Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Transkript

1 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg /40

2 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion Detection? 2 Charakteristik eines guten IDS 3 Arten 4 Funktionsweise 5 Honeypots 6 Aufbau eines IDS 7 Positionierung eines IDS 8 Attacken 9 Probleme 10 Effektivität 11 IDS Software 12 Snort 2/40

3 Was ist Intrusion Detection? Was ist Intrusion Detection? Einbruchserkennung Alarmanlage Hard- oder Softwaresysteme bei einem Angriff löst das IDS Alarm aus Gegenmaßnahmen liefert genaue Informationen über den Angriff ALARM 3/40

4 Was ist Intrusion Detection? Wozu braucht man IDS? Bedarf an Sicherheit Schaden begrenzen und Gegenmaßnahmen einleiten vielfältige Art und Weise der Bedrohung Ziele bei Angriff Benachrichtigung oder Gegenmaßnahme juristische Verwendbarkeit der Erkenntnisse Erkennung von Datenverluste Schutz vor zukünftigen Angriffen 4/40

5 Charakteristik eines guten IDS Charakteristik eines guten IDS Bewertungsgrundlage für IDS: Erkennung von Abweichungen bzgl. des normalen Systemverhaltens setzt die Resistenz gegen Täuschungsversuche des IDS voraus Kontinuität und Resistenz System läuft verlässlich und ist resistent gegen Angriffe Fehlertoleranz und Flexibilität Das System soll sich an Systemumgebung anpassen Ressourcenverbrauch und Skalierbarkeit System sollte zukunftssicher sein 5/40

6 Arten Host-Basierte IDS Host-Basierte IDS HIDS HIDS wird auf jedem System installiert HIDS muss das Betriebssystem unterstützen bezieht Informationen aus Log-Files, Kernel-Daten und Systemdaten sobald in den Überwachungsdaten Angriff erkannt wird Alarm Vorteile: spezifische Aussagen über den Angriff kann das System umfassend überwachen Nachteile: kann durch DOS-Angriff ausgehebelt werden wenn System außer Gefecht IDS lahmgelegt 6/40

7 Host-Basierte IDS HIDS Arten Host-Basierte IDS Endsystem mit HIDS Endsystem mit HIDS Endsystem mit HIDS Ergeignisse der einzelnen IDS Ethernet zentraler Knoten 7/40

8 Arten Netzwerk-Basierte IDS NIDS Netzwerk-Basierte IDS NIDS versuchen alle Pakete aufzuzeichnen und zu analysieren verdächtige Aktivitäten werden gemeldet versuchen Angriffsmuster aus dem Datenverkehr zu erkennen Datenverlust wenn Datenmenge größer als Bandbreite vom Sensor Vorteile: Ein Sensor kann ganzes Netzwerk überwachen durch Ausschalten eines Systems ist Überwachung nicht gefährdet Nachteile: keine lückenlose Überwachung bei Überschreitung der Bandbreite keine lückenlose Überwachung bei geswitchten Netzwerken 8/40

9 Arten Netzwerk-Basierte IDS NIDS Netzwerk-Basierte IDS Endsystem Endsystem Endsystem Vom NIDS beobachteter Verkehr Ethernet NIDS Router Internet Angreifer 9/40

10 Hybride IDS Arten Hybride IDS Hybride IDS verbinden beide Prinzipien gleichen Nachteile beider Systeme aus gewährleisten höhere Abdeckung bei Erkennung von Angriffen viele eingesetzte IDS verfügen über hybride Funktionsweisen Ein hybrides IDS besteht aus 3 Komponenten: Management Hostbasierte Sensoren HIDS Netzbasierte Sensoren NIDS 10/40

11 Hybride IDS Arten Hybride IDS Endsystem mit HIDS Endsystem mit HIDS Endsystem mit HIDS Ethernet NIDS zentraler HIDS Knoten Router Management Internet Angreifer 11/40

12 Funktionsweise Funktionsweise Reaktionen auf Ereignisse Datenvisualisierung Gegenmaßnahmen Ereignisse interpretieren Speicherung von Ereignissen Datenanalyse Speicherung Datensammlung Ereignisdaten sammeln 12/40

13 Datensammlung Funktionsweise Reaktionen auf Ereignisse Datenvisualisierung Gegenmaßnahmen Ereignisse interpretieren Speicherung von Ereignissen Datenanalyse Speicherung Datensammlung Ereignisdaten sammeln 13/40

14 Funktionsweise Datensammlung Datensammlung Daten sammeln Daten werden in Form von Signaturen abgelegt Wichtige Daten: CPU Speicher-Auslastung Netzwerkverbindungen Log-Files Vertrauenswürdigkeit der Datenquelle ist wichtig mitgehörte oder manipulierte Daten sind nutzlos 14/40

15 Datenanalyse Funktionsweise Datensammlung Reaktionen auf Ereignisse Datenvisualisierung Gegenmaßnahmen Ereignisse interpretieren Speicherung von Ereignissen Datenanalyse Speicherung Datensammlung Ereignisdaten sammeln 15/40

16 Funktionsweise Datenanalyse Datenanalyse Es gibt 2 grundlegende Techniken: Anomalieerkennung Missbrauchserkennung Missbrauchserkennung arbeitet mit vordefinierten Mustern Anomalieerkennung stellt Abweichungen zum Normalbetrieb fest 2 Techniken bei Anomalieerkennung: Erste basiert auf künstlicher Intelligenz Zweite auf einem logischen Ansatz Missbrauchserkennungssystem Vergleich Virenscanner Angriffsmuster in Form von Signaturen 16/40

17 Funktionsweise Datenanalyse Datenvisualisierung und Gegenmaßnahmen Reaktionen auf Ereignisse Datenvisualisierung Gegenmaßnahmen Ereignisse interpretieren Speicherung von Ereignissen Datenanalyse Speicherung Datensammlung Ereignisdaten sammeln 17/40

18 Funktionsweise Datenvisualisierung und Gegenmaßnahmen Datenvisualisierung und Gegenmaßnahmen Darstellung der Informationen z.b. mit statistischen Grafiken Grafiken werden an Administrator versendet 2 Gruppen von ID anhand ihrer Reaktionsschnelligkeit: reaktionäre ID live ID Live ID kann: automatisch sein leiten selbst Gegenmaßnahme ein halbautomatisch sein interagieren mit Administrator manuell sein geben dem Administrator Vorschläge Fokus liegt auf Live-Systemen, sie haben jedoch Nachteile Gegenmaßnahmen können aktiv oder passiv sein 18/40

19 Honeypots Honeypots Einrichtungen, die Angreifer von wichtigen Daten ablenken soll täuschen interessante Daten vor es werden mehrere Honeypots im Netzwerk installiert Honeypots bieten keine benötigten Dienste und sind unbenutzt wenn Angreifer Dienste von Honeypots in Anspruch nimmt wird er vom Honeypot protokolliert Endsystem Endsystem Honeypot Endsystem 19/40

20 Aufbau eines IDS Aufbau eines IDS Ereigniskomponente Daten aus Umgebung werden aufgenommen und an Analysekomponente geschickt Sicherungskomponente für Protokollierung der Erkenntnisse zuständig Analysekomponente Daten werden analysiert, bei Angriff wird Alarm ausgelöst Monitor und Aktionskomponente Ergebnisse der Analyse werden ausgearbeitet Speichermechanismen Informationen aus Ereignisquelle und Analyse werden schnell und zuverlässig gespeichert 20/40

21 Positionierung eines IDS Positionierung eines IDS Interne Netzwerke 3 Router Internet 2 1 Firewall DMZ (Internet Server) Firewall Telefonnetz Dial In 4 Router Risikobehaftetes Netzwerk = Standort eines IDS 21/40

22 Anzeichen Attacken Anzeichen Systembezogene Anzeichen ungewöhnliche Login-Aktivitäten z.b. nächtliches Anmelden, neue ungewöhnliche Benutzerkonten ungewöhnliche Systemprozesse abnormal hohe CPU-/Speicherauslastung ungewöhnliches Systemverhalten z.b. Systemabstürze, Neustarts Zeitlücken bzw. auffallende Zeitangaben im Protokoll Logfiles 22/40

23 Anzeichen Attacken Anzeichen Anzeichen im Dateisystem veränderte Zugriffsrechte bzw. Gruppenzugehörigkeit Logfiles veränderte Dateigrößen oder Dateiinhalte Systemsoftware, Konfigurationsdateien, Logfiles neue, ungewöhnlich Dateien oder Programme neue SUID-, SGID-Dateien gelöschte Dateien 23/40

24 Anzeichen Attacken Anzeichen Netzwerkspezifische Anzeichen Verbindungen von IP-Adressen zu ungewöhnlichen Zeiten z.b. nachts erhöhter Netzwerkverkehr im Extremfall DoS Anfragen auf unbenutzte/geschlossene Ports Anfragen die auf einen Port-Scan hindeuten 24/40

25 IDS als Angriffspunkt Attacken IDS als Angriffspunkt Insertion IDS akzeptiert Pakete, die Endsystem nicht akzeptieren würde Angreifer schickt Pakete, die nur vom IDS angenommen werden Endsystem IDS sieht "ATTACK" sieht "ATXTACK" A T T A C K A T X T A C K Verworfen vom Endsystem Akzeptiert vom IDS Angreifer sendet Datenstrom T X A C A T K 25/40

26 Attacken IDS als Angriffspunkt IDS als Angriffspunkt Evasion arbeitet komplementär zur Insertion-Technik IDS lehnt Pakete ab, die das Endsystem akzeptiert IDS sieht nicht den gleichen Datenstrom wie Zielsystem Endsystem sieht "ATTACK" A T T A C K IDS sieht "ATACK" A T A C K Akzeptiert vom Endsystem Verworfen vom IDS Angreifer sendet Datenstrom T A C A T K 26/40

27 Probleme Probleme Verschlüsselungen ohne Leserechte keine Angriffserkennung bei verschlüsselten Dateisystemen keine Informationen über Dateien und Inhalt System erkennt nur ob und wann es Änderungen gab hohes Risiko wenn IDS den Schlüssel für die Dateien kennt Durchsatzrate der Netzwerke eingeschränkte Analyse bei Netzwerk mit hohem Verkehr bei eingeschränkter Analyse werden nicht alle Angriffe identifiziert 27/40

28 Effektivität Effektivität Hauptsächlich werden missbrauchserkennende Systeme eingesetzt nur bekannte Angriffe können identifiziert werden Effektivität hängt von Signaturdatenbank ab Anomaliebasierte Systeme sind wegen hoher, falsch positiver Erkennungsrate kaum in Einsatz Effektivität ist von Qualität und Aussagekraft der Daten abhängig Auslagerung des IDS auf mehrere Knotenpunkte für intensive Analyse 28/40

29 IDS Software IDS Software Snort freies NIDS für Unix/Linux, Mac OS X und Windows Samhain HIDS, läuft auf vielen Plattformen, kryptographische Signaturen decken Verfälschungen auf Prelude hybrides IDS, integriert u.a. Snort, Samhain Hogwash arbeitet auf Layer 2 bindet sich mit keiner IP, schwerer angreifbar, keine aufwendige Konfiguration Xray IDS HIDS, auf Windows ausgerichtet 29/40

30 Snort Geschichte Snort Geschichte 1998 in einer UNIX-Version veröffentlicht GNU GPL- und kommerzielle Version Aufnahme in die Open Source Hall of Fame Möglichkeiten zu Erzeugung von Pufferüberläufen gefunden Absturz des Programms Verfälschung von Daten Beschädigung von Datenstrukturen Manipulieren der Rücksprungadresse 30/40

31 Snort Geschichte Snort freies Netzwerk IDS und NIPS zum Protokollieren von IP-Paketen und Analyse von Datenverkehr liest direkt an der Netzwerkhardware den Datenverkehr mit Inhalt des Stroms wird mit bekannten Angriffsmustern (Signaturen) verglichen Signaturen werden bei Snort in Rules festgehalten 2 Unterscheidungen: Snort als Netzwerk IDS Snort als Network Intrusion Prevention System 31/40

32 Snort Snort als NIDS Snort als NIDS Snort führt Protokollanalysen durch sucht und vergleicht Inhalte um passiv verschiedene Formen eines Agriffs zu erkennen Möglichkeiten für Angriffe sind: Exploits Internet-Würmer bei erkanntem Angriff wird Alarm ausgelöst Netzwerkpakete werden zur späteren Analyse protokolliert 32/40

33 Snort Snort als NIPS Snort als NIPS Snort führt Protokollanalysen durch sucht und vergleicht Inhalte um aktiv Netzwerkverkehr zu blockieren mit Patches ist die Nutzung von ClamAV zum Virenscan im Datenstrom möglich zusätzlich kann der Datenstrom mittels SPADE in Layer 3 und 4 auf Anomalien gescannt werden 33/40

34 Netzwerkanalysewerkzeug Snort Netzwerkanalysewerkzeug Snort kann auch sehr gut bei der Netzwerkanalyse helfen man kann es als Sniffer benutzen, ähnlich wie tcpdump Netzwerkverkehr kann gefiltert ausgegeben werden Snort hat mehr Optionen als tcpdump kann tcpdump komplett ersetzen kann Netzwerk Dialog zwischen Server und Client mitschneiden Kommunikationsprotokoll zur späteren Analyse 34/40

35 Snort Screenshots 35/40

36 Snort Screenshots 36/40

37 Snort Screenshots 37/40

38 Snort Screenshots 38/40

39 Snort Screenshots 39/40

40 Quellenverzeichnis Quellenverzeichnis Literatur Intrusion Detection Systems - Arne Brutschy Universität Leipzig Intrusion Detection Systeme - informatikserver.at Diagramme Intrusion Detection Systems - Arne Brutschy Universität Leipzig 40/40