TCP/IP-Stack wird nacheinander die entsprechende Routine aufgerufen. Innerhalb der Routine, die die Applikations-Schicht dekodiert, wird hauptsächlich der Dateninhalt, also nicht der Protokoll-Header, untersucht. Protokollanalyse, Defragmentation der Pakete und stream reassembly ist dadurch möglich. Der Paket-Decoder kann derzeit Ethernet, SLIP und raw (PPP) data-link Protokolle untersuchen. Snort ist ein Regelbasiertes IDS. Die Regeln werden von der Detection-Engine in einer zweidimensional verketteten Liste verwaltet. In dieser Liste werden Regeln, die ähnliche Merkmale aufweisen (z.b. gleicher Port, gleiche Zieladresse, etc.) in sog. Chain-Header zusammengefasst, die einzelne detaillierte Beschreibung in den sog. Chain-Options. Die zu untersuchenden Pakete werden zunächst mit dem Chain-Header verglichen, um die Anzahl der Vergleiche zu reduzieren und so die Geschwindigkeit zu verbessern. Fällt der Vergleich positiv aus, wird von der Stelle an die Chain-Options Kette verglichen. Das System hat viele Möglichkeiten, Pakete, Alarmierungen oder Analysen aufzuzeichnen. Das dafür zuständige Subsystem arbeitet in Echtzeit und ist einfach zu konfigurieren. So können Netzwerkpakete sowohl im Binärformat als auch in ASCII aufgezeichnet werden, Alarmierungen können ebenso durch Einträge ins Syslog oder aber durch WinPopup Nachrichten angezeigt werden. Snort bietet einen sehr umfangreichen Regelsatz um z.b. Buffer Overflows, Stealth Portscans, CGI Angriffe und andere bekannte Angriffsmuster zu entdecken. Es besteht außerdem die Möglichkeit, Regeln selbst zu schreiben. Dabei gibt es 3 Kategorien an Filtern: pass, log und alert. Pass-Regeln ignorieren das Paket, bei log-regeln wird das Paket im entsprechend konfigurierten Format vom Loggin-Subsystem aufgezeichnet. Im Falle der alert-regel wird das Paket aufgezeichnet und das System oder Administrator je nach Konfiguration - alarmiert. Um beispielsweise alle Pakete des Webserver (auf Port 80) auf einem Host mit IP- Adresse aufzuzeichnen, lautet die Regel wie folgt: log tcp any any -> / Will man über bestimmte Zugriffe des Webservers, z.b. bestimme Dateien im CGI- Verzeichnis, alarmiert werden, kann man die obige Regel wie folgt erweitern: alert tcp any any > /24 80 (content: /cgi-bin/dangerous.pl ; msg: Zugriff auf dangerous.pl ;) Mit dem Parameter msg wird der Inhalt der Nachricht festgelegt. Snort unterscheidet neben msg und content insgesamt zwischen 14 verschiedenen Parametern wie z.b. ttl (time-to-live eines Pakets) oder flags (TCP Flag prüfen). Diese können beliebig miteinander kombiniert werde und somit kann sehr flexibel auf die relevanten Pakete fokussiert werden. Snort verfügt außerdem noch über die Möglichkeit, Filter einzusetzen (Berkeley Paket Filter, siehe auch: tcpdump [TCPDUMP]). Diese Filter werden wie der Regelsatz aus einer Datei bei der Initialisierung eingelesen. Snort-Filter können ähnlich wie Regeln eingesetzt werden, um Zusammenhänge von Hosts, Netzpakten und Protokollen zu filtern. Das folgende Beispiel filtert alle TCP-Pakete des Class C Subnetz außer denen des Hosts : tcp net and not host

16 Eine ausführliche Beschreibung des korrekten Einsatzes der BPF-Filter erhält man auf der Manpage von tcpdump. Die aktuelle Distribution ist für diverse Plattformen auf erhältlich. 8 Zusammenfassung Trotz der Vielzahl der Ansätze und Systeme in der Intrusion Detection, ist es derzeit nicht möglich, eine absolute Lösung zu finden, alle Angriffe aufzudecken. Dennoch sind sehr gute Ergebnisse durch Kombination dieser Ansätze zu erreichen. Die Antwortzeiten der Systeme verbessern sich ständig, so dass in vielen Fällen auf Angriffe, die üblicherweise automatisiert bzw. skriptgesteuert ablaufen, sehr schnell reagiert werden kann, wobei die Praxis lehrt, etwas von den Versprechungen der meisten kommerziellen Anbieter zu distanzieren. Besonders im Bereich der Paketüberprüfung werden bei NIDS oftmals Angaben gemacht, die nur unter sehr eingeschränkten Bedingungen zu erreichen sind. 9 Organisationen SANS Global Incident Analysis Centr (GIAC) COAST 10 Literatur [FBICSI01] [JPA80] [OSI81] [SN00] [SNJN00] [DED87] [ES00] 2001 Computer Crime and Security Survey Computer Security Institute, März Computer Security Threat Monitoring and Surveillance J.P. Anderson Co. Tech. Rep. 79F296400, April 1980 OSI Model A. Lyman Chapin RFC787, July SnortNet Marty Roesch et al. IDS: Intrusion Detection Systems Stephen Northcutt, Judy Novak Mitp, 2001 An Intrusion-Detection Model Dorothy E.Denning IEEE Transactions of Software Engineering, vol.3 (12), 1997 Anomaly Detection over Noisy Data using Learned Probability Distributions

17 Eleazar Eskin In Proceedings of the 17th International Conf. on Machine Learning, [SGS-C95] [USTAT90] [SRI92] [IDIOT] [MSY01] [TA92] [ISS01] [CER00] [CER00] [PCAP94] Distributed Tracing of Intruders Stuart Gresley Staniford-Chen Master Thesis, UC DAVIS, USTAT: A real-time intrusion detection system for UNIX K. Ilgun In Proceedings of the IEEE Symp. on Research in Security and Privacy, Oakland, 1990 A Realtime Intrusion Detection Expert System IDES T. Lunt, A. Tamaru, F. Gilham, R. Jagannathan SRI International, Menlo Park, Februar 1992 IDIOT: Intrusion Detection In Our Time Sandeep Kumar In Proceedings of the National Computer Security Conference, Intrusion Detection als ergänzender Sicherheitsmechanismus am Beispiel von UNIX S. Mutlu, A. Schnell, E. Yüskel Universität Hamburg, 2001 Modern Operating Systems Andrew S. Tannenbaum Prentice Hall International Editions, 1992 RealSecure Network Sensor Internet Security Systems \ security_products/intrusion_detection/realsecure_networksensor/ Center for Education and Research in Information Assurance and Security Purdue University, West Lafayette Defending a computer system using autonomous agents M. Crosbie, E. Spafford In Proceedings of the 18th National Information Systems and Security Conference, Oktober 1995 libpcap Van Jacobsen, Craig Leres, Steven McCanne Lawrence Berkeley National Laboratory, 1994

18 [TCPDUMP] tcpdump/libpcap 11 Weiterführende Literaturangaben [LSCE01] [PES01] [EMZY00] [LSCE01] Real Time Data Mining-based Intrusion Detection Wenke Lee, Salvatore J. Stolfo, Philip K. Chan Eleazar Eskin,... Columbia University, Department of Computer Science, Juni Intrusion Detection with Unlabeled Data Using Clustering Leonid Portnoy, Elezear Eskin, Sal Stolfo Columbia University, Department of Computer Science, 2001 In Proceedings of ACM CSS Workshop on Data Mining Applied to Security Adaptive Model Generation for Intrusion Detection Eleazar Eskin, Matthew Miller, Zhi-Da Zhong, George Yi,... Columbia University, Department of Computer Science, Real Time Data Mining-based Intrusion Detection Wenke Lee, Salvatore J. Stolfo, Philip K. Chan Eleazar Eskin,... Columbia University, Department of Computer Science, Juni 2001

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Network Intrusion Detection

Network Intrusion Detection System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS)

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS) Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Prof. Dr. Dietrich Reschke Klassifikation und Einsatzmöglichkeiten

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr.

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr. Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007 Thema: Intrusion Detection Von Mathias Bernhard Mat. Nr.: 0627917 Datum: 25. Mai 2007 Inhaltsverzeichnis 1. Kurzfassung... 3

Mehr

4.3 Einbruchsentdeckung Intrusion Detection

4.3 Einbruchsentdeckung Intrusion Detection 4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Intrusion Detection Systems

Intrusion Detection Systems Paolo Di Stolfo, Stefan Hasenauer, Raffael Lorup 23.05.2011 Definition von IDS Arten von Attacken Angriffserkennung Basisarchitekturen Management von Alarmen und Korrelation Intrusion Response Beispiel

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 3. September 2003 Arbeitspapier zu Intrusion Detection Systemen (IDS) 1 angenommen auf der 34. Sitzung der Arbeitsgruppe, 2.-3. September

Mehr

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI Workshop Informationssicherheit Carsten Elfers 06.11.2009 System Qualität und Informationssicherheit Rahmenbedingungen

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Intrusion-Detection für Automatisierungstechnik

Intrusion-Detection für Automatisierungstechnik Intrusion-Detection für Automatisierungstechnik Franka Schuster Lehrstuhl Rechnernetze und Kommunikationssysteme Brandenburgische Technische Universität, Cottbus SPRING 7 GI SIDAR Graduierten-Workshop

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17 Inhaltsverzeichnis Vorwort 15 Einleitung 17 Teil I Einführung in die Intrusion Detection 21 Kapitel 1 Was ist eine Intrusion, was ist Intrusion Detection? 23 1.1 Was ist eine Intrusion? 24 1.2 Was macht

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse Netzwerkanalyse Seite 1 von 6 Einführung in die Netzwerkanalyse Unter Netzwerkanalyse versteht man einen Prozess, bei dem der Netzwerk-Traffic abgegriffen und genau untersucht wird, um festzustellen, was

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006 Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit

Mehr

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

Netzwerk Intrusion Detection mit Snort in schnellen Netzen

Netzwerk Intrusion Detection mit Snort in schnellen Netzen Netzwerk Intrusion Detection mit Snort in schnellen Netzen Ein Überblick über Konzepte, Komponenten und Anwendungen des Intrusion Detection Systems (IDS) Snort Edin Dizdarevic, System Developer, Internet

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Registrierung und Inbetriebnahme der UTM-Funktionen

Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung der USG Bevor einzelne UTM-Dienste aktiviert werden können, muss das Device in einem MyZyXEL-Account registriert werden. Die Registrierung

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Monitoring Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Event-Aggregation in Frühwarnsystemen. Till Dörges. 2009 by PRESENSE Technologies GmbH

Event-Aggregation in Frühwarnsystemen. Till Dörges. 2009 by PRESENSE Technologies GmbH Event-Aggregation in Frühwarnsystemen Till Dörges Gliederung Motivation Definitionen Aggregationsverfahren Implementierung Ergebnisse / Ausblick Folie 2 / Event-Aggregation 18. März 2009 Hamburg Motivation

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung Fertigprodukte Bruno Blumenthal und Roger Meyer 18. Juli 2003 Zusammenfassung Dieses Dokument beschreibt die Fertigprodukte welche im Projekt NetWACS eingesetzt werden sollen. Es soll als Übersicht dienen

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser Intrusion Detection in Wireless and Ad-hoc Networks Raphaela Estermann Richard Meuris Philippe Hochstrasser Inhalt 1. Einführung in Wireless und Ad-hoc Netzwerke 2. Problematik in Wireless und Ad-hoc Netzwerken

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Künstliche Intelligenz

Künstliche Intelligenz Künstliche Intelligenz Data Mining Approaches for Instrusion Detection Espen Jervidalo WS05/06 KI - WS05/06 - Espen Jervidalo 1 Overview Motivation Ziel IDS (Intrusion Detection System) HIDS NIDS Data

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Varysys Packetalarm 100A

Varysys Packetalarm 100A Für die IDS-Sicherheitslösung Varysys Packetalarm 100A Das Intrusion Detection System (IDS) PacketAlarm 100 des deutschen Herstellers VarySys Technologies konnte in unseren ausführlichen Sicherheitstests

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr