Intrusion Detection, Snort

Größe: px
Ab Seite anzeigen:

Download "Intrusion Detection, Snort"

Transkript

1 Intrusion Detection, Snort SEMINARARBEIT im Rahmen des Seminars "Sicherheit im Internet" Lehrstuhl für Softwaretechnik und Programmiersprachen Betreut von: Simon Bäumler, Dipl. Inf. Vorgelegt von: Andreas Hahn

2 Inhaltsverzeichnis i Inhaltsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis i ii 1. Einleitung 1 2. Grundlagen Einführung in den Begriff Entwicklung des Gebietes Intrusion Detection 2 3. Intrusion Detection Systeme Klassifikation Netzwerkbasierte IDS Hostbasierte IDS Anwendungsbasierte IDS Komponenten Datensammlung Datenanalyse Missbrauchserkennung Anomalieerkennung Ergebnisdarstellung Eingliederung in die lokale Netzwerkstruktur Angriffe auf Computer und Netze Angriffsklassifikation Angriffsbeispiele Scan-Attacken Denial-of-Service - Attacken Erkennung von Angriffen Intrusion Response - Gegenmaßnahmen Identifizierung des Angreifers Verhinderung von Schaden mittels Gegenangriff Verhinderung von Schaden mittels Abschottung IDS als Angriffspunkt Insertion Evasion 11

3 Inhaltsverzeichnis i 4. Snort Allgemeines Analysemöglichkeiten Visualisierung der Ergebnisse Konfiguration Include und Variablen Preprocessors Portscan Detection Portscan Ignorehost Frag Performance Monitor Stream Output Modules Snort - Regeln Rule Header Rule Options msg reference content nocase, depth, offset ttl rpc sameip resp session React Gefahren bei Fehlkonfiguration False Positives False Negatives Zusammenfassung und Ausblick 23 Literaturverzeichnis 24

4 Abbildungsverzeichnis ii Abbildungsverzeichnis Abbildung 3-1 IDS Zonenmodell 6 Abbildung 3-1 Invasion - Bsp. 11 Abbildung 4-1 Rule Header 16 Abbildung 4-2 Rule Options 18

5 Einleitung 1 1. Einleitung Beinahe täglich liest man von neuen Angriffen wie Viren oder Trojanern auf Computer und Netzwerke. Besonders Firmennetzwerke sind davon betroffen und stehen stets den Bedrohungen gefährlicher Attacken gegenüber. Ständig wechselnde Techniken und der ökonomische Druck bringen kommerzielle Entwickler immer öfter dazu, wichtigen Sicherheitsaspekten immer weniger Beachtung zu widmen und Fehler erst dann zu beseitigen, wenn sie vom Benutzer gemeldet werden. Allein Scriptsprachen wie JavaScript und ActiveX installieren oft ohne Kenntnis des Benutzers automatisch Software auf einem Rechner und erlangen dadurch meist gefährlichen Zugriff auf sicherheitskritische Systemressourcen. Daneben werden Angriffsmöglichkeiten und bekannt gewordene Sicherheitslücken schnell von Angreifern und Hackern über das Internet verbreitet, die zudem immer bessere Möglichkeiten erlangen, Angriffe durchzuführen. Nur in einem verschlossenen Safe und ohne Verbindung zur Außenwelt sind Computer wirklich (einbruch-) sicher. Schutzmaßnahmen wie Firewalls können das Risiko eines Einbruchs zwar reduzieren, aber nie völlig eliminieren. Programmfehler, nachlässige Konfiguration oder leichtsinnige Benutzer eröffnen immer wieder neue Möglichkeiten, über die ein Angreifer in den Rechner gelangen bzw. geheime Daten nach draußen schmuggeln kann. Um dem entgegen zu wirken, haben sich in den letzten Jahren Intrusion Detection Systeme entwickelt, die in Echtzeit den Netzverkehr analysieren, anhand Regeln bösartige Aktivitäten erkennen und bei Bedarf Gegenmaßnahmen einleiten, um Angriffe abzuwehren, zu protokollieren oder den Administrator zu informieren. Diese Arbeit bietet eine grundlegende Einführung in das Gebiet Intrusion Detection. Sie beschäftigt sich mit den Merkmalen, der Funktionalität und den wesentlichen Komponenten, die ein Intrusion Detection System auszeichnen. Dabei werden mögliche Angriffe und Erkennungstechniken anhand Beispielen näher beschrieben und mögliche Gegenmaßnahmen erläutert. Am Open-Source-Beispiel Snort werden die Techniken und Konfigurationsmöglichkeiten eines Intrusion Detection Systems genauer vorgestellt und sollen dem Leser neben einer ausführlichen Einführung vermitteln, daß die Einrichtung eines IDS nicht zwingend mit einem großen Aufwand verbunden ist. [FrSc01] Im ersten Teil der Arbeit werden zunächst die Grundlagen, die Funktionalität und die wichtigsten Komponenten von Intrusion Detection Systemen erläutert, während der zweite Teil darauf aufbauend in die praktische Anwendung zielt. Dabei wird das Open-Source-IDS Snort vorgestellt, dessen Konfiguration und die Entwicklung von Snort-Regeln zur effektiven Abwehr gegen mögliche Angriffe.

6 Grundlagen 2 2. Grundlagen 2.1 Einführung in den Begriff Unter dem Begriff Intrusion Detection wird die aktive Überwachung von Computersystemen und / oder -netzen mit dem Ziel der Erkennung von Angriffen und Mißbrauch verstanden. Dabei findet sich die Hauptaufgabe von Intrusion Detection in der Filterung von allen im Überwachungsbereich stattfindenden Ereignissen wieder, die auf Angriffe, Mißbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Hierbei sollen alle Ereignisse zeitnah erkannt und gemeldet werden. [ConS02, 1.1] Ein Intrusion Detection System kann mit einer Alarmanlage verglichen werden. Gelingt es beispielsweise einem Angreifer trotz dem Schutzmechanismus einer Firewall, ein Virenprogramm zu installieren und auch zu aktivieren, so kann das IDS einen Alarm auslösen und den zuständigen Sicherheitsbeauftragten per , Pager u.s.w. informieren. Dabei übermittelt das IDS ausführliche Informationen zu dem aufgetretenen Angriff, um darauf aufbauend geeignete Gegenmaßnahmen einzuleiten. Im schlimmsten Fall kann dies sogar bedeuten, das System herunterzufahren oder in den Single-User-Mode zu bringen, um es keinem weiteren Mißbrauch auszusetzen und mit der Behebung des ausgenutzten Fehlers zu beginnen. [HeKa98, 1.4] 2.2 Entwicklung des Gebietes Intrusion Detection Bevor die wesentlichen Komponenten und Funktionalität von IDS näher beschrieben werden, widmen wir uns der Entstehung des Gebietes, einem noch relativ jungen Teilgebiet der IT- Sicherheit, dass jedoch gerade in den letzten Jahren einen steten Fortschritt verzeichnen konnte. Die ersten ID-Systeme untersuchten ausschließlich die vom Betriebssystem erzeugten Protokolldaten (sog. Auditdaten) im Hinblick auf mögliche Angriffe. Diese Datenmenge kann jedoch während eines normalen Systembetriebs sehr schnell groß und unhandlich werden. Prinzipiell existieren zwei Möglichkeiten, damit umzugehen. Den Auditmechanismus so zu verbessern, dass nur relevante Handlungen protokolliert werden bzw. Werkzeuge bereitzustellen, die es dem Sicherheitsbeauftragten gestatten, sich auf relevante Ereignisse zu konzentrieren. Sowohl Forscher im Bereich Rechnersicherheit als auch Systemadministratoren widmeten sich der Enwicklung von Werkzeugen zur automatischen Analyse von Auditdaten, die jedoch noch wenig Effektivität aufweisen konnten. Der Hauptansatz war dabei der Versuch, die uninteressanten Ereignisse herauszufiltern und die Möglichkeit zu bieten, die Restmenge manuell zu verarbeiten. Hieraus entwickelte sich schließlich das Forschungsgebiet Intrusion Detection, dass versuchte, diese Ansätze auf die Weise zu erweitern, die Auditdaten nach bekannten Angriffsmustern und Evidenz für anomales Benutzerverhalten zu durchsuchen. Besonders in den letzten Jahren machte diese Entwicklung einen enormen Fortschritt und entwickelt sich ständig weiter. Der richtige Durchbruch läßt jedoch noch auf sich warten, was vor allem daran liegt, dass der Erfolg eines IDS von der Wahl der richtigen Parameter und Konfiguration zusammenhängt und viele ID-Techniken eher einfach gehalten sind. Oft ähneln sie früheren Expertensystemen und benötigen Eigenschaften, die nicht im direkten Zusammenhang mit der Entdeckung von Angriffen stehen. [HeKa98, 1.4]

7 Intrusion Detection Systeme 3 3. Intrusion Detection Systeme 3.1 Klassifikation Der übliche Weg, Intrusion Detection Systeme zu klassifizieren, ist die Gruppierung nach der Informationsquelle. Während die meisten IDS Netzwerk-Pakete aus Netzwerkbackbones und LAN analysieren, untersuchen andere IDS die Informationsquellen des Betriebssystems oder diverser Applikationssoftware nach Kennzeichen für Angriffen Netzwerk-basierte IDS Die meisten IDS werden als netzwerk-basierte Intrusion Detection Systeme eingesetzt. Netzsensoren überwachen den Netzverkehr eines Rechners oder eines ganzen Teilnetzes auf verdächtige Ereignisse. Dabei werden für Netzsensoren typischerweise separate Rechner eingesetzt, so dass andere Applikationen nicht gestört werden. Diese Einheiten überwachen dann den gesamten Netzwerkverkehr, führen lokale Analysen durch und übermitteln Attacken an eine zentrale Managementkonsole. Die meisten dieser Sensoren arbeiten im sogenannten 'stealth'-modus, um es möglichen Angreifern zu erschweren, ihren Ort und Präsenz zu ermitteln. Die größten Vorteile eines Netzbasierten IDS sind die Entlastung von Endsystemen (Server, Hosts) und die Erkennung von netzbasierten Angriffen, die sich gegen mehrere Zielsysteme richten. Jedoch wird es für die heutigen Sensoren immer schwerer, Netze mit sehr hoher Netzlast (ab 100 Mbps) bei gleichzeitig hoher Paketdichte vollständig zu überwachen. Gründe dafür sind die zur Verarbeitung notwendige hohe Rechenleistung und Performance bei Zugriffen auf Signaturdatenbanken, die in dedizierten Netzsensoren meist nur unter sehr hohem technischen Aufwand erbracht werden können. [BaMeoJ, S. 15; Lain00, S. 1] Host-basierte IDS Um speziell einen individuellen Rechner zu überwachen, werden Host-basierte IDS eingesetzt. Dabei werden Aktivitäten mit großer Zuverlässigkeit und Präzision analysiert, um einzelne Attacken von Prozessen oder Benutzern auf einem Betriebssystem exakt zu erkennen. Beispiele dafür sind Rechteüberschreitungen von Nutzern, Login-Fehlversuche oder eingeschlichene Trojaner. Daneben können sie genau erkennen, welche Dateien und Systemprozesse von einem möglichen Angriff betroffen sind. Einige host-basierte IDS werden oft dafür eingesetzt, um zentral eingerichtete IDS zu unterstützen und damit einem einzelnen Managementsystem durch die Übermittlung von wichtigen Informationen die Möglichkeit zu bieten, mehrere Rechner zu überwachen. Im Gegensatz zu Netzsensoren sind Host-basierte IDS in der Lage, die tatsächliche Reaktion eines Systems zu überwachen, jedoch müssen sie dazu auf jedem zu überwachenden Host installiert werden und speziell an die entsprechende Plattform angepaßt werden. Im Allgemeinen erfordert der Einsatz hostbasierter IDS damit mehr Kosten und Aufwand gegenüber Netzsensoren. [BaMeoJ, S. 16; Lain00, S. 1] Anwendungs-basierte IDS Eine spezielle Form von hostbasierten IDS findet sich in anwendungsbasierten IDS wieder, die insbesondere Ereignisse überwachen, die mit einer individuellen Software zusammenhängen. Sie

8 Intrusion Detection Systeme 4 werden hauptsächlich dafür eingesetzt, um verdächtiges und unauthorisiertes Verhalten zwischen Benutzern, der Anwendung und damit verbunden Daten zu erkennen. [BaMeoJ, S. 17] 3.2 Komponenten Grundsätzlich bestehen Intrusion Detection Systeme aus drei Hauptkomponenten, die Datensammlung, Datenanalyse und Ergebnisdarstellung, die im Folgenden genauer erklärt werden Datensammlung Im ersten Schritt werden Daten und Informationen gesammelt, die für die anschließende Analyse verwendet werden. Hier ist es wichtig, aus welcher Quelle die Daten zur Erkennung von Angriffen genommen werden. Die beste Analysekomponente ist wirkungslos, wenn ihr nicht ausreichend Daten zur Verfügung stehen. Am Beispiel eines netzbasierten IDS sind dies hauptsächlich Pakete, die das Netzwerk passieren. Damit verfolgen die Systeme einen präventiven Ansatz, da Angriffe genau dann erkannt werden können, während sie stattfinden und gegebenfalls Gegenmaßnahmen eingeleitet werden können. Informationen können sowohl quantitativer, z.b.: der Port 5800 empfing während der letzten Sekunde 20 SYN-Pakete, als auch qualitativer Art sein, etwa der folgenden Art: Benutzer Alice versendete eine , kurz nachdem er sich am System angemeldet hat. Allgemein existieren drei Haupt-Datenquellen, die unterschieden werden können. Zum einen sind dies Auditdaten aus diversen Systemeinheiten auf einer hohen Abstraktionsebene (z.b.: "Wer hat sich angemeldet?" oder "Wann traten Schutzverletzungen auf?"), die einen chronologischen Ereignistrom widerspiegeln. Daneben werden Parameter wie CPU-Auslastung, Ein-/Auslagerungsrate des virtuellen Speichers oder die Anzahl aktiver Netzverbindungen als Informationen über die Betriebsmittelvergabe durch das Betriebssystem zusammengefasst und als weitere Quelle werden wichtige Informationen wie Quell- und Zieladresse eines Pakets, sowie Quell- und Ziel-Ports dem Netzverkehrdurchsatz zugeschrieben. [HeKa98, 2.2.2] Datenanalyse Der eigentliche Erkennungsprozess eben gesammelter Daten findet in der Analysephase eines IDS statt. Diese kann in zwei unterschiedliche Techniken getrennt werden, die im Folgenden näher beschrieben werden Missbrauchserkennung Das Open-Source IDS Snort arbeitet mit dem Ansatz der Missbrauchserkennung. Dabei wird versucht, typische Muster für bekannte Angriffe in den gesammelten Auditdaten zu erkennen. Vor allem sogenannte "String Matching"-Algorithmen kommen hierbei zum Einsatz, wobei gewisse Anforderungen an den zu erkennenden Angriff gestellt werden. Es ist wichtig, zu wissen, worauf die Attacke basiert (z.b. ICMP-Ping-Pakete mit kritischer Größe), welche Signaturen speziell für die abzudeckenden Angriffe vorliegen müssen und diese Signaturen müssen für das IDS zugänglich gespeichert sein. Die Menge an Angriffsmustern liegt dabei in

9 Intrusion Detection Systeme 5 einer Datenbank, die als zentrale Komponente des Missbrauchserkennungssystem angesehen werden kann. Speziell Snort bietet hier eine bereits große Menge an möglichen Signaturen an, die über das Internet zur Verfügung gestellt werden. [BaMeoJ, S. 18] Anomalieerkennung Ein zweiter Ansatz der möglichen Analyse ist die Anomalieerkennung. Sie stellt eine Art Heuristik dar und versucht dabei, auch unbekannte Angriffe zu lokalisieren, die ein atypisches Systemverhalten erzeugen. Um diese Art von Attacken zu erkennen, ist es zuerst wichtig, innerhalb des zu schützenden Systems festzulegen, was unter "normalem Verhalten" verstanden wird. Dabei gibt es einen statischen und logischen Ansatz. Unter einem statischen Ansatz versteht man die Festlegung der Normalwerte einer bestimmten Parametermenge und deren Standardabweichung. So kann z.b. für die CPU-Auslastung der zustandsunabhängige Mittelwert gewählt werden. Sobald sich dann ein Parameter ausserhalb des für ihn als normal definierten Intervall bewegt, wird ein Alarm ausgegeben, der natürlich zusätzlich Informationen über die Abweichung mitteilen kann. Dem gegenüber steht der logische Ansatz, der die zeitliche Abfolge von Systemereignissen betrachtet, die mit Hilfe von Regeln beschrieben werden können. Die definierten Ereignisfolgen werden dann als systemtypisch angesehen und jede Abweichung davon kann als anomal bewertet werden. Auch Snort kann auf diese Weise analysieren, vorausgesetzt es sind die richtigen Zusatzmodule installiert, auf die später noch eingegangen wird. [BaMeoJ, S. 19; HeKa98, 2.2.5] Ergebnisdarstellung Der letzte Schritt einer Intrusion Detection ist die Darstellung der Ergebnisse der Analyse, die je nach Erkennungstechnik anderst ausgeführt wird. Wurde ein Angriff mit Hilfe einer entsprechenden Signatur erkannt (Missbrauchsanalyse), so wird er durch eine entsprechende Ausgabe gemeldet, andernfalls meldet das IDS keine Aktivität. Somit liefert diese Art der Erkennung keine kontinuierlichen Werte, anhand derer der potentiell mögliche Schaden eines Angriffes abgeschätzt werden kann. Anomalieerkennungssysteme bieten dagegen eine Verdachtsbewertung, die angeben, wie stark das aktuelle Verhalten vom vorher definierten Normwert abweicht. Dabei kann man nicht immer genau zwischen einer Missbrauchserkennung und einer Anomalieerkennung differenzieren. Die Darstellung der Ergebnisse kann dann auf die verschiedensten Arten erfolgen. Neben benutzerfreundlichen Oberflächen bis zu Pager-Diensten sind mehrere Alternativen möglichen, die je nach Anforderung ausgewählt werden können. Speziell Snort bietet hier eine umfassende Konfiguration sogenannter Output-Modules, die später näher erleutert werden. [HeKa98, 2.2.6]

10 Intrusion Detection Systeme Eingliederung in die lokale Netzwerkstruktur Je nach Anforderung an das Sicherheitsmaß kann ein IDS nach verschiedenen Ansätzen in die lokale Netzwerkstruktur eingegliedert werden. Hier sollen nur die wichtigsten Prinzipien und Vorgehensweisen erläutert werden, einen umfangreichen Einblick in mögliche Basisarchitekturen findet sich in [ConS02, 4] wieder. Intrusion Detection Systeme werden oftmals mit einer Firewall in Verbindung gebracht oder damit verwechselt. Jedoch unterscheiden sich beide in der Art der Kontrolle und ihren Einsatzpunkten. Kein System kann das andere ersetzten, sondern lediglich das andere System in dessen Funktionalität erweitern. Beispielsweise können Firewalls nur Angriffe abwehren, die über sie stattfinden, sie sind aber nicht in der Lage, Schutz gegen Attacken auf interne Systeme zu gewährleisten, die im lokalen Netz ausgelöst werden. IDS dagegen können sowohl den Datenfluß als auch Serveraktivitäten im internen Netz überwachen. [ConS02, 2.2.5] Die Eingliederung eines IDS in das jeweilige Netzwerk kann durch ein sogenanntes Zonenmodell realisiert werden. Dabei wird zwischen einer roten, grünen und blauen Zone unterschieden. Die rote Zone befindet sich direkt an der Verbindung nach 'außen', dem Internet und stellt damit auch den Bereich mit dem höchsten Risiko dar. Hierbei wird das IDS direkt vor einer Firewall plaziert und überwacht den gesamten Verkehr, der das interne Netz verlässt und aus dem Internet in das Netz gelangt. Direkt hinter der roten Zone und einer Firewall beginnt die grüne Zone, an der ein IDS beispielsweise den ein-/ausgehenden Verkehr eines Webservers analysieren kann. Das IDS kann hier weniger empfindsam konfiguriert werden, weil davon auszugehen ist, dass die Firewall nur bekannten und authorisierten Traffic passieren lässt. Heutzutage stellt jedoch nicht mehr nur der Verkehr, der von aussen in ein Netzwerk dringt, eine mögliche Gefahr dar, sondern vor allem auch der Verkehr im Inneren des Netzes. Oft sind eigene Mitarbeiter, Würmer, Trojaner o.ä. die eigentliche Gefahr, die im Inneren des Netzes ansetzt. An diesem Punkt beginnt die blaue Zone mit einem individuellen IDS, das eben angesprochene Gefahren verhindern soll. Üblicherweise sollten hier am wenigsten Alarme gemeldet werden, dem gegenüber aber auch die stärksten Gegenreaktionen einsetzen, wenn dies doch der Fall ist. Abbildung 3.1 veranschaulicht den Einsatz eines Zonenmodells. [Sanc00] IDS Firewall IDS Rote Zone Internet Webserver Grüne Zone IDS Router Abbildung 3.1 IDS-Zonenmodell blaue Zone

11 Intrusion Detection Systeme Angriffe auf Computer und Netze Um die grundlegenden Mechanismen der Angriffserkennung zu verstehen, benötigt man eine genaue Kenntnis darüber, welche Arten von Angriffe auf ein System oder Netz eigentlich möglich sind. Je nach Angriffsart kann das IDS danach konfiguriert werden und ist deshalb immer nur so effektiv, wie es vom Menschen eingestellt wurde. Eine individuelle und speziell an die Sicherheitsanforderungen eines Firmennetzwerkes angepaßte Konfiguration erfordert deshalb auch sehr viel Erfahrung und Übung. Im Folgenden werden mögliche Attacken klassifiziert und einige ausgewählte Beispiele näher beschrieben. Die Darstellung und Erklärung im vollen Umfang aller möglichen Angriffsarten würde den Rahmen dieser Arbeit sprengen, weshalb an dieser Stelle auf die Quelle [HeKa, 2.1] verwiesen sei, die eine ausführliche Beschreibung für Angriffe auf allen Ebenen bereitstellt Angriffsklassifikation Grundsätzlich lassen sich die verschiedenen Angriffsmöglichkeiten in vier unterschiedliche Kategorien von Sicherheitsverletzungen unterteilen. Verletzung der Verfügbarkeit, Integrität, Vertraulichkeit oder Kontrolle. Eine Verfügbarkeitsverletzung tritt dann auf, wenn durch einen Angriff verhindert wird, dass ein authorisierter Benutzer (Mensch oder Maschine) Zugriff auf Systemressourcen (Daten, Dienste) hat, die er benötigt. Treten solche Verletzungen beispielsweise massiv bei dem Transport von Daten auf, handelt es sich um einen Denial-of- Service-Angriff. Von Integritätsverletzungen wird dann gesprochen, wenn es einem Angreifer gelingt, Daten auf einem Rechner oder während eines Transports zu modifizieren. Bekommt ein unauthorisierter Benutzer die Möglichkeit, Daten während eines Transports abzuhören oder Lesezugriff auf geschützte Daten zu erhalten, so handelt es sich um eine Verletzung der Vertraulichkeit. Kontrollverletzungen können schließlich sowohl auf Netzressourcen, als auch Rechnerressourcen erfolgen. Hierbei umgeht ein Angreifer z.b. eine Firewall-Komponente und erhält so Zugriff zum Netz und kann dann eventuell gefährliche Pakete durchschleusen. Ja nach Art des Zugriffs und der dabei erlangten Benutzerrechte können weitere Folgeschäden entstehen. Diese können wiederum zum Verlust der Vertraulichkeit, Integrität und Verfügbarkeit führen. [BaMeoj, S.40] Angriffsbeispiele Zur Veranschaulichung möglicher Angriffe werden im Folgenden zwei typische Arten näher beschrieben, die auch von IDS und insbesondere Snort erkannt und gemeldet werden. Ein IDS- Operator muß dabei den Unterschied der Angriffstypen verstehen und unterschiedlich darauf reagieren Scan-Attacken Üblicherweise erfolgt der eigentliche Angriff erst dann, wenn der Angreifer zusätzliche Informationen über das Zielsystem gesammelt hat. Um diese zu erhalten, werden sogenannte Scan-Attacken durchgeführt, die zwar als Angriffe bezeichnet werden, aber keinen direkten Schaden hinterlassen. Dabei sendet ein Angreifer verschiedene Pakete an das Zielsystem und kann anhand der Antworten auf Merkmale und Schwachstellen des Systems schließen. Mit einem aktiven TCP Port Scan ist es beispielsweise möglich, herauszufinden, welche TCP-

12 Intrusion Detection Systeme 8 basierten Dienste von einem Zielsystem angeboten werden. Mit einer Scan-Attacke erlangt ein Angreifer Informationen über die Netzwerktopologie, welche Arten von Netzwerktraffic durch die Firewalls erlaubt sind, welches Betriebssystem eingesetzt wird, momentan aktive Rechner im LAN, u.s.w.. Unglücklicherweise ist diese Art von Angriffen sogar rechtlich erlaubt, weil es mit einer Internetsuche nach öffentlich zugreifbaren Ressourcen gleichgesetzt wird. [BaMeoJ, S.41] Denial-of-Service - Attacken Denial-of-Service Attacken haben das Ziel, ausgewählte Systeme oder Dienste vorübergehend unerreichbar zu machen, indem sie ein System dazu bringen, zu viele Ressourcen zu reservieren oder das Zielsystem mit Nachrichten zu fluten, so dass es entweder nur noch sehr langsam oder gar nicht mehr auf Anfragen anderer Rechner antworten kann. [BaMeoJ, S.42] Ein Beispiel hierfür ist das ICMP Echo Request (Ping of Death). Dabei sendet ein Angreifer ICMP Echo Request Pakete (auch PING-Pakete genannt), die eine kritische Paketgröße haben. Das betroffene Zielsystem bricht beim Empfang derartiger Pakete zusammen und kann auf weitere Anfragen nicht mehr antworten. [HeKa98, ] Die Ursache dafür liegt in einem Implementierungsfehler. Gerade hier können IDS entsprechend gut reagieren und ganze Organisationen vor einer vorübergehenden Unerreichbarkeit bewahren. 3.5 Erkennung von Angriffen Die wohl wichtigste Funktionalität von IDS sind die Erkennungstechniken, die eingesetzt werden. In dem folgenden Abschnitt soll beschrieben werden, wie eben vorgestellte Angriffstypen von einem IDS erkannt werden können. Für eine umfassende Einführung in mögliche Erkennungstechniken aller Angriffstypen sei hier wieder auf [HeKa98, 2.5] verwiesen. Grundsätzlich unterscheidet man vier mögliche Arten von Erkennungstechniken. Snort arbeitet hauptsächlich mit Sniffing. Dabei werden gewöhnlich auf IP-Ebene Daten über den Netzverkehr gesammelt und somit theoretisch alle vom Netz ausgehende Angriffe erkannt. Eine andere Möglichkeit liegt in der Analyse der Logbucheinträge des Betriebssystems. Dabei muss im Gegensatz zum Sniffing nicht der gesamte Datenverkehr berücksichtigt werden. Jedoch ist hier wichtig, zu definieren, welche Ereignisse als protokollierenswert eingestuft werden und auch tatsächlich im Logbuch festgehalten werden. Einige Angriffe zeichnen sich durch eine Anwendung aus, wie z.b. WWW Spoofing. Sie können mit Hilfe von Proxys entdeckt werden, weil über diese die gesamte Datenmenge zur Applikation durchgereicht werden. Hierbei verlässt sich ein IDS auf den fremden TCP/IP-Stack des Proxys, was auch zur Folge hat, dass Angriffe auf niedriger Ebene wie ARP nicht erkannt werden können. Mittels Tripware (Stolperdraht), einem speziellen Programm, läßt sich schließlich die Integrität zuvor angegebener Daten überprüfen. Dabei kann beispielsweise festgestellt werden, ob Daten auf einem Rechner oder während eines Transports von einem Angreifer modifiziert wurden. [HeKa98, 2.5] Nun zu den Beispielen aus Abschnitt und ihrer Erkennung durch ein IDS. Um in Abschnitt vorgestellte Scan-Attacken zu erkennen, kann ein Schwellenwert gesetzt werden, der die Anzahl der erlaubten Anfragen für einen Verbindungsaufbau von der IP-Quelladresse beschränkt. Dabei werden beispielsweise die TCP-Verbindungsanfragen von einer IP-Adresse vom System oder dem IDS protokolliert und anschliessend überprüft, ob der definierte

13 Intrusion Detection Systeme 9 Schwellenwert überschritten wurde. Ist dies der Fall, löst das IDS in Echtzeit einen Alarm aus bzw. kann vorher definierte Gegenmaßnahmen einleiten. Jedoch kann bei dieser Art der Attacke ein geschickter Angreifer seine IP-Quelladresse fälschen (IP-Spoofing) bzw. das Abtasten der Ports geschickt über mehrere Stunden oder Tage verteilen, so dass es in einigen Fällen durchaus möglich ist, dass der Angriff unentdeckt bleibt. Die meisten Scan-Attacken sollten aber von einem IDS bemerkt werden. Dagegen kann eine Denial-of-Service Attacke im Fall eines ICMP Echo Requests leicht von einem Sniffer erkannt werden. Dieser überprüft, ob die versendeten IP- Pakete nicht der entsprechenden RFC konform sind und simuliert dann einen IP-Stack, um die tatsächliche Paketgrösse zu bestimmen. Besonders Snort arbeitet in beiden Fällen äußerst effektiv. [HeKa98, 2.5.1] 3.6 Intrusion Response - Gegenmaßnahmen Ist es einem Angreifer gelungen, Zugriff auf ein Rechnersystem oder einem Teil davon zu erlangen, kann er mit den erlangten Rechten beliebig hohen Schaden anrichten. Hier stellt sich die Frage, welche Gegenmaßnahmen eingeleitet werden sollen. Wurde beispielsweise ein Denialof-Service - Angriff erkannt, möchte der Systembetreiber den Angreifer ermitteln, um rechtlich verwertbare Daten zu erlangen. Deshalb ist es nicht immer sinnvoll, bei einem erkannten Angriff alle Verbindungen zum Angreifer zu beenden, sondern ihn kontrolliert weitere Angriffe durchführen zu lassen, um an die benötigten Informationen zu kommen. Ist aber das Risikopotential der Attacke zu groß, kann dies u.u. sogar bedeuten, das angegriffene System sofort herunterzufahren und eventuell aufgetretenen Schaden zu identifizieren und weiteren Schaden abzuwenden. Deshalb lassen sich Intrusion Response - Maßnahmen grundlegend in zwei Hauptziele einteilen: den Angreifer zu identifizieren und Schaden abzuwenden. Beide Ziele erfordern unterschiedliche Umsetzungen, die im folgenden genauer beschrieben werden. Dabei können die erforderlichen Maßnahmen in drei Klassen eingeteilt werden. Werden Maßnahmen direkt von einem IDS angestossen, spricht man von einer automatischen IR-Maßnahme. Ist eine zusätzliche Interaktion von einem Sicherheitsbeauftragten nötig, handelt es sich um eine halbautomatische IR-Maßnahme. Die dritte Möglichkeit ist die manuelle IR-Maßnahme, die ausschliesslich von einem Sicherheitsbeauftragten ausgeführt wird. Im Folgenden werden Maßnahmen beschrieben, die nur automatisch durchgeführt werden können, jedoch immer im Einklang mit der lokalen Sicherheitspolitik stehen. [HeKa98, 2.7] Identifizierung des Angreifers Die Identifizierung des Angreifers erfordert einen sehr hohen Protokollierungsaufwand, der von einem IDS zum richtigen Zeitpunkt angestoßen werden muß. Ziel dabei ist zunächst, die richtige IP-Adresse zu ermitteln und dabei zu beachten, dass ein Angreifer nicht unbedingt von seinem Ursprungsrechner aus startet, sondern evtl. weitere Rechner als sogenannte Sprungbretter benutzt. In diesem Fall müssen auch Administratoren der als Sprungbretter benutzten Maschinen alarmiert werden. Die Rückverfolgung erfordert sehr hohen Aufwand und verzeichnet leider nicht sehr häufig einen akzeptablen Erfolg. Grundsätzlich gibt es keine klaren Regeln, einen Angreifer ausfindig zu machen, jedoch existieren einige Berichte, die aufzeigen, dass es mit dem entsprechenden Aufwand doch möglich ist. [HeKa98, ]

14 Intrusion Detection Systeme Verhinderung von Schaden mittels Gegenangriff Die wohl stärkste Gegenmaßnahme besteht darin, direkt einen Gegenangriff einzuleiten, der einen Denial-of-Service Angriff auf den angreifenden Rechner zum Ziel hat. Auch Snort unterstützt diese Art der Maßnahme. Hier sollte jedoch beachtet werden, dass wie vorher schon angesprochen, ein Angreifer nicht unbedingt von seinem Ursprungsrechner aus agiert, sondern durchaus auch Sprungbrettrechner benutzen bzw. seine IP-Adresse auch nur vortäuschen kann. Weiterhin sollte man sich dabei bewußt sein, dass ein Gegenangriff (Selbstjustiz) nicht immer juristisch gerechtfertigt ist.[heka98, ] Verhinderung von Schaden mittels Abschottung Eine sichere und für IDS typische Maßnahme bei einem Angriff findet sich in der Abschottung der angeriffenen Maschine wieder. Dabei werden betroffene TCP/UDP-Ports geschlossen, betroffene Programme beendet, IP-Datagramme, die von der Angriffs-IP kommen, abgelehnt bzw. Benutzeraccounts gesperrt, sollte der Angriff von einer internen Quelle ausgehen. Bei der Terminierung eines Programms oder Dienstes sollte jedoch sichergestellt werden, dass der betroffene Dienst nach einer gewissen Zeit wieder gestartet wird, um damit mögliche Denial-of- Service Angriffe zu verhindern. Die wohl sinnvollste Maßnahme ist die vorübergehende Sperrung der Angriffs-IP, hierbei stellt der Angreifer jedoch fest, dass sein Angriff erkannt wurde und man lenkt damit evtl. zusätzlich Aufmerksamkeit des Angreifers auf das IDS. Letzteres sollte generell bei jeder Art von Gegenmaßnahme beachtet werden. [HeKa98, ] 3.7 IDS als Angriffspunkt Bei einem Einsatz eines IDS ist genau diese Netzwerk-Komponente das erste Hindernis, auf das ein möglicher Angreifer trifft. Damit verfolgt ein Angreifer als erstes Ziel, das IDS mit falsch erscheinenden Paketen zu verwirren oder zwischen ihm und den Endsystemen im lokalen Netz Inkonsistenzen zu erzeugen. Dabei wird zwischen Insertion und Evasion unterschieden, die nun näher erläutert werden. [PtNe98] Insertion Insertion ist eine Angriffstechnik, die darauf basiert, dass ein IDS Pakete entgegennimmt, die das Endsystem normalerweise nicht annehmen würde. Das IDS geht folglich davon aus, dass ein Paket von einem Rechner im Netzwerk akzeptiert wird, obwohl der Rechner das Paket ablehnt. Das hat zur Folge, dass sich ausschließlich das IDS um solche Pakete kümmert. Auf diese Weise fügt ('inserting') ein Angreifer also Daten in das IDS ein. Mit Insertion liegt bei vielen IDS eine große Anfälligkeit vor. Die meisten IDS arbeiten wie in Abschnitt 3.2 beschrieben mit Signaturanalysen, Pattern-Matching, um bestimmte Zeichenketten in einem Datenstrom zu erkennen. Beispielsweise versucht ein IDS eine PHF-Attacke dadurch zu erkennen, dass es innerhalb einer HTTP-GET-Anfrage nach der Zeichenfolge "phf" sucht. Die gesamte Zeichenkette kann dabei folgendermaßen aussehen: "GET /cgi-bin/phf". Ein Angreifer kann nun die gleiche Anfrage an einen Webserver senden und dabei ein IDS dazu bringen, eine andere Zeichenfolge zu überprüfen, wie z.b.: "GET /cgi-bin/pleasedontdetecttthisforme?''. Der

15 Intrusion Detection Systeme 11 Angreifer hat also eine typische Insertion-Attacke ausgeführt, indem er die Zeichenketten leasedontdetect, is und orme in den originalen String eingefügt hat. Nun ist das IDS nicht mehr in der Lage, die Zeichenkette phf zu erkennen. Ein weiteres einfaches Beispiel beschreibt nochmal die Funktionsweise des Angriffs. Ein Angreifer sendet mehrere Pakete mit jeweils nur einem Zeichen an das System, welche zusammengesetzt im IDS einen anderen String ergeben als auf dem Zielrechner. So könnte z.b. die Zeichenkette "ATTAXCK" gesendet werden und dabei das Paket mit dem Zeichen "X" so manipuliert sein, dass es von dem Zielhost nicht angenommen wird. Die Ablehnung des Paketes kann dabei beispielsweise durch einen niedrig gewählten Time-To-Live - Wert erreicht werden, der angibt, wieviele Stationen (Rechner) das Paket maximal durchwandern kann. Jedes Paket besitzt einen solchen Wert, der bei der Ankunft auf einem Rechner um eins erniedrigt wird. Wählt man nun den Time-To-Live - Wert so gering, dass er bei Ankunft auf dem IDS verfällt, also auf Null gesetzt wird, wird das Paket den Zielhost nicht mehr erreichen. Das IDS untersucht nun die Zeichenfolge "ATTAXCK", welche nicht als Angriff erkannt wird, auf dem Zielrechner trifft jedoch die gefährliche Kette "ATTACK" ein, die dann weiteren Schaden anrichten kann. Das IDS Snort kann mit der Option ttl (siehe Abschnitt ) derartige Angriffe verhindern bzw. erkennen. [PtNe98, 3.1] Abbildung 3.2 veranschaulicht das Beispiel. Zielsystem IDS A T T A C K A T T A X C K abgewiesen vom Host akzeptiert vom IDS Datenstream des Angreifers T X T C A A K Abbildung 3.2 Invasion-Beispiel Evasion Neben der Insertion existiert eine zweite Möglichkeit, die Evasion, um ein IDS zu umgehen, welches der Insertion sehr ähnelt. Evasion basiert auf der Möglichkeit, dass ein Paket vom IDS abgelehnt wird, während ein Rechner im Netzwerk das Paket akzeptieren würde. Wie bei der Invasion sieht das IDS einen anderen Datenstrom als ein Zielsystem. Verweist man wieder auf das Beispiel mit der Zeichenkette "ATTACK", so würde ein IDS beispielsweise Pakete mit jeweils einem Charakter entgegennehmen, die zusammengesetzt die Kette "ATTCK" ergeben. Das Zielsystem dagegen erhält die Zeichenfolge "ATTACK". Die Umgehung des IDS basiert auf der Veränderung des Paketes mit dem Zeichen "A" (das zweite A), so dass es vom IDS abgelehnt, vom Zielsystem jedoch entgegengenommen wird. Ein Angriff bleibt unbemerkt und das IDS wurde umgangen. [PtNe98, 3.2]

16 Intrusion Detection Systeme Snort 4.1 Allgemeines Um die Grundlagen von Intrusion Detection Systemen näher zu vertiefen und den praktischen Einsatz zu verdeutlichen, widmen wir uns nun dem Open-Source IDS Snort. Gegenüber kommerziellen IDS bietet Snort einen besonderen Vorteil, die freie Verfügbarkeit und damit die Tatsache, dass nur die Kosten für die Installation, Konfiguration und Pflege des IDS berücksichtigt werden müssen. Zudem kann sich Snort gut an der Leistung gegenüber kommerziellen Tools messen und zeichnet sich vorallem durch einen guten Datendurchsatz und hohe Leistung aus. Snort ist für fast alle gängigen Betriebssysteme verfügbar und überzeugt durch eine ständige Pflege und Weiterentwicklung. Zusätzlich zu Snort werden aktuelle Regelsätze mitgeliefert, die fast täglich aktualisiert werden. Durch die weite Verbreitung und einer grossen Entwicklungscommunity werden neue Sicherheitslücken sehr schnell entdeckt und neue Regeln zum Signaturenupdate angeboten. Die weite Verbreitung führte zu vielen Organisationen, die eigene Regelsätze erstellen und der Öffentlichkeit bereitstellen. Eine kleine Besonderheit von Snort ist das speziell dafür eingerichtete Forum, an dem man auch auf die Entwickler selber antrifft, ständig Informationen über neue Features erhält und alltägliche Probleme und Lösungen diskutiert werden. 4.2 Analysemöglichkeiten Snort arbeitet nach der Missbrauchserkennung, wie in Abschnitt beschrieben. Dabei existieren vier Möglichkeiten, den Ausführungsmodus von Snort zu konfigurieren. Im Sniffermode wird der aktuelle Netzwerkverkehr einer Netzwerkschnittstelle in einem kontinuierlichem Datenstrom auf der Konsole ausgegeben. Je nach Anforderungen können hier mehr oder weniger Paketdetails angezeigt werden. Die Anzeige allein ist jedoch nicht ausreichend für ein IDS, es benötigt eine Möglichkeit, den Netzwerkverkehr zu protokollieren. Dafür stehen einige Optionen für den Packet Logger Modus zur Verfügung. Beispielsweise kann Snort so konfiguriert werden, dass je nach Protokoll die jeweiligen Pakete in einer speziellen Datei oder Verzeichnis gespeichert werden. Der wohl am häufigsten eingesetzte Modus ist der Network Intrusion Detection System Modus, der sich durch eine hohe Komplexität und sehr umfangreiche Konfigurationsmöglichkeiten auszeichnet. Die nächsten Abschnitte befassen sich ausführlich mit dieser Art der Analyse und dem Einsatz von Snort als effektives IDS. Ein spezieller Modus, der erst später in das Snortprojekt eingegliedert wurde, ist der Inline Mode. Dabei werden Pakete über iptables statt über libpcap erhalten und neue Typen von Regeln benutzt, um Pakete weiterzuleiten oder zu blockieren. Die Regeln basieren hierbei auf Snort- Regeln. Dieser Art der Analyse soll hier jedoch nicht weiter behandelt werden. Damit Snort nicht manuell gestartet bzw. beendet werden muß, wird üblicherweise der Daemon-mode aktiviert. [RoGr05, 1] 4.3 Visualisierung der Ergebnisse Wurde ein Angriff entdeckt und gemeldet, ist es wichtig, die protokollierten Daten zu sichten, um entsprechende Reaktionen auf den Angriff durchzuführen. Snort selber liefert alle Ergebnisse über die Konsole aus, jedoch existieren diverse Zusatzprogramme, welche die jeweiligen Daten

17 Intrusion Detection Systeme 13 graphisch aufbereiten und über eine Benutzerschnittstelle zur Verfügung stellen. Das IDS konzentriert sich ganz allein auf die Aufgabe, den Netzverkehr zu analysieren und nach entsprechenden Regeln Meldungen zu erstellen. Eine vernünftige Auswertung überzeugt jedoch mit Statistiken, Querverbindungen und Suchmöglichkeiten. Hier trumpfen zwei frei verfügbare Zusatztools auf, SnortSnarf und ACID, welche die protokollierten Daten mit umfangreichen Optionen graphisch aufbereiten und in Verbindung mit Snort eingesetzt werden können. [FrSc01] 4.4 Konfiguration Snort arbeitet in erster Linie als regelbasiertes IDS und benötigt deshalb eine Wissensbasis, in der sämtliche Signaturen definiert sind. Unter Signaturen versteht man die Definition der Merkmale eines Paketes, wie beispielsweise die Quell- und Zieladresse oder dessen Dateninhalt. Erst durch Signaturen kann Snort erkennen, ob Pakete erwünscht sind oder abgelehnt werden sollen. Dabei können die erstellten Signaturen z.b. in einfachen Textdateien hinterlegt werden, aber auch umfangreichere Mechanismen wie die Speicherung der Regeln in einer Datenbank sind möglich. Die richtige Konfiguration und Aufstellung der Regeln machen Snort erst zu dem, was ein gutes und effektives IDS auszeichnet und die Sicherheitspolitik eines Unternehmens widerspiegelt. Die nächsten Abschnitte widmen sich deshalb den verschiedenen Konfigurationmöglichkeiten von Snort und demonstrieren an Beispielen, wie spezielle Regeln zur Abwehr von Angriffen entwickelt werden können Include und Variablen Snort bietet einige Scriptelemente an, um der Entwickung und Wartung von Regeln mehr Funktionalität und Handhabung zu liefern. Ein include Schlüsselwort ermöglicht die Einbettung anderer schon definierter Regeln in die aktuelle Regel bzw. Textdatei. Das Verfahren ähnelt sehr an ein #include Statement der Programmiersprache C. Damit wird der Inhalt (typischerweise Snort - Regeln) der angegebenen Datei an die Stelle der aktuellen Datei eingebettet, an dem das include Statement auftritt: include: <include file path/name> Sehr hilfreich ist die Definition von Variablen. Sie beginnen mit dem Schlüsselwort var, gefolgt von dem Namen und dem zugewiesenem Wert der Variable. Ein $-Operator schliesslich setzt den Wert von var und eine zusätzliche Option $(var:-default) liefert "default" zurück, wenn var nicht vorher definiert wurde. Die Verwendung von $(var:?message) schliesslich leifert entweder den Wert von var oder gibt eine Fehlermeldung "message" aus: var MY_IP log tcp any any -> $(MY_IP:?MY_IP is undefined) 23 Hier wird MY_IP mit der lokalen IP-Adresse initialisiert. Kann jedoch MY_IP aus irgendeinem Grund nicht dereferenziert werden, so wird der Fehler "MY_IP is undefined" ausgegeben. [RoGr05, 2.0.1, 2.0.2]

18 Intrusion Detection Systeme Preprocessors Preprocessors sind eine Besonderheit von Snort und machen es zu einem mächtigen Werkzeug bei der Erkennung von Angriffen und der zusätzlichen Optimierung des IDS. Sie erleichtern die Anpassung an die eigenen Anforderungen und unterstützen das IDS bei der Erkennung von verdächtigen Aktivitäten. Preprocessors sind Plugin- Schnittstellen, mit deren Hilfe externe Programme eingebunden werden können. Sie setzen direkt nach der Dekodierung der Pakete an, sortieren die Pakete, bereiten die Daten auf und erkennen mögliche Angriffe in Einzelfällen bereits vor der Anwendung der eigentlichen Regeln. [RoGr05, 2.1] So schlägt der Portscan- Preprocessor beispielsweise Alarm, wenn die Anzahl der Verbindungen einer IP-Adresse innerhalb eines Zeitraums einen voreingestellten Wert überschreitet.[frsc01] Eingebunden werden die Plugins in die Konfigurationsdatei von Snort mit der Syntax: preprocessor <name>: <options>. Mittlerweile stehen Unmengen von hilfreichen Plugins zur Verfügung und die Anzahl neuer Preprocessors nimmt ständig zu. Die Auflistung aller verfügbaren Plugins wäre an dieser Stelle übertrieben, weshalb nur auf einige ausgewählte näher eingegangen werden soll. [RoGr05, 2.1] Portscan Detector Entwickelt wurde das Plugin von Patrick Mullen. Der Portscan Detector überwacht das angegebene Netzwerk auf Portscans, wobei angegeben werden muss, wieviele Ports per UDP / TCP - Verbindung in einer bestimmten Zeit gescannt werden müssen, bevor die entsprechenden Daten in ein angegebenes Logfile geschrieben werden. Das Plugin wird mit folgendem Format in die Konfiguration eingebunden: portscan: <monitored network> <number of ports> <detection period> <logdir/file> Das nachfolgende Beispiel überwacht das Netzwerk /24 auf Portscans und speichert die Paketdaten in /var/log/portscan.log, wenn in dem Zeitraum von 7 Sekunden 5 Ports gescannt werden. [RoGr05, 2.1.1] preprocessor portscan: / /var/log/portscan.log Portscan Ignorehost Im Gegensatz zu Portscan lässt dieses Plugin Portscans zu, die von einer vertraulichen Liste von IP-Adressen stammen. Das macht Sinn, wenn es erwünscht ist, die eigenen Rechner zur Überprüfung von Zeit zu Zeit einem ausführlichen Scan zu unterziehen, um so eventuelle Ports ausfindig zu machen, die von einem bisher unbemerkten Angreifer für seine Zwecke geöffnet wurden. Der Ursprung für die Entwicklung des Plugin lag darin, dass Snort den DNS-Traffic von BIND 8 als Portscan interpretierte. [HiMe01, 6.2.1; RoGr05, 2.1.2] Folgendes Beispiel erlaubt den Rechnern aus den /32- und /24- Netzwerken einen Portscan auf das eigene Netzwerk: portscan-ignorehosts: / / Frag2 Frag2 wurde mit der Version 1.8 in Snort eingegliedert und stellt einen neuen IP- Defragmentierungs-Preprocessor (Zusammensetzung der Daten) dar. Er ist eine Erweiterung des früheren Plugins "defrag" und löst diesen ab. Frag2 verwendet die gleichen

19 Intrusion Detection Systeme 15 Speicherverwaltungsroutinen wie Snort, kann aber effizienter mit dem Speicher umgehen. Die Option memcap gibt das Speicherlimit (max. ca. 4 MB) an und mit timeout kann die Zeitspanne konfiguriert werden, nach der ein unvollständig zusammengesetztes Daten-Fragment verworfen werden soll.[rogr05, 2.1.4] preprocessor frag2: memcap , timeout 30 Das Frag2-Beispiel ist so konfiguriert, dass der max. Speicher Byte und der Timeout 30 Sekunden beträgt Performance Monitor Ein etwas anderes Plugin wird mit dem sogenannten Performance Monitor mitgeliefert. Dieser Preprocessor misst die Performance von Snort zur Laufzeit und das theoretisch maximal Erreichbare. Typischerweise muß hier eine Ausgabemöglichkeit aktiviert sein, entweder per Konsole oder einer Datei, in der die Statistiken festgehalten werden können. Diese Statistiken beinhalten je nach Einstellung beispielsweise die Anzahl der erhaltenen oder versendeten Pakete, die prozentualen Bytes pro Paket, SYN/ACK Pakete pro Sekunde, Anzahl der neuen Session, u.s.w.. [RoGr05, ] Stream4 Stream4 bietet die Möglichkeit, einzelne TCP-Pakete für die Zusammensetzung zu einem Datenstrom vorzubereiten, damit im nächsten Schritt die eingestellten Snortregeln auf einen vollständigen, sortierten und zusammengesetzten Datensatz angewendet werden können. Ein guter Anfang hierfür könnte folgende Option sein: preprocessor stream4: detect_scans Damit wird der Preprocessor angewiesen, einen Alarm auszugeben, sobald ein sog. Stealth- Portscan entdeckt wurde. Dabei versteht man einen Scan, der unentdeckt (stealth) bleiben soll. Hierbei wird ein ungültiges Paket an einen Rechner gesendet, das vom System verworfen wird und dabei unentdeckt (keine Protokollierung vom Betriebssystem) bleibt. Snort kann solche Pakete überwachen und bei speziellen Merkmalen (z.b. einem FIN-Flag) die Daten sammeln und mit Stream4 aufbereiten bzw. für die spätere Analyse vollständig zusammensetzen. [RoGr05, 2.1.5] Output Modules Werden nun Angriffe vom IDS erkannt, können mit Hilfe von Output Modules die entsprechenden Daten nach vereinbarten Mustern dem Sicherheitsbeauftragten übermittelt werden. Output Modules wurden mit Version 1.6 in Snort integriert und erlauben eine umfassend konfigurierbare Ergebnisausgabe. Sie setzen dann ein, wenn das Alarmierungs- bzw. Loggingsystem aufgerufen wird, nachdem die Preprocessors die Pakete verarbeitet haben und die Erkennung stattgefunden hat. Die möglichen Optionen können direkt hinter einer definierten Regel mit folgendem Format eingebunden werden [RoGr05, 2.5]: output <name>: <options> Dabei stehen mehrere Module (<name>) zur Verfügung, die je nach Option die jeweiligen Daten anders aufbereiten. Die wichtigsten und am meisten benutzten sollen hier in Kürze erläutert werden.

20 Intrusion Detection Systeme 16 alert_fast schreibt in einem kurzen Einzeilerformat die Meldung in die angegebene Datei (hier: alert.fast): output alert_fast: alert.fast alert_full protokolliert den vollständigen Paketheader in die angegebene Datei. Wegen einiger Umformatierungen der Daten, ist es eher langsam. alert_smb sendet eine kurze Nachricht an alle in Filename (pro Zeile ein NetBios-Name) angegebenen Rechner und benutzt dabei den smbclient. alert_unixsock öffnet einen Unix Domain Socket, an dem andere Programme lauschen können, um die Ausgabe von Snort in Echtzeit zu analysieren. Dieses Modul ist momentan jedoch noch ein experimentelles Interface. alert_syslog <facility> <priority> erlaubt das Logging über syslog. Die Optionen facility und priority ermöglichen dem Benutzer eine größere Flexibilität der Logging-Alarme. Dabei gibt facility an, welche Art des Programmes in das Systemlog schreibt (z.b. log_auth,log_authpriv, log_daemon...) und priority, wie kritisch die Meldung für den Betrieb des Systems ist (z.b. log_emerg, log_alert, log_err). Nähere Informationen erhält man z.b. unter Linux von der man- Page von syslog. log_tcpdump protokolliet die Meldungen von Snort im tcpdump-format, was besonders für eine nachträgliche Analyse der Daten hilfreich sein kann. database <log alert>, <database type>, <parameter list> ermöglicht es Snort, die anfallenden Daten in einer SQL-Datenbank zu speichern (z.b mysql). Die Parameter, die angegeben werden können, sind dabei stark von der verwendeten Datenbank abhängig. Typische Parameter sind host (Rechner, auf dem die Datenbank liegt), die Portnummer port, um die Verbindung zum Datenbankserver zu erstellen, dbname (Name der Datenbank), password, u.s.w.. Eine komplette Auflistung aller Parameter findet sich in [RoGr05, ] wieder. [RoGr05, 2.5] 4.5 Snort - Regeln Die eigentliche individuelle Anpassung an des eigene Netzwerk und die dafür vorgesehenen Sicherheitsanforderungen werden mit Regeln realisiert. Snort basiert auf einer einfachen, "lightweight" Regelbeschreibungssprache, welche sich durch Flexibilität auszeichnet und ein ziemlich mächtiges Werkzeug darstellt. Mit ein wenig Übung können schnell anspruchsvolle Regeln entwickelt werden und damit die Effektivität des IDS gesteigert werden. Die meisten Snortregeln sind in einer Zeile geschrieben, was daran lag, dass in früheren Versionen (< 1.8) diese Anforderung an Regeln vorgeschrieben war. Mittlerweile können Regeln über mehrere Zeilen aufgespannt werden, indem ein "\" an das Ende einer Zeile hinzugefügt wird. Snortregeln sind aufgeteilt in zwei logische Bestandteile, der Rule Header und die Rule Options, die im Folgenden ausführlich beschrieben werden. [RoGr05, 3.1š] Rule Header Der Rule Header legt fest, was geschehen soll, wenn eine bestimmte Signatur auf das Paket zutrifft und bestimmt über das Protokoll, die IP-Adresse und den Port eine grobe Vorauswahl. Bestandteile eines Rule-Headers sind action, protocol, source- bzw. destination-ip-adresse / -Port, und die direction. Abbildung 4.1 zeigt einen typischen Rule-Header:

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Zeiterfassungsanlage Handbuch

Zeiterfassungsanlage Handbuch Zeiterfassungsanlage Handbuch Inhalt In diesem Handbuch werden Sie die Zeiterfassungsanlage kennen sowie verstehen lernen. Es wird beschrieben wie Sie die Anlage einstellen können und wie das Überwachungsprogramm

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

4.3 Einbruchsentdeckung Intrusion Detection

4.3 Einbruchsentdeckung Intrusion Detection 4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Vorbereitung Intrusion Detection II Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Network Intrusion Detection

Network Intrusion Detection System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Graphing - SNMP DATA - MRTG II

Graphing - SNMP DATA - MRTG II Graphing - SNMP DATA - MRTG II Netzwerkmanagement Software hat sich in den letzten Jahren vom hilfreichen Produkt zur integralen Grundlage für den professionellen IT Betrieb gewandelt. Grosse und leistungsfähige

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

Netzwerke 3 Praktikum

Netzwerke 3 Praktikum Netzwerke 3 Praktikum Aufgaben: Routing unter Linux Dozent: E-Mail: Prof. Dr. Ch. Reich rch@fh-furtwangen.de Semester: CN 4 Fach: Netzwerke 3 Datum: 24. September 2003 Einführung Routing wird als Prozess

Mehr

Installation von sonogdt

Installation von sonogdt Installation von sonogdt Installieren Sie sonogdt am Server bzw. Hauptrechner Ihrer Praxis in eine lokale Festplattenpartition, keinesfalls in eine Freigabe oder ein verbundenes Laufwerk. Behalten Sie

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner?

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner? Wie findet ein IP Paket den Weg zum Zielrechner? Bildung von Subnetzen, welche über miteinander verbunden sind. Innerhalb einer Collision Domain (eigenes Subnet): Rechner startet eine ARP (Address Resolution

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

LaMa-Creation Portscanner

LaMa-Creation Portscanner LaMa-Creation Portscanner Seite 1 von 12 Seite 2 von 12 Inhaltsverzeichnis Einleitung...4 Systemanforderung...5 Hardware:...5 Software:...5 Unterstützte Clientbetriebssysteme:... 5 Unterstützte Serverbetriebssysteme:...5

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Tutorial Grundlagen der Softwareverteilung

Tutorial Grundlagen der Softwareverteilung Tutorial Grundlagen der Softwareverteilung Inhaltsverzeichnis 1. Einführung... 3 2. Clientsysteme einrichten... 3 2.1 Den SDI Agent verteilen... 3 2.2 Grundeinstellungen festlegen... 4 3. Softwareverteiler...

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle 1. Funktion und Voreinstellung Der EFB-EXP-72a basiert auf der Funktionsweise des Funkempfängers EFB-RS232 mit dem Unterschied,

Mehr

Kapitel 4 Zugriffsbeschränkungen

Kapitel 4 Zugriffsbeschränkungen Kapitel 4 Zugriffsbeschränkungen In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk durch Zugriffsbeschränkungen des 54 MBit/s Wireless Router WGR614 v6 schützen können. Diese Funktionen finden Sie im

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Mobile Security Configurator

Mobile Security Configurator Mobile Security Configurator 970.149 V1.1 2013.06 de Bedienungsanleitung Mobile Security Configurator Inhaltsverzeichnis de 3 Inhaltsverzeichnis 1 Einführung 4 1.1 Merkmale 4 1.2 Installation 4 2 Allgemeine

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Wenn Sie Benutzer von ProtectOn 2 sind und überlegen, auf ProtectOn Pro upzugraden, sollten Sie dieses Dokument lesen. Wir gehen davon aus, dass

Mehr

Synchronisation des Temperatur-Loggers

Synchronisation des Temperatur-Loggers Synchronisation des Temperaturloggers Juni 10, 2010 1 / 7 Synchronisation des Temperatur-Loggers Einführung Zwei oder mehr Installationen der Temperaturlogger-Software können so zusammen geschaltet werden,

Mehr

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation.

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation. OLXConvert aus der Reihe Praxisorientierte Tools für MS-Outlook und MS-ExchangeServer Copyright by Nelkenstrasse 16 73540 Heubach-Lautern Tel: +49 (7173) 92 90 53 E-Mail: info@gangl.de Internet: http://www.gangl.de

Mehr

Internet Security 2009W Protokoll WLAN Relay

Internet Security 2009W Protokoll WLAN Relay Internet Security 2009W Protokoll WLAN Relay Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 23. Dezember 2009 1 Inhaltsverzeichnis

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

ISA Server 2004 Protokollierung - Von Marc Grote. Die Informationen in diesem Artikel beziehen sich auf:

ISA Server 2004 Protokollierung - Von Marc Grote. Die Informationen in diesem Artikel beziehen sich auf: ISA Server 2004 Protokollierung - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Im Artikel Übersicht Monitoring wurde eine Zusammenfassung aller Überwachungsfunktionen

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Problembehandlung bei Windows2000- Netzwerkdiensten

Problembehandlung bei Windows2000- Netzwerkdiensten Unterrichtseinheit 15: Problembehandlung bei Windows2000- Netzwerkdiensten Die Windows2000-Netzwerkinfrastruktur besteht aus vielen verschiedenen Komponenten und Verbindungen, in denen Netzwerkprobleme

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 2 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Server Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU) Danziger

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Software-Projekt: Mensch ärgere Dich nicht. Dokumentation Softwareprojekt: Mensch ärgere Dich nicht

Software-Projekt: Mensch ärgere Dich nicht. Dokumentation Softwareprojekt: Mensch ärgere Dich nicht Dokumentation Softwareprojekt: Mensch ärgere Dich nicht Das Programm Mensch ärgere Dich nicht ermöglicht das Spielen des gleichnamigen Spieles über Netzwerke. Jeder Spieler verfügt dabei über einen Clienten,

Mehr

Benutzer-Handbuch. HTTP-Zugang HTTPS-Zugang

Benutzer-Handbuch. HTTP-Zugang HTTPS-Zugang Benutzer-Handbuch HTTP-Zugang HTTPS-Zugang 1.04 / 02.12.2004 Copyright (2000-2003) Alle Rechte vorbehalten Dolphin Systems Samstagernstr. 45 CH-8832 Wollerau Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Einleitung

Mehr

Die Hifidelio App Beschreibung

Die Hifidelio App Beschreibung Die Hifidelio App Beschreibung Copyright Hermstedt 2010 Version 1.0 Seite 1 Inhalt 1. Zusammenfassung 2. Die Umgebung für die Benutzung 3. Der erste Start 4. Die Ansicht Remote Control RC 5. Die Ansicht

Mehr

Was ist FoldingObserver?

Was ist FoldingObserver? Version 1.4 Sebastian Sparrer Was ist FoldingObserver? Sie stellen ungenutzte Prozessorleistung für Folding@Home zur Verfügung, und

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2 Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2 DynDNS-Accounts sollten in regelmäßigen Abständen mit der vom Internet-Provider vergebenen IP- Adresse (z.b. 215.613.123.456)

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 1 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Netzwerkserver Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU)

Mehr

Technische Anforderungen. zum Empfang. von XML-Nachrichten

Technische Anforderungen. zum Empfang. von XML-Nachrichten Technische Anforderungen zum Empfang von XML-Nachrichten 25.11.2004 Peer Uwe Peters 2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS... 2 2 ZIEL DIESES DOKUMENTS... 3 3 KONTEXT... 3 4 SENDEWEG... 4 5 ERREICHBARKEIT...

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

SCADA SOFT AG. Technische Fragen zu Wizcon (TFW035): Installation von Apache 1.3.x / 2.0.x

SCADA SOFT AG. Technische Fragen zu Wizcon (TFW035): Installation von Apache 1.3.x / 2.0.x Wiesengasse 20 CH-8222 Beringen TFW035_Installation_von_Apache.doc Tel: +41 52 687 20 20 Fax: +41 52 687 20 29 Technische Fragen zu Wizcon (TFW035): Installation von Apache 1.3.x / 2.0.x Voraussetzung

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr.

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr. Aufgaben einer Firewall Eine Firewall überwacht den sie durchquerenden Datenverkehr. Firewalls Dabei entscheidet die Firewall anhand vorher festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Andreas Teuchert 15. Juli 2014 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Themen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes

Themen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes Themen Apache Webserver Konfiguration Verzeichnisse für Web-Applikationen Server Side Includes Apache Webserver Konfiguration des Apache Webservers Server-Einstellungen in der httpd.conf-datei Einteilung

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Enterprise Computing Einführung in das Betriebssystem z/os. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth WS2012/2013. WebSphere MQ Teil 3

Enterprise Computing Einführung in das Betriebssystem z/os. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth WS2012/2013. WebSphere MQ Teil 3 UNIVERSITÄT LEIPZIG Enterprise Computing Einführung in das Betriebssystem z/os Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth WS2012/2013 WebSphere MQ Teil 3 Trigger el0100 Copyright W. G. Spruth,

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Monitoring Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen

Mehr

Nachtrag zur Dokumentation

Nachtrag zur Dokumentation Nachtrag zur Dokumentation Zone Labs-Sicherheitssoftware Version 6.5 Dieses Dokument behandelt neue Funktionen und Dokumentaktualisierungen, die nicht in die lokalisierten Versionen der Online-Hilfe und

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

IDS/IPS Intrusion Detection System/Intrusion Prevention System

IDS/IPS Intrusion Detection System/Intrusion Prevention System IDS/IPS Intrusion Detection System/Intrusion Prevention System Benjamin Lietzau & Philipp Meyer Sommersemester 2012 Seminar im Modul: Kommunikationstechnik/Netzwerke Dozent: Prof. Dr. Stefan Wolf 1 Themenüberblick

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr