Cisco Security Agent. Memmingen, xx.xx.2005

Transkript

1 Cisco Security Agent Ich erkläre hiermit an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne unzulässige fremde Hilfe angefertigt habe. Die verwendeten Quellen und Hilfsmittel sind vollständig zitiert. Memmingen, xx.xx.2005 i

2 ii Diplomarbeit

3 Cisco Security Agent Zusammenfassung Der Cisco Security Agent ist ein hostbasiertes Intrusion Prevention System. Im Gegensatz zu vielen klassischen Systemen werden Angriffe nicht mit Hilfe von Signaturen ausgewertet, sondern anhand von Verhaltensmustern. Diese Diplomarbeit stellt die Architektur und Funktionsweise des CSAs dar und untersucht die Integrierbarkeit in das Unternehmensnetzwerk der Firma GROB. Eine praktische Umsetzung wird im Rahmen einer Pilotintegration gezeigt. iii

4 iv Diplomarbeit

5 Cisco Security Agent Inhaltsverzeichnis 1 Einleitung Darstellung des Themas/Motivation Ziel der Diplomarbeit Aufbau der Diplomarbeit Ergebnisse der Diplomarbeit I Theorie 3 2 Grundlagen Grundwerte der IT Sicherheit Bedrohungen Malware Buffer-Overflows Hacker-Angriffe Verbreitungsgeschwindigkeiten Benötigtes Wissen Abwehr von Bedrohungen Techniken zur Bedrohungsabwehr Probleme bei der Bedrohungsabwehr Drei Ebenen der HIPS Cisco Self Defending Networks Cisco Security Agent Komponenten der Cisco Security Agent Architektur CSA Management Center Agents SQL Datenbank Webbrowser INCORE Policies und Rules Prioritäten und Aktionen von Regeln Typen von Regeln Global Event Correlation State Sets Testmode Applikations-Klassen Syntax / Variablen Syntax Variablen v

6 Diplomarbeit 3.5 Events, Alerts und Reports Events Alerts Reports Cisco Security Agent Analysis Application Deployment Investigation/Reports Application Behaviour Investigation Integration des CSA in die IT-Infrastuktur der Fa. GROB Ist-Zustand des IT-Sicherheitskonzeptes der Fa. GROB CSA Integrations-Konzept bei der Firma GROB Technische Voraussetzungen Unterstützte Systeme bei der Firma GROB Deployment Konzepte Roll-Out Konzept Policy/Regel Erstellung Agent Installation CSA MC Integration CSA GROB USA & Brasilien CSA und andere Sicherheitssysteme Betrieb des CSA Ausfall des CSA MC CSA und IP-Telephonie Cisco Network Admisson Control Architektur Cisco Trust Agent Funktionsweise Microsoft NAP vs. Cisco NAC NAC und Address Spoofing NAC bei der Firma GROB II Einsatz der Cisco Security Agents in der Praxis 64 6 Installation der CSAs Installation des CSA-Management Centers Installation der Security Agents Test auf verschiedene Angriffsszenarien Nmap & Nessus Windump/TCPdump LAND-Angriff vi

7 Cisco Security Agent 7.4 Windows 2000 EMF DOS Vulnerability Microsoft Windows Image Rendering Memory Limit DoS Windows Explorer Code Injection Metasploit Framework Best Free Keylogger Schutz vor Deaktivierung Vergleich mit VirusScan 8.0i Zusammenfassung Performanceauswirkungen 72 9 Übernahme des Systems in das Produktivnetzwerk Gruppen, Policies und Regelmodule Gruppen Policies Regelmodule Produktivsetzung Probleme bei der Regelwerkerstellung Aufgetretene Fehler Auffälliges III Fazit & Ausblick Fazit Cisco Security Agent Roadmap Alternativen zum CSA McAfee Entercept Sana Security Primary Response Platform Logic Appfire - Symantec Einordnung der Alternativen Zusammenfassung Hinweis auf die verwendete Literatur 99 Literatur 104 Abkürzungs- und Symbolverzeichnis 105 vii

8 Diplomarbeit Abbildungsverzeichnis 108 Tabellenverzeichnis 109 Anhang 110 A Pilotsysteme 110 A.1 Server System A.2 Desktop Systeme B Systemvoraussetzungen 116 B.1 Cisco Security Agents B.2 Cisco Security Agent Management Console C Cisco NAC 119 D Cisco Support 120 viii

9 Cisco Security Agent 1 Einleitung 1.1 Darstellung des Themas/Motivation Im Rahmen der Diplomarbeit wird die CSA Architektur vorgestellt, der Ist-Zustand des IT-Security Konzeptes der Firma GROB kurz dargestellt und ein Lösungsansatz für die Integration der Cisco Security Agents entwickelt. Die Motivation dieser Arbeit ist die ständige Weiterentwicklung aktueller Bedrohungen, denen IT-Systeme heutzutage ausgesetzt sind. Trends zeigen, dass die klassischen Systeme wie Firewalls und Virenscanner bei der stetig wachsenden Anzahl von Bedrohungen oft nicht mehr ausreichend sind und es einer neuen Form von Sicherheitssoftware bedarf. 1.2 Ziel der Diplomarbeit Das Ziel der Diplomarbeit ist es, die Funktionsweise und die Architektur des Cisco Security Agent aufzuzeigen. Das Sicherheitskonzept der Firma GROB soll kurz dargestellt und darauf aufbauend, ein Konzept zur Integration der CSA erarbeitet werden. In einem praktischen Versuch soll die CSA Architektur aufgebaut und getestet werden und eine mögliche Umsetzung in das Produktivnetzwerk der Firma GROB gezeigt werden. 1.3 Aufbau der Diplomarbeit Der Aufbau dieser Arbeit gliedert sich in drei Teile. Im theoretischen Teil wird zunächst allgemein auf verschiedene Bedrohungen und auf grundsätzliche Probleme bei deren Abwehr eingegangen. Im Anschluss daran wird die CSA Architektur vorgestellt. Schließlich wird das momentane Sicherheitskonzept der Firma GROB kurz dargestellt und ein Integrationsansatz des CSA gezeigt. Im zweiten Teil wird der Cisco Security Agent in der Praxis getestet. Die Durchführung mehrerer Angriffsszenarien wird dargestellt. Schließlich wird die praktische Umsetzung des CSAs anhand einer Pilotintegration gezeigt. Der dritte und letzte Teil fasst die Ergebnisse noch einmal kurz zusammen und gibt einen Ausblick auf die weitere mögliche Entwicklung des CSAs. 1.4 Ergebnisse der Diplomarbeit Der CSA ist ein beeindruckendes Mittel zu Bedrohungsabwehr, der in einer Testumgebung sehr gut funktioniert. Es zeigte sich aber bei der Umsetzung für die Firma GROB, dass der CSA noch nicht zuverlässig in einer produktiven Umgebung eingesetzt werden kann. Während der Umsetzung zeigten sich zu viele Fehler. Des Weiteren lässt sich nur sehr schwer ein Verhältnis zwischen einem Sicherheitsnutzen des CSA und Benutzerfreundlichkeit finden. Das eingesetzte Regelwerk lässt sich nicht vernünftig an eine reale Umgebung anpassen. Insgesamt ergab die Arbeit, dass der Einsatz des CSA für die Firma GROB nur bedingt zu empfehlen ist. 1

10 2 Diplomarbeit

11 Cisco Security Agent Teil I Theorie 2 Grundlagen Die folgende Einführung soll aufzeigen, welche grundsätzlichen Gefahren und Bedrohungen für heutige IT Umgebungen existieren und welche Entwicklungen und Tendenzen festzustellen sind. Im zweiten Teil werden Möglichkeiten und Probleme bei der Abwehr dieser Gefahren aufgezeigt. Schließlich wird die Self Defending Network Strategie von Cisco als möglicher Lösungsvorschlag kurz vorgestellt. Ein Teil dieser Strategie ist der Cisco Security Agent. 2.1 Grundwerte der IT Sicherheit Grundsätzlich kann man nach [BSI04] von drei Grundwerten ausgehen, die man vor Bedrohungen schützen muss: Vertraulichkeit Von Vertraulichkeit spricht man, wenn es keinem unberechtigten Benutzer oder Angreifer möglich ist, an Daten oder Informationen durch Abhören des Netzverkehrs zu gelangen. Integrität Die Integrität eines Datenobjektes ist gewährleistet, wenn keine unautorisierten oder unbemerkten Manipulationen von Informationen stattfinden können. Verfügbarkeit Die Verfügbarkeit garantiert, dass der Zugriff auf Informationen oder andere Ressourcen nur berechtigten Benutzern möglich ist und nicht durch andere unautorisiert beeinträchtigt werden kann. Daneben werden häufig noch weitere Begriffe rund um die IT-Sicherheit genannt. Authentisierung, Autorisierung, Datenschutz und Datensicherheit sind nur einige Beispiele. [BSI04, S.8] 2.2 Bedrohungen Malware Malware kommt aus dem Englischen und ist eine Zusammensetzung der Wörter malicious und software. Es bezeichnet somit wörtlich übersetzt bösartige Software [ES03]. Folgender Abschnitt soll einen kurzen Überblick über die Vielzahl verschiedener Typen von Malware geben, von denen heutige Computersysteme bedroht werden. 3

12 Diplomarbeit Computerviren Ein Computervirus ist die wohl bekannteste und älteste Art von Malware. Ein Virus wird als ein nicht selbständiges Programmfragment definiert, das sich selbst reproduziert und an andere Dateien anhängt. Dazu ist in der Regel eine Benutzerinteraktion notwendig. D.h. ein Benutzer muss in der Regel eine infizierte Datei öffnen. Obwohl sie schon relativ alt sind, werden sie immer noch häufig in Kombination mit anderer Malware verwendet. Die Schäden, die Viren anrichten, können stark variieren. Manche Viren löschen oder verändern Dateien, andere installieren weitere Malware wie Backdoors oder verschicken Daten via Mail. Wiederum andere haben keine Schadensroutinen und spielen z.b. nur Musik ab. Computerwürmer Ein Wurm ist, ähnlich einem Virus, ein selbst replizierendes Programm. Im Gegensatz zu Viren benötigen Würmer aber in der Regel keine Benutzerinteraktion um sich zu vermehren. Die Verbreitung erfolgt nicht nur über Dateien. Vielmehr nutzen Würmer Netzverbindungen und verbreiten sich beispielsweise über Dateifreigaben, durch Ausnutzung von Exploits, falsch administrierte -Server oder einfach nur durch Raten von zu schwachen Passwörtern. Die Auswahl des nächsten Opfers kann unter anderem durch lokale -Adressbücher, durch zufällige Generierung von IP-Adressen oder durch Auswahl von Clients im selben LAN erfolgen. Neben dem, dass sie die gleichen Schadensroutinen wie Viren aufweisen, eignen sich Würmer, insbesondere durch ihre schnelle Verbreitung und dadurch große Zahl an Opfern, für Distributed Denial of Service (DoS) -Angriffen oder anderen Brute-Force-Methoden wie z.b. Password Cracking. Malicious Mobile Code Die Idee hinter mobilen Code ist, dass ein, im Vergleich zu anderen Applikationen leichtgewichtiges Programm, von einem Server geladen wird und auf dem Client ausgeführt wird. In der Regel wird es z.b. zur Generierung von dynamischen Inhalten einer Webseite benutzt. Leider ist es auch möglich, dieses Konzept für ungewünschte Zwecke zu missbrauchen. Typische Mobile Code Scripts sind z.b. Browser Skripts, VB Skripts, Microsofts ActiveX Controls, Java Applets, etc. Eine in diesem Zusammenhang typische Bedrohung ist das sogenannte Cross Site Scripting. Backdoors Backdoors sind Programme, die es einem Angreifer erlauben, die normalen Sicherheitsrichtlinien eines Systems zu umgehen und Zugriff auf dieses zu bekommen. Nach [ES03] kann man folgende Zugriffsmöglichkeiten unterscheiden: Lokale Steigerung der Nutzerrechte Ermöglicht es einem Angreifer mit lokalen Rechten, mit Hilfe einer Backdoor Administrations- bzw. Root-Rechte zu erlangen. 4

13 Cisco Security Agent Entfernte Ausführung von Kommandos Hierbei unterscheidet man zwei Möglichkeiten. Die eine ermöglicht es einem Angreifer, einzelne individuelle Kommandos auf der Maschine auszuführen. Die andere ermöglicht dem Angreifer den Zugriff auf einen Kommandozeileninterpreter (Remote Shell). Ein einfaches Beispiel wäre das allseits beliebte Tool Netcat. Durch einfachen Aufruf lässt es sich an den lokalen Kommandozeileninterpreter binden. nc -l -p e cmd.exe Entferntes Benutzerinterface Die wohl komfortabelste Art für einen Angreifer ist ein entferntes Benutzerinterface. Hier hat man vollständigen Zugriff auf das System und kann sogar die Aktionen des angemeldeten Benutzers sehen. Beispiele hierfür wäre SubSeven, Back Orifice2000 aber auch gängige kommerzielle und freie Remote GUI Tools wie Virtual Network Computing (VNC), die von Angreifern missbraucht werden können. Egal welche Zugriffsmöglichkeit auch gewählt wird, sie sind alle darauf ausgerichtet den entfernten Rechner vollständig zu kontrollieren und für eigene Aufgaben, zu missbrauchen. Trojanische Pferde Ein Trojanisches Pferd, auch kurz Trojaner genannt, ist ein Programm, das dem Anschein nach, normale Funktionalität zur Verfügung stellt, aber in Wirklichkeit eine bösartige, schädliche Funktionalität verschleiert. Die einfachste Möglichkeit, Programme zu tarnen, besteht darin, z.b. unter Windows einfach Leerzeichen zwischen mehreren Dateisuffixen einzufügen, um damit Benutzter evtl. zu täuschen. Eine andere Möglichkeit ist es, bekannte Dateinamen zu verwenden. Zum Beispiel ist es relativ unauffällig, wenn ein weiterer Prozess mit dem Namen iexplore.exe im Taskmanager von Windows auftaucht. Besonders hinterlistig ist es, wenn man den Namen eines wichtigen Systemprozesses, z.b. unter Windows 2000 smss.exe oder services.exe verwendet, da diese vom Taskmanager nicht ohne weiteres beendet werden können. Die dritte Art ist die Kombination von beliebten Programmen mit bösartigen oder schädlichen Programmteilen. Sie können mit Hilfe von Wrappertools (vgl. Abbildung 1) erstellt werden. Spyware und Adware Abgesehen von den oben aufgeführten Typen von Malware, werden in diesem Zusammenhang oft auch noch Spyware und Adware genannt. Mit Spyware bezeichnet man Programme, die das Surfverhalten oder andere persönlichen Informationen des Benutzers aufzeichnen und an Dritte weiterleiten. Adware sind Programme, die 5

14 Diplomarbeit Abbildung 1: Wrappertool durch Werbeeinblendungen finanziert werden und somit dem Benutzer kostenlos zur Verfügung gestellt werden können. Sie sind der Definition nach keine Malware. Da aber Adware häufig Spyware enthält, werden beide Begriffe oft irrtümlich gleichgesetzt. Zusammenfassung Die hier genannten Arten von Malware lassen sich in der Praxis meist nicht so einfach differenzieren. Vielmehr kommen sie als Mischformen vor, weshalb es häufig zu Verwechslungen der Begriffe kommt. Sicherlich kann man über Malware noch viel mehr berichten. Da dies aber nicht den Schwerpunkt dieser Diplomarbeit darstellt, wird hier auf das Buch [ES03] verwiesen Buffer-Overflows sogenannte Buffer-Overflow-Angriffe nützen Schwachstellen in Programmen aus, die aufgrund von falscher oder nachlässiger Programmierung entstehen können. Werden in einem Programm Daten variabler Länge in einen Datentyp fester Länge geschrieben, ohne dass das Programm überprüft, ob die Daten überhaupt in den vorhergesehenen Speicherplatz hineinpassen, kommt es zu einem Buffer-Overflow. Ziel eines Buffer-Overflow-Angriffs ist es also, den Speicherbereich einer Variablen zu überschreiben. Der Speicherbereich einer Variablen kann dabei im Heap, Stack oder Shared Memory Bereich liegen. Am häufigsten werden Buffer-Overflow-Angriffe auf Speicherbereiche des Stack Segmentes durchgeführt. Ziel ist es, durch gezielte Überläufe einzelner Variablen, die Rücksprungadresse eines Methodenaufrufs zu überschreiben. Wird die Rücksprungadresse mit keinen sinnvollen Daten überschrieben, kommt es aufgrund eines Segmentation Fault (Speicherzugriffsfehlers) zu einem Absturz des Programms. Ein Angreifer kann dadurch zwar das System oder eine Applikation zum Absturz bringen, 6

15 Cisco Security Agent kann aber noch keinen eigenen Code ausführen. Dazu muss er eine gültige Rücksprungadresse angeben. Da diese oft nicht genau ermittelt werden kann, kann der Angreifer durch Einfügen von No-Operations (NOPs), welche vom Prozessor einfach ignoriert und übersprungen werden, dafür sorgen, dass der eingeschleuste Code ausgeführt wird (vgl. Abbildung 2). [Eck05, S.26-28] Abbildung 2: Einschleusen von Code mit NOPs-Befehlen [Eck05] Hacker-Angriffe Ein Angriff ist als nicht autorisierter Zugriff bzw. Zugriffversuch auf ein System definiert. Man kann dabei zwischen aktiven und passiven Angriffen unterscheiden. Passive Angriffe richten sich gegen die Vertraulichkeit und dienen der unautorisierten Informationsgewinnung. Die häufigsten passiven Angriffe sind sogenannte Sniffer-Angriffe, wobei Netzverkehr z.b. nach Passwörtern abgehört wird. [Eck05, S.14] Aktive Angriffe richten sich gegen die Datenintegrität oder gegen die Verfügbarkeit eines Systems. Dazu zählen, das gezielte Ändern oder Entfernen von Datensätzen, aber auch Spoofing- oder Denial-of-Service (DoS) Angriffe fallen unter diese Kategorie. [Eck05, S.14-15]. Abbildung 3 zeigt die fünf Phasen, die Cisco bei einem Hackerangriff unterscheidet. Typisch für einen Angriff ist, dass er in aufeinander folgenden Phasen durchgeführt wird. Jede der folgenden Phasen ist dabei von der erfolgreichen Durchführung der Vorgängerphase abhängig. Probe Phase In der Testphase werden verwundbare Systeme ausfindig gemacht bzw. identifiziert. Oft werden Ping Scans verwendet, um Netzwerke zu analysieren und offene Ports 7

16 Diplomarbeit Abbildung 3: Life Cylce of an Attack - Quelle Cisco Systems von Applikationen aufzuspüren. Zu dieser Phase zählen aber auch Methoden, um Passwörter zu erlangen, sei es durch Social Engineering, Abhören des Netzverkehrs, Dictionary- oder Brute-Force-Attacken. Penetration Phase In dieser Phase wird versucht, ein Exploit Code auf das Zielsystem zu übertragen und auszuführen. Hierbei gibt es mehrere Methoden. Die Schadensroutine kann durch -Anhänge, Java Applets oder ActiveX Controls, Buffer-Overflows oder mit bereits auf dem Zielsystem eingerichteten, Backdoors oder Trojanern übertragen und gestartet werden. Persist Phase Ziel dieser Phase ist es, die Schadensroutine, die bisher nur temporär, z.b. im Arbeitspeicher des Systems vorhanden ist, dauerhaft auf dem System einzurichten. Dies wird durch die Einrichtung neuer Services, Modifikation existierender Dateien, Erstellung von Registry Keys, etc. erreicht. Propagate Phase In dieser Phase wird versucht, die Schadensroutine auf weitere Systeme auszubreiten, indem andere Systeme attackiert werden. Zu den Ausbreitungsmechanismen zählen das Versenden von s, Upload von Dateien auf FTP Server oder andere 8

17 Cisco Security Agent Dateifreigaben im LAN, aktive Internetverbindungen und andere Methoden. Paralyze Phase Die letzte Phase zeichnet sich dadurch aus, dass dem System Schaden zugefügt wird. Dateien können gelöscht, verändert oder gestohlen, Computer Systeme zum Absturz gebracht, Netz- oder Rechenressourcen zur Ausführung von verteilten Denial of Service Attacken bzw. Password-Cracking missbraucht werden. Vergleicht man die Angriffe über die letzten Jahre, fällt folgendes auf: Während die ersten beiden Phasen laufend Änderungen unterworfen sind und immer wieder neue Techniken und Exploits entwickelt werden, sind die restlichen drei Phasen relativ konstant und nur wenigen Änderungen unterworfen. [Cis03b, S.3ff] Verbreitungsgeschwindigkeiten Untersucht man die Zeitdauer, die zwischen der Entdeckung einer Schwachstelle und dem Auftreten eines ersten Exploits liegt, stellt man fest, dass diese Zeitspanne tendenziell immer kürzer wird. Tabelle 1 gibt einen Überblick über ein paar der populärsten Angriffe der letzten Jahre. Vulnerability Meldung Erste Exploit Meldung Nimda [UC00] (9 Monate) [CER01] SQL Slammer [UC02] (6 Monate) [CER03b] MS Blaster [UC03] (26 Tage) [CER03a] Sasser [UC04b] (18 Tage) [UC04a] Santy [UC04c] (32 Tage) [UC04d] Tabelle 1: Vulnerability und Exploit Hinweise bekannter Bedrohungen Benötigtes Wissen Ein weiteres Phänomen ist, dass das nötigte Wissen zur Durchführung eines Angriffs rapide gesunken ist. War früher noch ein hohes Maß an technischem Verständnis und Wissen bei Angreifern oder Hackern erforderlich, so wird dieses heutzutage nicht mehr in dem selben Umfang benötigt. Vielmehr bietet das Internet sogenannten Script Kiddies die Möglichkeit, fertige Angriffswerkzeuge herunterzuladen und Angriffe ohne das eigentliche Hintergrundwissen durchzuführen. Im Gegenzug nimmt die Raffinesse, mit welcher die eingesetzten Tools arbeiten, immer stärker zu. (vgl. Abbildung 4) [J.H01, S.3] 2.3 Abwehr von Bedrohungen Techniken zur Bedrohungsabwehr Nach [Eck05] gibt es drei grundlegende Ansätze, Bedrohungen abzuwehren, die entweder einzeln oder miteinander kombiniert eingesetzt werden können: 9

18 Diplomarbeit Abbildung 4: Benötigtes Wissen, das zur Durchführung eines Angriffs benötigt wird Verhinderung Die Verhinderung ist nach Eckert die wohl zufriedenstellendste Lösung. Sie bietet Sicherheit per Design. D.h. bereits während der Softwareerstellung wird versucht, spätere Bugs und Angriffsmöglichkeiten auszuschließen. Wie aber bereits die Motivation dieser Arbeit darstellt, ist man davon heute in der Praxis noch sehr weit entfernt. Erkennung und Behebung Zu der zweiten Kategorie, Erkennung und Behebung, zählen Systeme wie Virenscanner, Intrusion Detection und Prevention Systeme, aber auch Techniken, die im Programmcode mögliche Schwachstellen entdecken können. Schadensbegrenzung Zur Schadensbegrenzung zählen Ansätze, die die Auswirkung von möglichen Bedrohungen begrenzen. D.h. immer nur ein Teilsystem des Ganzen ist gefährdet. Beispiele hierfür sind Sandboxing Ansätze (vgl. JAVA) oder Techniken zur Vermeidung von Buffer-Overflows, wie z.b. die Buffer-Overflow-Protection von Windows 2003 (Stack cookie). Ein Programm, das in einer Sandbox läuft, kann auf das darunter liegende System nur in beschränkten Maß zugreifen. Dadurch wird zwar der Funktionsumfang eingeschränkt, aber die Sicherheit für das System erhöht. [Eck05, s25-26] Probleme bei der Bedrohungsabwehr Das große Problem bei der Bedrohungsabwehr ist, dass die Systeme die heute dafür eingesetzt werden, meist auf Signaturen basieren. Diese Abwehr funktioniert effektiv, solange man immer die aktuellsten Signaturen bzw. Virendefinitionen oder Heuristiken besitzt und alle Systeme auf dem aktuellsten Stand sind. 10

19 Cisco Security Agent Diese Abwehr von Bedrohungen stößt aber an seine Grenzen, sobald neue, noch unbekannte Angriffsformen auftreten. Abbildung 5 zeigt den kritischen Bereich, den man zwischen einem ersten Auftreten und einem ersten Patch oder Signaturupdate für eine Verwundbarkeit hat. Abbildung 5: Update Race! Insgesamt arbeiten die meisten Systeme reaktiv. Sie können Bedrohungen erst abwehren, wenn sie das erste Mal aufgetreten sind und aufgezeichnet wurden. Im Gegensatz dazu stehen proaktive Systeme. Sie verwenden keine Signaturen. Stattdessen wird versucht, das Verhalten einer Aktivität zu analysieren. In welche verschiedenen Klassen man hostbasierte Systeme zur Bedrohungsabwehr einordnen kann, zeigt der nächste Abschnitt Drei Ebenen der HIPS Nach [Mac05] lassen sich die heute auf dem Markt befindlichen, Host Intrusion Prevention Systeme (HIPS) in insgesamt neun verschiedene Typen unterteilen. Zum einen kann man unterscheiden, in welchem Zustand sich der auszuführende Code befindet bzw. auf welcher Ebene der Code analysiert wird. Dieser kann auf Netzwerk- Ebene gerade dabei sein, in das System einzudringen, auf der Applikations-Ebene sich bereits auf dem System befinden oder auf der Verhaltens-Ebene während der Ausführung analysiert werden. Daneben gibt es noch verschiedene Ansätze, welche Art von Code geblockt oder erlaubt wird: Bekannter bösartiger Code wird geblockt und alles andere erlaubt, nur gutartiger Code wird erlaubt und alles Unbekannte geblockt oder schließlich die Betrachtung von völlig unbekanntem Code, welcher zunächst analysiert werden muss. Somit ergeben sich insgesamt neun verschiedene Schutz-Stile, in die man HIPS unterteilen kann (vgl. Abbildung 6). Network Level HIPS Auf Netzwerk-Ebene arbeitende Host Intrusion Protection Systeme analysieren einund idealerweise auch ausgehenden Netzwerkverkehr und verwerfen eventuelle schadhafte Pakete mit dem Ziel, schadhafte Programmroutinen erst gar nicht den Zugang zu einen System zu gewähren. Bekannteste Vertreter dieser Kategorie dürften Personal Firewalls sein. Sie werden so konfiguriert, dass lediglich ausgewählte, gutartige Programme der Zugriff auf das Netzwerk gewährt wird. 11

20 Diplomarbeit Abbildung 6: Gartner Three Levels and Nine Protection Styles of HIPS Attack-Facing Network Inspection Produkte basieren auf Mustern (engl. patterns) bzw. Signaturen. Sie sind dafür prädestiniert bekannte Angriffsformen, wie Würmer, Portscans, OS Fingerprintings, etc. zu unterbinden. Die dritte Kategorie der Network Level HIPS, Vulnerability Facing Network Inspection, ist in der Lage auch unbekannte Angriffe zu erkennen. Hierfür werden verschiedene verhaltensbasierte Filtertechnologien verwendet. Diese sind aber um einiges ressourcenintensiver, als die beiden anderen Techniken. [Mac05, S.3f] Application Level HIPS Applikationsbasierte Intrusion Protection Systeme untersuchen den Code bevor dieser ausgeführt wird. Hierzu zählen klassische Antiviren Produkte, welche bekannte schadhafte Programmroutinen blockieren. Eine Kategorie weiter wird System Hardening aufgeführt. Hierbei wird ein System soweit eingeschränkt, dass nur noch bekannte oder erlaubte und keine anderen Applikationen ausgeführt werden können. Teilweise wird auch das Betriebssystem selbst miteinbezogen. Diese Vorgehensweise eignet sich aber hauptsächlich für Server und Embedded-Systeme. Die aufwendigste Art auf dieser Ebene, die auch unbekannte Bedrohungen erkennen kann, ist das Application Inspection. Dabei wird jeder System- oder API-Aufruf auf möglicherweise schadhaften Code untersucht und gegebenenfalls geblockt. [Mac05, S.4] Behaviour Level HIPS Verhaltensbasierte HIPS untersuchen den Code während der Ausführung und stellen somit die letzte Möglichkeit dar, bereits auf dem System befindliche Schadensroutinen zu entdecken und zu unterbinden. Resource Shielding verhindert, wie auch auf den anderen beiden Levels, Attacken anhand von Signaturen und unterbindet somit bekannte Angriffs- und Verhaltens- 12

21 Cisco Security Agent muster. Eine Kategorie weiter wird das Application Hardening eingeordnet, welches die Möglichkeit bietet, Applikationen den Zugriff auf Ressourcen nur dann zu gewähren, wenn diese zur Durchführung ihrer Aufgaben unbedingt benötigt werden. Lösungen dieser Kategorie arbeiten meist mit Regelwerken, durch die gewisse Aktionen erlaubt oder verboten werden. Regelprofile gängiger Standard-Applikationen werden teilweise mit angeboten. Problematisch bei dieser Kategorie ist der Umgang mit neuen oder unbekannten Applikationen. Diesem Problem versucht man mit der letzten Kategorie, dem Behavioural Containment, entgegen zu wirken. Man unterscheidet zwischen mehr passiven oder aktiven Systemen. Eher passive Systeme benutzen Ansätze wie Sandboxing, Virtualisierung oder die Verwendung von Accounts mit weniger Berechtigungen. Sämtlichem Code wird die Ausführung erlaubt. Eine Schädigung des darunter liegenden Betriebssystems ist aber nicht möglich. Mehr aktive Systeme verwenden Verhaltensregeln, die festlegen, was erlaubt ist und was nicht. Ein anderer Ansatz ist, das Verhalten verschiedener Applikationen über einen gewissen Zeitraum aufzuzeichnen. Sind später bei dem regulären Betrieb zu starke Abweichungen festzustellen, gibt dies einen Hinweis auf einen eventuellen Angriff. Ein weiterer Ansatz verwendet Heuristiken. Applikationen werden hier gegen eine große Menge bekannter gutartiger und schädlicher Verhaltensmuster untersucht. Verdächtige Aktivitäten werden auf diese Weise ohne eine lang andauernde Lernoder Konfigurationsperiode gestoppt. [Mac05, S.4f] Ein gutes und effektives HIPS sollte im Idealfall möglichst mehrere der eben vorgestellten Kategorien abdecken. Der in dieser Arbeit zu untersuchende CSA wird von [Mac05] in die Kategorie Active Behavioural Containment und Application Hardening eingeordnet. 2.4 Cisco Self Defending Networks Die Self Defending Network Strategie ist ein neuer Ansatz von Cisco, Bedrohungen für Netzwerke und IT-Systeme zu erkennen, zu verhindern und sich an die laufenden Änderungen anzupassen. [Cis05a] Die Idee, die hinter diesem Ansatz steckt, ist es, die Sicherheit nicht mehr einzelnen Systemen zu überlassen, sondern sie vollständig in das Netzwerk zu integrieren. D.h. einzelne Systeme sollen nicht mehr allein, sondern in Zusammenarbeit mit anderen, den notwendigen Schutz bieten. Die Cisco Self Defending Network Strategie bringt drei Bereiche die für die Sicherheit von besonderer Bedeutung sind zusammen: Trust and Identify Management, Secure Connectivity Systeme und Threat Defense Systeme. 13