Diplomarbeit. im Studiengang Angewandte Informatik. Fachhochschule Hannover University of Applied Sciences and Arts Fachbereich Informatik

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit. im Studiengang Angewandte Informatik. Fachhochschule Hannover University of Applied Sciences and Arts Fachbereich Informatik"

Transkript

1 Absicherung von Netzen mit Hilfe von Intrusion Detection / Intrusion Prevention Systemen - Resistenz gegen Anti-IDS-Angriffe Diplomarbeit im Studiengang Angewandte Informatik Fachhochschule Hannover University of Applied Sciences and Arts Fachbereich Informatik Michael Pilgermann Erstprüfer: Zweitprüfer: Prof. Dr. Josef von Helden Lars Borges Angefertigt in der Zeit vom 01. Mai 2003 bis 31. Juli 2003 Bonn, Juli 2003

2

3 Inhaltsverzeichnis 1 Einleitung 7 2 Einführung in Intrusion Detection und Intrusion Prevention Erkennungstechnologien Mustererkennung (Pattern Matching) Statusbetonte Mustererkennung (Stateful Pattern Matching) Protokollanalyse (Protocol Decoding) Heuristische Analyse (Heuristic Analysis) Anomalie-Erkennung (Anomaly Analysis) Komponenten Positionierung in die Sicherheitsinfrastruktur Kategorisierung Host Intrusion Detection System (HIDS) Network Intrusion Detection System (NIDS) Network Node Intrusion Detection System / Hybrid Intrusion Detection System (NNIDS) Host Intrusion Prevention System (HIPS) Network Intrusion Prevention System (NIPS) Anforderungen an Intrusion Detection / Intrusion Prevention Systeme Analyse Alarmierung Reporting Intrusion Response Protokollierung / Logging Sicherheit Interoperatiblität Konfiguration / Management Herstellerleistungen / Organisatorisches / Allgemeines Intrusion Detection Systeme im Vergleich Internet Security Systems Cisco Systems Enterasys Entercept Abschließende Bewertung Angriffe auf Intrusion Detection Systeme Angriff im Allgemeinen Angriffe im IDS- / IPS-Umfeld

4 4.2.1 Insertion und Evasion Denial-of-Service Angriffsverschleierung auf Applikationsebene Automatisierte Angriffe Whisker Version 2.1 / Nikto Version Nessus Version NMap Version Fragrouter Version NetCat Version TCPDump Version Snort Version Anfälligkeit von Intrusion Detection Systemem bezüglich der Anti-IDS-Angriffe Okena und Anti-IDS-Angriffe Allgemeines Okena StormFront Architektur und Funktionsweise von StormWatch Laborumgebung Deployment der StormWatch-Komponenten Angriffe und Reaktionen Angriffe auf Netzebene Lokale Angriffe Übersicht Angriffe Bewertung Schlussbetrachtung und Ausblick Intrusion Detection Exchange Protocol Mögliche Folgeprojekte A Glossar 107 B Erstellung einer Policy 109 C Programmquellcodes 119 D Tabellenverzeichnis 139 E Abbildungsverzeichnis 141 F Sourcenverzeichnis 143 G Literaturverzeichnis 145

5 Erklärung Hiermit erkläre ich, dass ich die vorliegende Diplomarbeit selbstständig angefertigt habe. Es wurden nur die in der Arbeit ausdrücklich genannten Quellen und Hilfsmittel benutzt. Wörtlich oder sinngemäß übernommenes Gedankengut habe ich als solches kenntlich gemacht. Bonn, den (Michael Pilgermann) 5

6 Seite: 6 FH Hannover - FB Informatik

7 Kapitel 1 Einleitung In den letzten Jahren ist die globale Kommunikation über IT-Netzwerke stark angewachsen. Zusammen mit der Vernetzung stieg auch das Angriffspotential. Der Absicherung der internen Netze wird deshalb zunehmend Interesse beigemessen. Eine Absicherung des Netzwerkes mit Hilfe von paketfilternden Routern und Firewalls kann den Anforderungen an die Sicherheit heutzutage nicht mehr Rechnung tragen, da sie einerseits nur vor Angriffen aus dem jeweils angeschlossenen Netz schützen, andererseits Technologien zum Umgehen von Firewalls entwickelt wurden 1. Seit einigen Jahren erhalten zunehmend Intrusion Detection Systeme (IDS) Einzug in diese Netze. Sie sind in der Lage, nicht gefilterte Angriffe zu erkennen. Eine proaktive Abwehr des Angriffs ist mit ihnen allerdings nicht möglich. Ein neuer Ansatz wird von Intrusion Prevention Systemen (IPS) verfolgt, die die Angriffe nicht im nachhinein melden, sondern von vornherein unterbinden. Mit der Einführung von IDS und IPS in sicherheitsrelevante Netzwerke wurden auch Angriffe gegen diese Systeme entwickelt. Entweder wird versucht, dass System in seiner Verfügbarkeit einzuschränken oder es zu umgehen. Diese Angriffe werden auch als Anti-IDS-Angriffe bezeichnet. Diese Diplomarbeit liefert einen Überblick über die aktuelle Lage in Bezug auf IDS / IPS. Im Wesentlichen wird Aufschluss über folgende Themengebiete gegeben: ein Überblick über aktuelle Techniken und Verfahren in Bezug auf Intrusion Detection und Intrusion Prevention, eine Vorstellung bekannter Anti-IDS-Technologien und deren Auswirkungen auf IDS und IPS praktische Ergebnisse aus der Analyse und Konzeption von neuen Angriffen gegen das Intrusion Prevention System StormWatch von der Firma Okena Die ersten beiden Aufgaben wurden durch Analyse und Auswertung von Herstellerinformationen durchgeführt. Auch allgemeine Papiere wie herstellerunabhängige Testberichte und Evaluationen haben als Grundlage für diese Aufgaben gedient. Für die dritte Aufgabe, den Versuch des Einbruchs in eine StormWatch-abgesicherte Umgebung, wurde zusätzlich zur Analyse und Auswertung von Herstellerinformationen eine Laborumgebung eingerichtet. In ihr wurden die Auswirkungen von Evasion-Techniken auf die Abwehrfähigkeiten von Okenas StormWatch untersucht. Gliederung Die Diplomarbeit ist in fünf Teile gegliedert. Im ersten Kapitel wird mit einer Einführung ein Einblick in den Themenbereich Intrusion Detection / Intrusion Prevention gegeben. Es erfolgt eine Beschreibung zur Integration dieser Systeme in ein Gesamtsicherheitskonzept. Weiterhin 1 Beispielsweise Tunneling von TCP/IP durch HTTP-Verbindungen (e.g. HTTPort von Technology Networks oder Ausspionieren der ACLs auf Gateways (e.g. wie beschrieben in Firewalking - A Traceroute-Like Analysis of IP Packet Responses to Determine Gateway Access Control Lists [GS98]) 7

8 Seite: 8 Einleitung wird in diesem Teil die Notwendigkeit des Einsatzes von IDS / IPS in Netzen hinterfragt. Verschiedene Formen von Intrusion Detection / Intrusion Prevention Systemen werden mit ihren Eigenschaften vorgestellt. Die Abgrenzung der einzelnen Komponenten mit ihren Verantwortlichkeiten wird deutlich gemacht. In dem sich anschließenden Kapitel Anforderungen an IDS / IPS werden die Anforderungen an die Systeme diskutiert und spezifiziert. Unterschiede bei den Anforderungen an diese Systeme im Host- zu denen im Netzwerk-Bereich werden aufgezeigt. Eigenschaften aus verschiedenen Bereichen wie Analyse, Alarmisierung, Reporting und Auditing finden hier Berücksichtigung. Daraufhin wird eine Auswahl von Produkten verschiedener Hersteller vorgestellt. Nach einem kurzen Einblick in das jeweilige System werden die Produkteigenschaften an den zuvor definierten Anforderungen gespiegelt. Ein abschließender Vergleich der Ergebnisse rundet das Kapitel ab. Nach der Einführung in die Grundlagen des Absicherns von Netzen wird das Netzwerk aus der Sicht des Angreifers betrachtet. Ein kleiner Exkurs in Angriffe auf Netzwerke im Allgemeinen führt in den Themenbereich ein. Danach wird ein besonderer Augenmerk auf die Angriffe im IDS/IPS- Umfeld gelegt. Es werden Schwachstellen mit ihren dazugehörigen Angriffsmustern und Exploits vorgestellt. Viele Angriffe werden mit Hilfe von unterschiedlichen Tools durchgeführt, die die Penetration erleichtern und effizienter machen. Es erfolgt eine Kategorisierung dieser Werkzeuge und es werden Tools zur Unterstützung von automatisierten Penetratonsläufen oder manuellen Angriffen vorgestellt. Das Kapitel Okena und Anti-IDS-Angriffe nimmt die zentrale Stellung in der Diplomarbeit ein. Das Produkt StormWatch von der Firma Okena wurde in Bezug auf Anti-IDS-Angriffe in einer Laborumgebung untersucht. Durch die innovative Architektur dieses Intrusion Prevention Systems sind die Anti-IDS-Angriffe nicht einfach übertragbar. Es müssen Anpassungen vorgenommen werden und nach Analyse des Systems eigene Exploits konzipiert und entwickelt werden. Die Ergebnisse aus den Penetrationen werden ausgewertet. Es werden Auswirkungen auf das Netzwerk dargestellt und Abhilfemöglichkeiten aufgezeigt. Mit einem Fazit wird die Diplomarbeit abgerundet. Es werden die einzelnen abgearbeiteten Punkte bewertet. In einem Ausblick wird noch auf verschiedene aktuelle Entwicklungen im IDS/IPS- Bereich eingegangen und der Versuch unternommen, die mögliche Entwicklung in den nächsten Jahren zu beschreiben. Danksagung Ich möchte mich an dieser Stelle bei allen bedanken, die mich bei der Ausübung des Studiums und bei der Bearbeitung der Diplomarbeit unterstützt haben. Besonderer Dank gilt dabei Herrn Lars Borges von der Firma T-Systems GEI GmbH, der mir in zahlreichen fachlichen Fragen hilfreich zur Seite stand und mich bei der Erstellung der Diplomarbeit hervorragend unterstützte. Auch meinem Erstprüfer Herrn Prof. Dr. Josef von Helden von der Fachhochschule Hannover möchte ich für die Betreuung während der Bearbeitung der Diplomarbeit danken. Ich danke dem gesamten Team der T-Systems GEI GmbH in Bonn, allen voran Herrn Jörn Garbers, die mir durch das überaus positive Arbeitsklima und die vielseitige Unterstützung die Arbeit einfach gemacht haben. Nicht zuletzt danke ich allen Freunden, Verwandten und Bekannten für jegliche Unterstützung bei der Bearbeitung. Weiterhin bedanke ich mich auch bei der Firma Okena, die uns für die Labaorarbeiten mit Testversionen von Okena StormWatch und Okena StormFront versorgten. FH Hannover - FB Informatik

9 Kapitel 2 Einführung in Intrusion Detection und Intrusion Prevention Absicherung von Netzwerken - ein ausichtsloses Unterfangen? Diese Frage muss man sich stellen, wenn man sich die Entwicklung bezüglich der Absicherung von Netzen in den letzten Jahren oder Jahrzehnten anschaut. Das Internet hat sich aus dem Arpanet, dem Zusammenschluss aus einigen militärischen und Universitäts-Rechnern, entwickelt. Als Transportprotokoll wurde hierzu TCP/IP erarbeitet. Bei dieser Entwicklung war der Fokus auf Funktionen des damaligen Protokollstack für die Datenübermittlung hinsichtlich der Funktionalität und Ferhlerresistenz (gegenüber den damaligen Modemverbindungen) gelegt. Sicherheitsfunktionen wurden hierbei nicht, auch wegen der hohen Performanceanforderungen an die damalige Router-Hardware für Sicherheitschecks, hinzugefügt. Das rasante Wachstum, hauptsächlich durch webbasierte Anwendungen hervorgerufen, und die Kommerzialisierung des Internets brachten Veränderungen für das Internet mit sich. Neben den vielseitigen Möglichkeiten, die jetzt durch das Internet geboten wurden, stieg aber auch das Angriffspotential auf dieses globale Netzwerk. Auf der einen Seite waren es sicherlich gewinnbringende Informationen, die aus Firmennetzen entwendet werden konnten. Viel größer scheint jedoch der Kreis der Angreifer, die sich von ihrem Handeln Ansehen in der Community erhoffen, die Angriffspotential aus Firmenpolitiken verschiedener Unternehmen beziehen oder mit ihren Aktionen gegenüber politischen oder gesellschaftlichen Aktionen beziehungsweise Entscheidungen ihr Missgefallen ausdrücken wollten. Potential für Angreifer scheint sich also genug angehäuft zu haben, doch wie hat sich der Konflikt zwischen den Angreifern und den Sicherheitsleuten für die Netzwerke entwickelt? Einer der ersten Schritte in Richtung Sicherheit war die Installation von Firewalls 1 am Übergang zum internen Netzwerk. Es wurden einfache Paketfilter eingesetzt. Darauf aufbauend installierte man ganze Firewall-Systeme (mehrstufige Firewalls) und ging auch dazu über, Application-Layer- Firewalls 2 einzusetzen. Doch es wurden immer wieder Wege gefunden, die installierten Sicherheitsmechanismen zu umgehen. Man versuchte weiterhin mit Hilfe von Kryptographie die Kompromittierungsmöglichkeiten für Angreifer einzudämmen. Der Einsatz von Verschlüsselung behindert jedoch die Funktionsfähigkeiten von Firewalls, da diese den verschlüsselten Verkehr ebenso wenig wie der Angreifer erkennen können und somit kein maliziözer Verkehr identifiziert werden kann. Eine weitere Steigerung der Sicherheit in den Netzen wurde duch die Anwendung von Intrusion Detection Systemen erreicht. Angriffe auf sicherheitsrelevante Systeme oder auf Netze wurden zeitnah gemeldet und geeignete Reaktionen konnten eingeleitet werden. Intrusion Response Systeme, die die Funktionalität der IDSs um das Einleiten von Gegenmaßnahmen erweiterten, haben den Ansatz weiter verbessert. Aber auch mit diesen Systeme wurde keine vollständige Absicherung erreicht. Mit sogenannten Anti-IDS-Attacken konnten sie umgangen, beziehungsweise ausgeschaltet werden. 1 System zum Kontrollieren des Datenstroms am Übergang vom externen (Internet) zum internen Netz (Intranet) 2 Firewalls, die Verkehr für ein bestimmte Applikationsprotokolle untersuchen 9

10 Seite: 10 Einführung in Intrusion Detection und Intrusion Prevention Vor ca. zwei Jahren haben sich einige Entwickler und Sicherheitsexperten dem Problem angenommen und sind einem neuen Ansatz nachgegangen. Sie entwickelten Technologien und Software, um Angriffe nicht im nachhinein zu erkennen, sondern von vornherein zu unterbinden. Bevor Schaden angerichtet werden kann, wird das Paket oder die Aktion abgewährt und opitonal eine Benachrichtigung vorgenommen. Dieser Ansatz wird jetzt unter dem Namen Intrusion Prevention vermarktet. Mit ihm soll laut Aussagen der Hersteller der Durchbruch in Bezug auf die Netzwerk- und Systemsicherheit erreicht werden. Diese Diplomarbeit wird die Frage nach dem aussichtslosen Unterfangen mit der Absicherung von Netzen nicht beantworten können. Aber sie wird im Ergebnis aufzeigen, dass mit dem Einsatz von Intrusion Detection und Intrusion Preventon Systemen ein weiterer wichtiger Schritt zur Netzwerkund Systemsicherheit unternommen wurde. Für die Angreifer wird es wiederum schwieriger, eingesetzte Sicherheitsmechanismen im Netzwerk zu kompromittieren oder zu umgehen. Dies gilt gerade bei den Versuchen, Angriffe auf Netze oder Systeme zu realisiern, die mit Intrusion Prevention Funktionalitäten abgesichert sind. In diesem Kapitel wird auf die Grundlagen von Intrusion Detection und Intrusion Prevention eingegangen. Es werden die durch diese Systeme zu bewältigenden Aufgaben umrissen und verschiedene Erkennungstechnologien vorgestellt und bewertet. Auf die Architektur wird kurz anhand eines Überblicks über die Komponenten eines IDS eingegangen. Ein Einblick in die Integration derartiger Systeme in die Gesamtsicherheitsinfrastruktur wird aufzeigen, dass sich mit dem alleinigen Einsatz von IDS / IPS eine sichere Umgebung nicht realisieren lässt. Eine Kategorisierung von Intrusion Detection / Intrusion Prevention Systemen hinsichtlich ihres Einsatzes auf einem Host oder für ganze Netzsegmente wird mit Vorstellung jeweiliger Vertreter dieses Kapitel schließen. Aufgaben von Intrusion Detection / Intrusion Prevention Systemen Ein Intrusion Detection System (IDS) muss weit mehr Aufgaben erfüllen, als nur Fehlermeldungen auf dem Bildschirm des Benutzers anzuzeigen, wenn maliziöse Aktivitäten erkannt werden. Neben allgemeinen Anforderungen wie Benutzerfreundlichkeit, Übersichtlichkeit und Verfügbarkeit sind durch diese Systeme folgende funktionelle Aufgaben zu erfüllen: Protokollierung: Überwachung des Netzwerkes und Mitschreiben von wichtigen Informationen zur Angriffserkennung und zur Analyse von Angriffen Alarmierung: Melden von Incidents 3 Reporting: Erstellung unterschiedlicher Berichte zur Auswertung durch den SSO 4 Auditing: Verfolgung von Änderungen an den Konfigurationen Intrusion Response: Einleiten von Maßnahmen bei dem Eintreten eines Incidents, um weitere Schäden zu verhindern oder zu minimieren. Dazu gehören beispielsweise: Beenden von TCP-Sitzungen Sperren von Ports auf einer Firewall Sperren von Benutzeraccounts auf einem Host Sperren von Paketen einer speziellen IP-Adresse des Angreifers (Verändern/Setzen von ACLs 5 oder Filterregeln auf Borderroutern 6 oder Firewalls) 3 Einbrüche in Netzwerke oder Systeme 4 System Security Officer (Sicherheitsbeauftragter) 5 Access Control List - Berechtigung von Paketen für bestimmte Quell-/Zieladress- und Quell-/Zielportkombinationen auf Firewalls 6 Äußerster Router am Übergang zum internen Netzwerk FH Hannover - FB Informatik

11 Seite: 11 Forensische Analyse: Möglichkeiten zur Nachverfolgung bzw. Rekonstruktion der Aktionen eines Angriffs Minimierung von False Positives 7 : Fehlalarme müssen durch das IDS / IPS weitestgehend vermieden werden, da durch sie die Aufmerksamkeit für die realen Alarme negativ beeinträchtigt wird Vermeidung von False Negatives 8 : Jeder Angriff sollte vom System erkannt werden. Diese Anforderung kann von keinem System vollständig erfüllt werden, insbesondere stellen dabei Zero-Day-Attacks 9 bei signaturbasierten Systemen Probleme dar. Weiterhin müssen in den Systemen organisatorische Aspekte berücksichtigt werden. Folgende Anforderungen sind zum Beispiel wichtige Faktoren: Rollenkonzept: Verschiedene Benutzer und Gruppen müssen für unterschiedliche Aufgaben und Sichten auf das System definierbar sein. Zentrales Management: Die einzelnen Komponenten des Gesamtsystems sollten über eine zentrale Konsole konfigurierbar und managebar sein. Portabilität: Sensoren sollten für verschiedene Betriebssysteme zur Verfügung stehen. Im Backend-Bereich sollte eine Zusammenarbeit mit unterschiedlichen Datenbanksystemen und beispielsweise Vulnerablity 10 -Scannern möglich sein. Performance & Security: allgemeine Anforderungen an Sicherheit und Leistungsfähigkeit Hervorzuheben ist noch einmal der letzte Punkt aus der Aufgabenauflistung bezüglich der Sicherheit. Die Anforderungen an die Sicherheit, die an ein IDS oder IPS gestellt werden, sind weitaus höher als an gewöhnliche Anwendungssoftware. Da eine Kompromimittierung des Systems fatale Auswirkungen bezüglich der Kompromittierungsmöglichkeiten des Netzes oder Systems mit sich bringen würde, ist bei der Konzipierung und Implementierung derartiger Produkte immer die Sicherheit im Mittelpunkt zu halten. Dabei sind Aspekte wie die Absicherung der Kommunikation der Komponenten untereinander (Authorisierung und Verschlüsselung) als auch Fehleranfälligkeiten der Software auf Angriffe wie beispielsweise Buffer Overflows 11 zu betrachten. Bezüglich der Performance sollte man beachten, dass ein unzureichend performantes IDS beziehungsweise IPS False Negatives verursachen wird. Beispielsweise wird ein Netzwerksensor bei überhöhten Traffic Pakete droppen und somit können Angriffe unerkannt bleiben. An dieser Stelle soll dieser Überblick über Aufgaben genügen. Im Detail werden die Anforderungen an diese Systeme im Kapitel 3 definiert. Rechtfertigung von IDS / IPS Warum baut man Alarmanlagen in Gebäude ein, die doch am Eingang ein sicheres Schloss haben? Die gleiche Frage stellt sich zur Benutzung von Intrusion Detection / Intrusion Prevention Systemen (IPS). Ist man sich wirklich sicher, dass niemand in den gesicherten Bereich eindringen kann? Und selbst wenn das Eingangstor absolut sicher scheint, gibt es für Angreifer vielleicht alternative Möglichkeiten, in den gesicherten Bereich einzudringen (beispielsweise durch ein nicht gesichertes Fenster)? Das Eingangstor kann im übertragenen Sinn mit der Firewall 7 Fehlalarm: Eine Alarmierung findet statt, obwohl das System nicht angegriffen wurde 8 Angriffe, die vom System nicht erkannt werden, obwohl sie einen Angriff darstellen 9 Exploit zu einer Schwachstelle, der auf Grund seiner frühen Verfügbarkeit Syteme kompromittieren kann, da die angreifbaren Systeme noch nicht gepacht und die die Sicherheitssysteme noch nicht up to date sind. (beispielsweise noch keine Signaturen dafür entwickelt und eingespielt wurden) 10 Schwachstelle 11 Pufferüberlauf, bekanntester und am weitesten verbreiteter Angriff T-Systems GEI GmbH, Bonn

12 Seite: 12 Einführung in Intrusion Detection und Intrusion Prevention oder einer Kombination von Firewalls verglichen werden. Das geöffnete Fenster könnte sich in einer Modemverbindung eines Mitarbeiters wiederspiegeln. Hinzu kommen die Möglichkeiten bei IDS, Angriffe aus dem internen Netz zu überwachen, was mit der Benutzung von Firewalls unmöglich ist. All diese Argumente rechtfertigen den Einsatz von Intrusion Detection oder Intrusion Prevention Sytemen. Allerdings ist bei der Benutzung dieser Systeme der Aufwand mit dem Nutzen zu verrechnen. Intrusion Detection Systeme kosten entweder einen großen Arbeitsaufwand bei der Konfiguration von Open Source 12 Produkten oder finanziellen Aufwand bei der Benutzung von Angeboten kommerzieller Anbieter. Nicht jedes Gebäude, welches verschlossen wird, ist auch mit einer Alarmanlage versehen. Man sollte aufpassen, ein Intrusion Detection System nicht zum Selbstzweck zu installieren. Ebenso ist es wenig sinnvoll, Intrusion Detection oder Intrusion Prevention Aspekte in einem Netz zu verfolgen, welches noch nicht mittels Firewalls abgesichert ist. Ein IDS / IPS kann nicht einfach dazugekauft werden. Es muss sich in die organisatorischen Rahmenbedingungen und in die Sicherheitspolicy des Unternehmens einpassen. Man sollte die Anforderungen an die Sicherheit im internen Netz genau definieren und dann den Einsatz von Intrusion Detection Sytemen mit den zu erzielenden Ergebnissen durch andere Sicherheitsmechanismen gegeneinander aufwiegen. Eine gute Anleitung dazu ist durch die BSI-Studie Einführung von Intrusion Detection Systemen - Leitfaden für die Einführung der Firma ConSecure [Con02b] gegeben. 2.1 Erkennungstechnologien Das Kapitel Erkennungstechnologien bezieht sich hauptsächlich auf die Technologien im Intrusion Detection Umfeld. In verschiedenen Intrusion Prevention Systemen werden zwar auch Ansätze dieser Technologien wiedergefunden, oftmals wird aber ein propritärer Ansatz umgesetzt oder auch gar keine direkte Erkennung durchgeführt. Die Erkennung von Angriffen auf ein System oder Netzwerk kann auf verschiedene Art und Weise realisiert werden. Große Unterschiede gibt es bei den Methoden in Bezug auf die Frequenz des Auftretens von False Positives. Weiterhin müssen Unterscheidungen getroffen werden, ob dem System die Angriffe zuvor bekannt sein müssen, oder ob es Angriffe auf Grund von Unstimmigkeiten, i.e. Abweichungen vom normalen Verhalten, erkennen kann. Bei den Intrusion Detection Systemen wird meistens eine Kombination verschiedener Technologien eingesetzt. Laut dem Gigabit Intrusion Detection Systems - Group Test (Edition 1) [The02a, Seite 10-14] unterscheidet man die folgenden fünf Erkennungsmethoden: 1. Mustererkennung (Pattern Matching) 2. Statusbetonte Mustererkennung (Stateful Pattern Matching) 3. Protokollanalyse (Protocol Decoding) 4. Heuristische Analyse (Heuristic Analysis) 5. Anomalie-Erkennung (Anomaly Analysis) Folgend werden die verschiedenen Mechanismen mit ihren Eigenschaften, Vorteilen und Nachteilen beschrieben. 12 Produkte, die ungeldlich zur Benutzung und Weiterentwicklung zur Verfügung gestellt werden FH Hannover - FB Informatik

13 2.1 Erkennungstechnologien Seite: Mustererkennung (Pattern Matching) Die bekannteste und älteste Methode der Angriffserkennung ist die Mustererkennung. Dabei wird das Intrusion Detection System mit Signaturen ausgestattet 13 welche bestimmte Angriffssequenzen auf Grund von enthaltenen Zeichenketten wiedererkennen. Bei einem NIDS beispielsweise wird ein Paket als maliziös erkannt, wenn an einer Position im Netzdatenstrom der String I love you auftaucht und somit der I love you-wurm 14 erkannt wurde. Probleme bei dieser Methode entstehen durch die Unflexibilität der Signaturen. Mutiert der Wurm jetzt nur in ganz geringen Teilen, beispielsweise zu einem I LOVE YOU-Wurm 15, müsste an dieser Stelle eine weitere Signatur implementiert werden. Sicherlich kann in einigen Situationen die Signatur auch allgemeiner definiert werden. Dies könnte allerdings ein verhäuftes Auftreten von False Positives nach sich ziehen. Die Definition von Signaturen ist in Bezug auf ihre Granularität eine schwierige Angelegenheit. Ein weiterer Nachteil ergibt sich aus der Notwendigkeit der ständigen Signaturupdates. Sobald eine neue sicherheitsrelevante Schwachstelle erkannt wurde, muss von dem IDS-Anbieter eine Signatur entwickelt und an die Benutzer des Intrusion Detection Systems verteilt werden. Die Frequenz dieser Signaturupdates ist ein wichtiges Kriterium für die Qualität eines IDS-Anbieters. Trotz aller Bemühungen, den Zeitrahmen zwischen Erkennen einer Schwachstelle und Verteilung von Signaturen so gering wie möglich zu halten, wird er nie vollständig aus der Welt zu schaffen sein. Dies ist der Ansatzpunkt für sogenannte Zero-Day-Attacks. Nach Bekanntgabe einer Schwachstelle wird ein Exploit entwickelt und verbreitet bevor die Sicherheitssysteme mit den dazugehörigen Signaturen und die verwundbare Software mit den Patches 16 versorgt werden können. 17 Als vorteilhaft für die Mustererkennung erweisen sich die vielseitigen Erfahrungen, die bereits mit ihr gesammelt wurde. Für die bekannten Vulnerabilities sind auch Signaturen vorhanden. Außerdem wird von den meisten Anbietern auch die Möglichkeit der Definition eigener Signaturen oder zumindest die Anpassung vorhandener Signaturen bereitgestellt. Als Quasi-Standard hat sich dabei die Signaturbeschreibung von Snort 18 herauskristallisiert. Die meisten NIDS-Produkte sind in der Lage, diese Signaturen in ihrem System zu verarbeiten. Die Beispiel-Snort-Signatur in Abbildung 2.1 veranlasst eine Nachricht, sobald vom externen Netz auf einen der Webserver auf HTTP-Ports eine Anfrage mit dem Inhalt conf/httpd.conf gesendet wird. 19 Weitere Informationen zu Snort- Signaturen sind in der Snort Signature Database unter der URL zu finden. alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: WEB-ATTACKS conf/httpd.conf attempt ; flow:to_server,established; content: conf/httpd.conf ;nocase; classtype:web-application-activity; sid:1373; rev:5;) Abbildung 2.1: Snortsignatur für Angriff zum Auslesen der HTTP-Server-Konfiguration 13 Aktuelle IDSs enthalten je nach Granularität und Qualität einige Hundert bis mehrere Tausend Signaturen 14 Ein Wurm ist ein maliziözes Programm, welches sich unberechtigterweise über ein Netzwerk verbreitet. Im Gegensatz zu einem Virus benötigt es dafür kein Wirtsprogramm. 15 Beachte: Änderung liegt in der durchgängigen Großschreibung 16 Update für ein Softwareprodukt, welches eines oder mehrere Sicherheitslöch(er) schließen soll 17 Die Auswirkung von Schwachstellen hängt stark von der Idiologie des Angreifers ab. Gibt er den Herstellen erst die Möglichkeit, die Software zu patchen vor allgemeiner Bekanntgabe der Sicherheitslücke, oder versorgt er zeitgleich öffentlich zugängliche Stellen und die Softwarehersteller mit den Informationen, oder überlässt er die Softwarehersteller gar ihrem Schiksal, indem diese über die Schwachstelle gar nicht selbst in Kenntnis gesetzt werden. 18 Bekannteste Open Source Implementierung eines NIDS-Systems 19 Die Variablen für EXTERNEL-NET, HTTP-SERVERS, etc müssen selbst definiert werden. T-Systems GEI GmbH, Bonn

14 Seite: 14 Einführung in Intrusion Detection und Intrusion Prevention Statusbetonte Mustererkennung (Stateful Pattern Matching) Ein weiterer Nachteil bei der einfachen Mustererkennung ist die Nichterkennung von fragmentierten Angriffen. IP-Pakete können auf Grund einer zu geringen MTU 20 in mehrere Fragmente aufgeteilt und beim Empfänger anhand des Offsets wieder zusammengesetzt werden. Die MTU kann für verschiedene Netzsegmente variieren. Der Vorgang der Unterteilung wird als Fragmentierung bezeichnet. Der Vorgang der Fragmentierung und die daraus resultierenden Schwierigkeiten lassen sich folgendermaßen an dem I love you-wurm veranschaulichen. Der Datenstrom wird in mehrere IP-Fragmente unterteilt. Dabei wird so geschickt aufgefüllt, dass die Trennung genau in dem I love you-string vonstatten gehen wird. Das erste Fragment enthält dann Informationen wie other_content I lov und das zweite Fragment Informationen wie e you other_content. Am Zielsystem werden alle Fragmente wieder zusammengesetzt und der komplette String wird erkennbar, das Intrusion Detection System mit einfacher Mustererkennung sieht nur die einzelnen Fragmente und kann den kompletten String I love you nicht identifizieren. An dieser Stelle kommt die Funktionalität des Stateful Pattern Matching zum Einsatz: Auf dem Netzsensor des Intrusion Detection Systems werden ebenfalls die Fragmente in richtiger Reihenfolge wieder zusammengesetzt, um den Datenstrom nachzuverfolgen. Ähnliche Funktionalitäten werden auch auf dem TCP-Layer eingesetzt. Ein Feature namens TCP- Reassembling verfolgt vollständige TCP-Sitzungen indem die TCP-Segmente anhand der Sequenznummern wieder in der richtigen Reihenfolge zusammengesetzt und im Kontext analysiert werden. Diese Features bringen allerdings große Anforderungen an die Resourcen mit sich. Die gesamten Sitzungen müssen im Speicher vorgehalten werden. Pakete können in falscher Reihenfolge am System eintreffen und müssen deshalb sortiert werden, um sie wieder richtig zusammenzusetzen. Intrusion Detection Systeme mit Stateful Pattern Matching sind deshalb in Bezug auf DoS 21 -Attacken gefährdeter als solche mit einfacher Mustererkennung Protokollanalyse (Protocol Decoding) Ein völlig anderer Ansatz wird mit der Protokollanalyse verfolgt. Mit ihr werden die Protokolle auf allen Ebenen vollständig dekodiert und auf ihre Richtigkeit überprüft. Diese Systeme können applikationsspezifische Protokolle (DNS 22, SMTP 23, FTP 24, etc.) dekordieren und verstehen. Eine Dekodierung der Protokolle IP 25, ICMP 26, UDP 27 und TCP 28 ist von nahezu allen IDS-Produkten derzeit möglich. Die Anzahl der unterstützten Protokolle auf der Applikationsschicht sind ein wichtiges Merkmal für die Qualität des Intrusion Detection Systems. In erster Linie werden die Pakete mit den Vorgaben aus den RFCs 29 abgeglichen. In ihnen ist beispielsweise die Länge und die Wertemenge von den Header-Feldern definiert - bei einer Abweichung von diesen Werten ist ein Angriff, beispielsweise eine Buffer Overflow Attacke, wahrscheinlich. Eine weitere Abweichung wäre das Auffinden von Binärdaten in einem HTTP-Header. 20 Maximum Transmission Unit - maximale Größe für IP-Pakete in einem Netzsegment 21 Denial-of-Service - Ausschalten von Diensten 22 Domain Name Service - Namesauflösung auf IP-Adressen 23 Simple Mail Transfer Protocol - Protokoll zum Versenden von Mails im Internet 24 File Transfer Protocol - Protokoll zum Übertragen von Dateien im Internet 25 Internet Protocol - verbindungslosen Protokoll auf Layer 3 des TCP/IP-Stacks, stellt eindeutige Identifizierung aller Systeme im Internet sicher 26 Internet Control Message Protocol - Protokoll für Kontroll-Anfragen und -Meldungen im Internet, wie beispielsweise die Meldungen über einen adressierten, aber unerreichbaren Hosts 27 User Datagram Protocol - verbindungsloses Protokoll auf Layer 4 des IP-Stacks 28 Transmission Control Protocol - verbindungsorientiertes Protokoll auf Layer 4 des TCP/IP-Stack 29 Request for Comments - Standardisierungsgremium für das Internet - sämtliche Dienste und Protokolle werden durch sie definiert. Weitere Informationen sind unter der URL zu finden FH Hannover - FB Informatik

15 2.1 Erkennungstechnologien Seite: 15 Der große Vorteil gegenüber der Mustererkennung liegt in dem Verständnis für das Protokoll. Möchte man bei der Mustererkennung verschiedene Login-Kennungen bei Telnet-Sitzungen als Vorfall definieren, muss man für jede Kennung eine Regel definieren und für jede Regel muss dann der gesamte Telnet-Verkehr überwacht werden. Ein Protokollanalyse-System hingegen würde die Login- Kennung aus dem Telnet-Daten-Strom extrahieren und dann einen Vergleich mit vorgegebenen Kennungen durchführen. Dies könnte sehr performant beispielsweise mit Hilfe von binären Suchbäumen durchgeführt werden. Weiterhin führen kleinere Änderungen in einem Exploit zu einer Schwachstelle nicht zwansläufig zur Nichterkennung des Angriffs, da nicht auf feste Zeichenketten überprüft wird. Nachteile ergeben sich allein schon durch die teilweise ungenaue Definition der Protokolle durch die RFCs. In einigen RFCs sind Implementierungsspielräume, da zum Teil nicht definiert wird, wie mit bestimmten Paketen, Optionen oder Flags umzugehen ist. Dadurch können unterschiedliche Implementierungen zu unterschiedlichen Systemverhalten führen. Dies erschwert die Abgrenzung von korrekten zu inkorrekten Headerinformationen für ein Protokoll. Weiterhin werden diese Systeme Probleme mit der Erkennung von ganz neuartigen Exploits haben. Während an dieser Stelle signaturbasierende Systeme mit einer neuen Signatur gegen diesen Angriff gerüstet sind, muss für ein Prokollanalysesystem neuer Code entwickelt werden. Nicht zuletzt erfordert die vollständige Dekodierung verschiedenster Protokolle auf unterschiedlichen Ebenen des Protokollstacks eine Menge Rechenleistung Heuristische Analyse (Heuristic Analysis) Heuristik-basierende Signaturen benutzen eine Art algorithmischer Logik, worauf ihre Alarm-Entscheidungen basieren. Diese Algorithmen sind oft statistische Evaluationen des Traffic-Typs, welcher untersucht wird. Eine gutes Beispiel für Heuristische Analyse ist eine Signatur zur Erkennung von Port-Scans 30. Diese Signatur schaut nach dem Auftreten von Verbindungsaufbauten auf dem selben Port eines bestimmten Systems über einen Grenzwert hinaus. Die Signatur beschränkt sich dabei selbst auf Pakete mit gewissen Eigenschaften wie beispielsweise gesetzten TCP-Flags, die einen Verbindungsaufbau signalisieren. Zusätzlich könnte verlangt werden, dass alle Pakete von ein und der selben Quelladresse stammen müssen. Signaturen dieses Typs werden in verschiedenen Netzwerken unterschiedlich reagieren und sind oft Verursacher von False Positives, wenn sie nicht richtig eingestellt werden. Bevor sie im Produktivbetrieb eingesetzt werden, müssen die Grenzwerte an das zu überwachende Netzwerk angepasst werden. Dieser Typ von Signaturen kann gleichermaßen sehr komplexe Beziehungen, als auch einfache Probleme, wie im Beispiel aufgezeigt, überwachen Anomalie-Erkennung (Anomaly Analysis) Mit der Anomalie-Erkennung wird bei der Einbruchserkennung ein völlig anderer Ansatz verfolgt. Es geht nicht mehr darum, einen Einbruch genau zu erkennen, sondern ein normales Verhalten des Systems zu definieren. Alles was davon abweicht, wird als Einbruch oder zumindest als Unstimmigkeit gewertet. An dieser Methode lassen sich die ersten Ansätze von Intrusion Prevention erkennen. Der Unterschied liegt jedoch in der Reaktion - IDSs mit Anomalie-Erkennung werden einen Vorfall melden, ein Intrusion Prevtion System hätte ihn unterbunden. Der Vorteil dieser Methode liegt in der Erkennung von Angriffen, die dem System noch nicht bekannt sind. Das Intrusion Detection System muss keinerlei Informationen über einen konkreten Angriff besitzen (wie es bei der Protokollanalyse noch der Fall war). Es muss definiert werden, was als normales Verhalten gewertet werden soll. Dies kann auf zwei Arten erfolgen: 30 Systematisches Suchen nach offenen Ports auf einem System T-Systems GEI GmbH, Bonn

16 Seite: 16 Einführung in Intrusion Detection und Intrusion Prevention 1. Händische Einstellung der Parameter: Sämtliche Parameter müssen vom SSO per Hand eingestellt werden. Dies setzt voraus, dass dieser genaustens über das Systemverhalten Bescheid weiß und auch die Auswirkung auf die einzelnen Parameter erkennen kann. Dies ist sehr aufwendig und eine Nachjustierung erfolgt meistens während des Produktivbetriebs auf Grund von False Positives. 2. Einstellung der Parameter mit Hilfe einer Lernphase: Eine sehr gute Alternative stellt die Einstellung mit Hilfe einer Lernphase dar. Das Systemverhalten wird über einen definierten Zeitraum aufgezeichnet, bei dem alle benötigten Aktivitäten auch vom Anwender ausgeführt werden sollten. Allerdings ist hierbei genaustens darauf zu achten, dass die Lernphase selbst nicht durch einen Angreifer kompromittiert wird, und somit der Angriff später auch als normales Systemverhalten gewertet wird. Ferner treten einzelne Aufgaben bei den Endbenutzern nicht ständig auf und führen dann im Normalbetrieb zu False Positives. Auch hier muss eine Nachjustierung des Systems durchgeführt werden. Weiterhin ist anzumerken, dass die Änderung des Systems an sich auch eine Nachjustierung des Anomalie-Erkennungssysteme nach sich ziehen muss. Dies ist beispielsweise der Fall, wenn eine weitere Software-Komponente installiert wird. Probleme ergeben sich bei diesen Systemen bei der Spezifizierung und Nachverfolgung eines Einbruchs. Da der Angriff nicht selbst, sondern nur eine Abweichung vom normalen Verhalten registriert wird, ist es auch schwierig, den genauen Exploit zu bestimmen. Zusammenfassung - Erkennungstechnologien Aus der Ausführung lässt sich ablesen, dass keine der angewandten Methoden nur Vorteile mit sich bringt. Häufig werden bei den Vertretern der Intrusion Detection Systeme auch Mischungen der Methoden vorgefunden. Damit versucht man, die Vorteile der Techniken zu kombinieren und die Nachteile zu terminieren. Im Endeffekt ist auch nicht unbedingt die Analysemethode des IDS von Bedeutung, sondern das Ergebnis, welches nach Auswertung und Korrelation der Analysedaten durch das System präsentiert wird. 2.2 Komponenten Innerhalb von Intrusion Detection Systemen werden verschiedene abgrenzbare Aufgaben durchgeführt (Sammlung von Daten, Verarbeitung dieser Daten und Auswertung derselben inklusive Ergebnispräsentation). Diese Aufgaben finden gewöhnlich auch zeitversetzt statt. So wird das Sammeln von Daten hauptsächlich in Realtime durchgeführt. Die Auswertung der Ergebnisse (das Reporting) wird zu einem vom SSO vorgegebenen Zeitpunkt vorgenommen. Hinzu kommen die Unterschiede in den Lokalitäten der Aufgaben. Die Sammlung von Daten muss gewöhnlich an verschiedenen Stellen durchgeführt werden. Für die Verarbeitung und Auswertung bietet sich die Zentralisierung der Bearbeitung an. Diese Aufgabentrennung zieht folgende Abgrenzung von Komponenten der IDSs nach sich: Aufnahmekomponenten (Sensoren): Sammlung von Daten, Vorfilterung und Aufbereitung in ein für den Detektor verwendbares Format Verarbeitungskomponente (Detektor): Analyse und Korrelation der von den Sensoren erhaltenen Daten Auswertungskomponente (Reporter): Darstellung der Ergebnisse auf verschiedenste Art und Weise wie beispielsweise , SMS, Pager, Alertfenster, akustisches Signal,... FH Hannover - FB Informatik

17 2.3 Positionierung in die Sicherheitsinfrastruktur Seite: 17 Teilweise können mehrere Komponenten physikalisch auf einem System zusammengefasst sein. So bietet sich bei kleineren Systemen beispielsweise die Kombination von Verarbeitungs- und Auswertungskomponente an. Auch wird oft der Detektor mit einem Sensor versehen, um ihn selbst vor Angriffen zu schützen. Wie an der Tabelle 2.1 veranschaulicht wird, stehen die Komponenten in unterschiedlichen Verhältnissen zueinander. Sie ist zeilenweise zu lesen. Sensoren Detektoren Reporter Sensoren N.A. m m Detektoren n N.A. n Reporter 1 1 N.A. Tabelle 2.1: Verhältnis zwischen den Komponenten von Intrusion Detection Systemen Man kann erkennen, dass es durchaus möglich ist, Sensoren an mehrere Detektoren berichten zu lassen. Dies ist einerseits aus Performance-Gründen an den Detektoren sinnvoll, andererseits ist eine Redundanz in Bezug auf Ausfallsicherheit bei diesen Systemen von großer Bedeutung. Der Einsatz mehrerer Reporting-Stationen ist meistens nur in komplexen Umgebungen sinnvoll. Im Backend- Bereich ist das IDS an mehrere Systeme angeschlossen, die eine Benachrichtigung über verschiedene Kommunikationskanäle wie beispielsweise Mail, SMS oder Pager ermöglichen. 2.3 Positionierung in die Sicherheitsinfrastruktur Wie bereits erwähnt, kann ein Intrusion Detection oder Intrusion Prevention System allein keine Sicherheit im Netz gewährleisten. Die Zusammenarbeit mit anderen Komponenten und die Integration in die Sicherheitspolicy lassen ein IDS / IPS auch den gewünschten Effekt der erhöhten Absicherung erzielen. Das Aufstellen der einzelnen Sensoren hängt von den Einsatzszenarien des Systems ab. Laut der BSI-Studie der Firma ConSecure Einführung von Intrusion Detection Systemen - Grundlagen [Con02a, Seite 38-40] werden folgende drei Szenarien unterschieden: Ergänzende Absicherung von Netzübergängen: Ein Netzwerk, welches an seinen Netzübergängen bereits durch Firewalls und Application-Gateways 31 gesichert ist, wird zusätzlich mit Hilfe von Intrusion Detection Mechanismen abgesichert. Dabei kommen mehrere Netzsensoren in der DMZ 32 und in der Nähe der Paketfilter 33 zum Einsatz. Überwachung spezifischer Systeme und/oder Anwendungen: Ein Netzwerk mit dem gleichen Aufbau wie aus Punkt eins soll für bestimmte Systeme wie beispielsweise dem Webserver abgesichert werden. Dabei kommen ausschließlich Hostsensoren auf den abzusichernden Komponenten zum Einsatz. Überwachung interner Netze: Ein Netzwerk mit einer aus den ersten beiden Punkten bekannten Topologie soll hinsichtlich des internen Netz abgesichert werden. Dabei kommen sowohl Netzsensoren zur Absicherung verschiedener Netzsegmente, als auch Hostsensoren zur Absicherung von Servern oder Clients mit besonderem Schutzbedarf zum Einsatz. 31 Server, der Pakete eines bestimmten Applikationsprotokolls zwischenspeichert (e.g. HTTP-Proxy) 32 Demilitarisierte Zone: Dediziertes Netzwerk, welches nach allen Seiten abgesichert ist 33 Einfache Form einer Firewall, welche auf Grund von IP-Quell- und Zieladressen, sowie dazugehörige UDP/TCP-Ports Entscheidungen über Gültigkeit eines Paketes trifft T-Systems GEI GmbH, Bonn

18 Seite: 18 Einführung in Intrusion Detection und Intrusion Prevention Dem letzten Punkt Überwachung interner Netze soll noch einmal gesondert Aufmerksamkeit gespendet werden. Abbildung 2.2 zeigt eine Netzwerkarchitektur mit einer möglichen Verteilung von Sensoren auf. Abbildung 2.2: Einsatz eines IDS zur Überwachung eines internen Netzes (Quelle [Con02a, Seite 39]) Erkennbar ist die Benutzung von sowohl Host- als auch Netzsensoren. Netzsensoren müssen für eine vollständige Absicherung in jedem Netzsegment vorhanden sein. Hostsensoren werden auf Servern installiert, um sie zusätzlich gegen Angriffe zu sichern. Weiterhin ist ein Client-System mit einem Host-Sensor ausgestattet worden. Der Grund dafür liegt in dem angeschlossenen Modem, welches eine genaue Überwachung des Hosts rechtfertigt. Auch die Managementstation ist in der Abbildung erkennbar. In ihr werden alle in den Sensoren gesammelten und vorverarbeiteten Informationen zusammengetragen und korreliert, um eine zentrale Ansicht auf Ereignisse zu gewährleisten und verteilte Angriffe zu erkennen. Ein weiterer wichtiger Aspekt bei der Positionierung von Sensoren ist die Kommunikation der Sensoren mit der Managementstation. In der Abbildung sind die Probleme noch nicht unbedingt erkennbar, aber bereits bei Einsatz eines Sensors in der DMZ werden Probleme bezüglich der Absicherung der Kommuniation auftreten. Grundsätzlich gibt es zwei Möglichkeiten für die Kommunikation zwischen den IDS-Komponenten: 1. Benutzung vorhandener Kommunikationskanäle 2. Aufbau eines dedizierten Netzwerkes für die Kommunikation der Intrusion Detection / Intrusion Prevention Komponenten Beide Ansätze bringen wiederum Probleme mit sich. Bei der Benutzung vorhandener Kommunikationskanäle muss einerseits der interne Paketfilter so weit geöffnet werden, dass die Kommunikation zwischen Sensor und Managementstation möglich wird. Andererseits wirkt sich eine DoS-Attacke auf das Netzwerk dann auch direkt auf das IDS / IPS aus. Meldungen können nicht mehr vom Sensor zur Managementstation gelangen. Bei dem Aufbau eines dedizierten Netzwerkes muss man darauf achten, dass dem Angreifer das neue Netzwerk völlig verborgen bleibt. Der Übergang von der DMZ in das interne Netzwerk mit dem dedizierten Netzwerk muss genauso abgesichert werden, wie es bei dem eigentlichen Netz der Fall ist. Jeder Sensor benötigt jetzt ein weiteres Netzwerkinterface, sodass er mit einem Arm im eigentlichen FH Hannover - FB Informatik

19 2.4 Kategorisierung Seite: 19 Datennetz und mit einem weiteren in dem IDS/IPS-Netz hängt. Das Interface, welches im eigentlich Datennetz hängt, sollte in diesem Fall im Stealth-Mode 34 arbeiten. Gleichzeitig muss es natürlich wie jeder Netzsensor im Promiscious-Mode 35 betrieben werden. Weiterführende Informationen zu dem Thema sind in der BSI-Studie Einführung von Intrusion Detection Systemen - Grundlagen [Con02a, Seite 40-42] zu finden. 2.4 Kategorisierung Im Laufe dieses Kapitels sind schon mehrfach Begriffe wie Managementstation, Hostsensor, Netzwerk Intrusion Detection System etc. gefallen. In diese Sammlung von Fremdwörtern wird mit einer Kategorisierung von Intrusion Detection beziehungsweise Intrusion Prevetion Systemen bezüglich ihres Einsatzgebietes Verständnis gebracht. Wie bereits erwähnt, existiert ein IDS / IPS nicht als Gesamtsystem, sondern wird in Komponenten unterteilt. Es werden Sensoren, Detektoren und Kompontenten für die Ergebnispräsentation abgegrenzt. Sensoren werden entweder für einzelne Hosts oder für ganze Netzsegmente zur Verfügung gestellt: Netzsensoren: Netzsensoren werden gewöhnlich auf einer dedizierten Maschine installiert. Sie sind für die Überwachung eines gesamten Netzsegmentes verantwortlich. Ihr Netzwerkinterface arbeitet dabei im Promicious-Mode. Probleme ergeben sich für diese Konstellationen in geswitchten Netzwerken, weil der Switch Verkehr nur noch an den Zielhost weiterleitet. Abhilfe muss auf dem Switch selbst geschaffen werden. Der gesamte Netzverkehr muss auf einen sogenannten Mirror-Port gespiegelt werden, an dem der Netzsensor angeschlossen ist. Hostsensoren: Hostsensoren werden auf den zu überwachenden Systemen selbst installiert. Sie sind nur für die Kontrolle dieser einen Maschine zuständig. Hostsensoren dürfen nur einen geringen Anteil an Systemresourcen verbrauchen, da das System in seiner eigentlichen Funktion nicht beeinträchtigt werden sollte. In heutigen Systemen wird teilweise Funktionalität von den Sensoren vermischt. So findet sich in den meisten Hostsensoren auch schon Funktionalität von Netzwerksensoren wieder. Eigentlich werden diese Technologien dann als Hybride Intrusion Detection bezeichnet, oft wird aber weiterhin der Begriff Hostsensor verwendet. Eine genaue Abgrenzung zwischen den beiden Systemen (Hostsensor und Hybride Sensoren) ist auch nicht immer möglich - in den folgenden Abschnitten werden die Unterschiede spezifiziert, im Laufe der Arbeit jedoch lediglich die Begriffe Netzwerksensor und Hostsensor benutzt. Netzwerksensoren sind dabei Systeme zur Überwachung von Netzsegementen, Hostsensoren hingegen Systeme zur Überwachung eines Hosts (also gleichermaßen Hostsensoren und Hybride Sensoren im eigentlichen Sinn). Laut dem Gigabit Intrusion Detection Systems - Group Test (Edition 1) [The02a] werden folgende fünf Kategorien von Intrusion Detection Systemen unterschieden: Host Intrusion Detection (HIDS) Network Intrusion Detection (NIDS) Network Node Intrusion Detection / Hybrid Intrusion Detection(NNIDS) 34 Das Interface hat keine eigene IP-Adresse und kann somit nicht direkt adressiert werden. 35 Ethernet-Netzwerke sind Broadcast-Netzwerke, i.e. Pakete innerhalb eines Netzsegmentes erreichen alle Netzwerkinterfaces. Das Netzwerkinterface entscheidet anhand der MAC-Adresse, ob das Paket für sich bestimmt ist - im Promicious empfängt es alle Pakete, egal ob an ihn adressiert oder nicht. T-Systems GEI GmbH, Bonn

20 Seite: 20 Einführung in Intrusion Detection und Intrusion Prevention Host Intrusion Prevention (HIPS) Network Intrusion Prevention (NIPS) Diese Kategoriesierung ist allerdings keinesfalls fest definiert. Einteilungen aus anderen Literaturquellen ergeben ein anderes Bild, in dem beispielsweise Network Node Intrusion Detection und Hybrid Intrusion Detection als unterschiedliche Systeme definiert werden [Soc02]. Weiterhin wird oftmals die Network Node Intrusion Intrusion nur als Unterkategorie der Network Intrusion Detection angesehen. Dies geht aus der ursprünglichen Definition hervor, bei der NNIDS-Sensoren lediglich reduzierte NIDS-Sensoren darstellten, die nur für einen Host verantwortlich waren. Einige der Vor- und Nachteile werden sich für die Intrusion Detection und Intrusion Prevention Systeme wiederholen, weil sich diese eben aus der Definition als Host- oder Netzsensor ergeben und nicht auf die Fähigkeiten in Bezug auf Intrusion Detection oder Intrusion Prevention zurückzuführen sind. Diese harte Trennung zwischen den Sytemen wird an dieser Stelle jedoch trotzdem durchgeführt, um den Unterschied zwischen den beiden Ansätzen deutlich zu machen. Neben einer Einführung in die Technologie und dem Aufzeigen von Vor- und Nachteilen werden zu jedem der Technologien einige Produkte als Vertreter mit einem kurzen Unternehmensprofil vorgestellt Host Intrusion Detection System (HIDS) Host Intrusion Detection wird zur Absicherung von einzelnen sicherheitsrelevanten Systemen wie beispielsweise zentralen Servern, Application-Gateways oder Arbeitsplatzrechnern mit eigener Internetanbindung (Modem) angewendet. Der Hostsensor wird auf dem System installiert und dient ausschließlich der Überwachung dieses Systems. Daten aus folgenden Quellen werden dabei von dem Sensor gesammelt: Event-, System- und Kernel-Logdateien Integrität wichtiger (System-)Daten beziehungsweise Dateien (Verzeichnisse) Aktivitäten an Registrierungsschlüsseln wichtige Systemparameter (e.g. CPU 36 -Auslastung, Speicherplatz im RAM 37 und auf Festplatten) Die Hauptanalysemethoden bei HID sind Anomalieerkennung und Mustererkennung (vgl. Kapitel 2.1, Seite 12). Host Intrusion Detection in der reinen Form findet in heutigen Intrusion Detection Systemen kaum noch Verwendung, da die Entwicklung eine Integration von NID-Features in Hostsysteme mit sich brachte und die Hybriden Systeme daraus hervorgegangen sind. Vorteile Erkennung von verschlüsselten Angriffen - da die Daten auf dem Zielsystem zur Benutzung wieder entschlüsselt werden müssen, ist ein HIDS in der Lage, diese Daten dann auch auszuwerten Arbeit im BatchModus 38 sind teilweise möglich - dadurch entfallen Beeinträchtigungen der Leistungsfähigkeit des Systems durch das IDS (beispielsweise möglich bei Auswertung von Logging-Dateien) 36 Central Processing Unit - Zentrale Recheneinheit von PCs 37 Random Access Memory - Arbeitsspeicher 38 Überprüfungen werden nicht in Echtzeit, sondern zu vorgebenen Zeitpunkten oder in Zeitintervallen durchgeführt FH Hannover - FB Informatik

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

IDS/IPS Intrusion Detection System/Intrusion Prevention System

IDS/IPS Intrusion Detection System/Intrusion Prevention System IDS/IPS Intrusion Detection System/Intrusion Prevention System Benjamin Lietzau & Philipp Meyer Sommersemester 2012 Seminar im Modul: Kommunikationstechnik/Netzwerke Dozent: Prof. Dr. Stefan Wolf 1 Themenüberblick

Mehr

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Klaus J. Müller, Senior IT Architekt 7. Tag der IT-Sicherheit, 19. Mai 2015, Karlsruhe Inhalt Über Ziele Stolperfallen

Mehr

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006 Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit

Mehr

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS)

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS) Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Prof. Dr. Dietrich Reschke Klassifikation und Einsatzmöglichkeiten

Mehr

Intrusion Detection Systems

Intrusion Detection Systems Paolo Di Stolfo, Stefan Hasenauer, Raffael Lorup 23.05.2011 Definition von IDS Arten von Attacken Angriffserkennung Basisarchitekturen Management von Alarmen und Korrelation Intrusion Response Beispiel

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

AnyVizor. IT Service Management.

AnyVizor. IT Service Management. AnyVizor. IT Service Management. IT Service Management. AnyVizor ist eine auf Open Source Software basierende Lösung für IT Management Aufgaben. AnyVizor wurde von AnyWeb speziell für kleinere Systemumgebungen,

Mehr

Network Intrusion Detection

Network Intrusion Detection System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von

Mehr

4.3 Einbruchsentdeckung Intrusion Detection

4.3 Einbruchsentdeckung Intrusion Detection 4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Intrusion-Detection für Automatisierungstechnik

Intrusion-Detection für Automatisierungstechnik Intrusion-Detection für Automatisierungstechnik Franka Schuster Lehrstuhl Rechnernetze und Kommunikationssysteme Brandenburgische Technische Universität, Cottbus SPRING 7 GI SIDAR Graduierten-Workshop

Mehr

Scientia est potentia. Intrusion Detection (und Response) am Beispiel Snort

Scientia est potentia. Intrusion Detection (und Response) am Beispiel Snort Scientia est potentia Intrusion Detection (und Response) am Beispiel Snort Was ist IDS Software oder Gerät, das im Idealfall Angriffe oder Eindringen in ein Netzwerk oder einen Host erkennt, das Anomalien

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Internet & Sicherheit

Internet & Sicherheit Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

safe Global Security for iseries

safe Global Security for iseries safe Global Security for iseries Komplette Security Suite für Ihre iseries (AS/400) TCP/IP und SNA Verbindungen Jemand versucht in Ihr System einzubrechen Ist es gesichert? Immer wenn Ihre iseries (AS/400)

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17 Inhaltsverzeichnis Vorwort 15 Einleitung 17 Teil I Einführung in die Intrusion Detection 21 Kapitel 1 Was ist eine Intrusion, was ist Intrusion Detection? 23 1.1 Was ist eine Intrusion? 24 1.2 Was macht

Mehr

1. Warum sind die PacketAlarm IDS & IPS Produkte so wichtig!

1. Warum sind die PacketAlarm IDS & IPS Produkte so wichtig! Die PacketAlarm IDS & IPS Systeme Sieben Gründe für ihren Einsatz 1. Warum sind die PacketAlarm IDS & IPS Produkte so wichtig! Vernetzung und globale Kommunikation sind heute Unternehmensstandards, die

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

zur Erkennung von Sicherheitsvorfällen

zur Erkennung von Sicherheitsvorfällen Zentrum für Informationsdienste und Hochleistungsrechnen Network Behavior Analysis zur Erkennung von Sicherheitsvorfällen 52. DFN-Betriebstagung Jens Syckor (jens.syckor@tu-dresden.de) Wolfgang Wünsch

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Integriertes Management von Sicherheitsvorfällen

Integriertes Management von Sicherheitsvorfällen Integriertes Management von Sicherheitsvorfällen Stefan Metzger, Dr. Wolfgang Hommel, Dr. Helmut Reiser 18. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 15./16. Februar 2011 Leibniz-Rechenzentrum

Mehr

Daniel Schieber Technical Consultant

Daniel Schieber Technical Consultant Aktueller Status Unternehmensprofil Daniel Schieber Technical Consultant COMCO Fakten: Gründung 1998 als Systemhaus Firmensitz in Dortmund, NRW 42 Mitarbeiter Umsatzerwartung 10 Mio. in 2006 Entwicklung

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr.

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr. Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007 Thema: Intrusion Detection Von Mathias Bernhard Mat. Nr.: 0627917 Datum: 25. Mai 2007 Inhaltsverzeichnis 1. Kurzfassung... 3

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Netzwerk Intrusion Detection mit Snort in schnellen Netzen

Netzwerk Intrusion Detection mit Snort in schnellen Netzen Netzwerk Intrusion Detection mit Snort in schnellen Netzen Ein Überblick über Konzepte, Komponenten und Anwendungen des Intrusion Detection Systems (IDS) Snort Edin Dizdarevic, System Developer, Internet

Mehr

www.uni-math.gwdg.de/linuxuebung

www.uni-math.gwdg.de/linuxuebung 14 Netzwerküberwachung und -steuerung Überblick SNMP Simple Network Management Protocol Datendefinitionen SNMP Implementierungen unter Linux Kommandos zur Datenbeschaffung Konfiguration des Net-SNMP Agenten

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 3. September 2003 Arbeitspapier zu Intrusion Detection Systemen (IDS) 1 angenommen auf der 34. Sitzung der Arbeitsgruppe, 2.-3. September

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser Intrusion Detection in Wireless and Ad-hoc Networks Raphaela Estermann Richard Meuris Philippe Hochstrasser Inhalt 1. Einführung in Wireless und Ad-hoc Netzwerke 2. Problematik in Wireless und Ad-hoc Netzwerken

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Was ist System-Monitoring? Nagios Logfile-Monitoring. System Monitoring. RBG-Seminar 2005/06. Holger Kälberer 20.12.2005

Was ist System-Monitoring? Nagios Logfile-Monitoring. System Monitoring. RBG-Seminar 2005/06. Holger Kälberer 20.12.2005 RBG-Seminar 2005/06 20.12.2005 Was ist System-Monitoring? Überblick Was ist System-Monitoring? Zentralisiertes Logging Zeitnahe Auswertung Regelmässige Auswertung Was überwachen? Was ist System-Monitoring?

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen 11.04.2014. Johannes Mäulen OSSEC 1 / 21

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen 11.04.2014. Johannes Mäulen OSSEC 1 / 21 OSSEC Open Source Host Based IDS Johannes Mäulen 11.04.2014 Johannes Mäulen OSSEC 1 / 21 Was ist OSSEC? Was ist IDS? Wozu brauch ich dass? OSSEC ist ein Open Source Host-based Intrusion Detection System.

Mehr