Intrusion Detection, Snort

Größe: px
Ab Seite anzeigen:

Download "Intrusion Detection, Snort"

Transkript

1 Intrusion Detection, Snort SEMINARARBEIT im Rahmen des Seminars "Sicherheit im Internet" Lehrstuhl für Softwaretechnik und Programmiersprachen Betreut von: Simon Bäumler, Dipl. Inf. Vorgelegt von: Andreas Hahn

2 Inhaltsverzeichnis i Inhaltsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis i ii 1. Einleitung 1 2. Grundlagen Einführung in den Begriff Entwicklung des Gebietes Intrusion Detection 2 3. Intrusion Detection Systeme Klassifikation Netzwerkbasierte IDS Hostbasierte IDS Anwendungsbasierte IDS Komponenten Datensammlung Datenanalyse Missbrauchserkennung Anomalieerkennung Ergebnisdarstellung Eingliederung in die lokale Netzwerkstruktur Angriffe auf Computer und Netze Angriffsklassifikation Angriffsbeispiele Scan-Attacken Denial-of-Service - Attacken Erkennung von Angriffen Intrusion Response - Gegenmaßnahmen Identifizierung des Angreifers Verhinderung von Schaden mittels Gegenangriff Verhinderung von Schaden mittels Abschottung IDS als Angriffspunkt Insertion Evasion 11

3 Inhaltsverzeichnis i 4. Snort Allgemeines Analysemöglichkeiten Visualisierung der Ergebnisse Konfiguration Include und Variablen Preprocessors Portscan Detection Portscan Ignorehost Frag Performance Monitor Stream Output Modules Snort - Regeln Rule Header Rule Options msg reference content nocase, depth, offset ttl rpc sameip resp session React Gefahren bei Fehlkonfiguration False Positives False Negatives Zusammenfassung und Ausblick 23 Literaturverzeichnis 24

4 Abbildungsverzeichnis ii Abbildungsverzeichnis Abbildung 3-1 IDS Zonenmodell 6 Abbildung 3-1 Invasion - Bsp. 11 Abbildung 4-1 Rule Header 16 Abbildung 4-2 Rule Options 18

5 Einleitung 1 1. Einleitung Beinahe täglich liest man von neuen Angriffen wie Viren oder Trojanern auf Computer und Netzwerke. Besonders Firmennetzwerke sind davon betroffen und stehen stets den Bedrohungen gefährlicher Attacken gegenüber. Ständig wechselnde Techniken und der ökonomische Druck bringen kommerzielle Entwickler immer öfter dazu, wichtigen Sicherheitsaspekten immer weniger Beachtung zu widmen und Fehler erst dann zu beseitigen, wenn sie vom Benutzer gemeldet werden. Allein Scriptsprachen wie JavaScript und ActiveX installieren oft ohne Kenntnis des Benutzers automatisch Software auf einem Rechner und erlangen dadurch meist gefährlichen Zugriff auf sicherheitskritische Systemressourcen. Daneben werden Angriffsmöglichkeiten und bekannt gewordene Sicherheitslücken schnell von Angreifern und Hackern über das Internet verbreitet, die zudem immer bessere Möglichkeiten erlangen, Angriffe durchzuführen. Nur in einem verschlossenen Safe und ohne Verbindung zur Außenwelt sind Computer wirklich (einbruch-) sicher. Schutzmaßnahmen wie Firewalls können das Risiko eines Einbruchs zwar reduzieren, aber nie völlig eliminieren. Programmfehler, nachlässige Konfiguration oder leichtsinnige Benutzer eröffnen immer wieder neue Möglichkeiten, über die ein Angreifer in den Rechner gelangen bzw. geheime Daten nach draußen schmuggeln kann. Um dem entgegen zu wirken, haben sich in den letzten Jahren Intrusion Detection Systeme entwickelt, die in Echtzeit den Netzverkehr analysieren, anhand Regeln bösartige Aktivitäten erkennen und bei Bedarf Gegenmaßnahmen einleiten, um Angriffe abzuwehren, zu protokollieren oder den Administrator zu informieren. Diese Arbeit bietet eine grundlegende Einführung in das Gebiet Intrusion Detection. Sie beschäftigt sich mit den Merkmalen, der Funktionalität und den wesentlichen Komponenten, die ein Intrusion Detection System auszeichnen. Dabei werden mögliche Angriffe und Erkennungstechniken anhand Beispielen näher beschrieben und mögliche Gegenmaßnahmen erläutert. Am Open-Source-Beispiel Snort werden die Techniken und Konfigurationsmöglichkeiten eines Intrusion Detection Systems genauer vorgestellt und sollen dem Leser neben einer ausführlichen Einführung vermitteln, daß die Einrichtung eines IDS nicht zwingend mit einem großen Aufwand verbunden ist. [FrSc01] Im ersten Teil der Arbeit werden zunächst die Grundlagen, die Funktionalität und die wichtigsten Komponenten von Intrusion Detection Systemen erläutert, während der zweite Teil darauf aufbauend in die praktische Anwendung zielt. Dabei wird das Open-Source-IDS Snort vorgestellt, dessen Konfiguration und die Entwicklung von Snort-Regeln zur effektiven Abwehr gegen mögliche Angriffe.

6 Grundlagen 2 2. Grundlagen 2.1 Einführung in den Begriff Unter dem Begriff Intrusion Detection wird die aktive Überwachung von Computersystemen und / oder -netzen mit dem Ziel der Erkennung von Angriffen und Mißbrauch verstanden. Dabei findet sich die Hauptaufgabe von Intrusion Detection in der Filterung von allen im Überwachungsbereich stattfindenden Ereignissen wieder, die auf Angriffe, Mißbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Hierbei sollen alle Ereignisse zeitnah erkannt und gemeldet werden. [ConS02, 1.1] Ein Intrusion Detection System kann mit einer Alarmanlage verglichen werden. Gelingt es beispielsweise einem Angreifer trotz dem Schutzmechanismus einer Firewall, ein Virenprogramm zu installieren und auch zu aktivieren, so kann das IDS einen Alarm auslösen und den zuständigen Sicherheitsbeauftragten per , Pager u.s.w. informieren. Dabei übermittelt das IDS ausführliche Informationen zu dem aufgetretenen Angriff, um darauf aufbauend geeignete Gegenmaßnahmen einzuleiten. Im schlimmsten Fall kann dies sogar bedeuten, das System herunterzufahren oder in den Single-User-Mode zu bringen, um es keinem weiteren Mißbrauch auszusetzen und mit der Behebung des ausgenutzten Fehlers zu beginnen. [HeKa98, 1.4] 2.2 Entwicklung des Gebietes Intrusion Detection Bevor die wesentlichen Komponenten und Funktionalität von IDS näher beschrieben werden, widmen wir uns der Entstehung des Gebietes, einem noch relativ jungen Teilgebiet der IT- Sicherheit, dass jedoch gerade in den letzten Jahren einen steten Fortschritt verzeichnen konnte. Die ersten ID-Systeme untersuchten ausschließlich die vom Betriebssystem erzeugten Protokolldaten (sog. Auditdaten) im Hinblick auf mögliche Angriffe. Diese Datenmenge kann jedoch während eines normalen Systembetriebs sehr schnell groß und unhandlich werden. Prinzipiell existieren zwei Möglichkeiten, damit umzugehen. Den Auditmechanismus so zu verbessern, dass nur relevante Handlungen protokolliert werden bzw. Werkzeuge bereitzustellen, die es dem Sicherheitsbeauftragten gestatten, sich auf relevante Ereignisse zu konzentrieren. Sowohl Forscher im Bereich Rechnersicherheit als auch Systemadministratoren widmeten sich der Enwicklung von Werkzeugen zur automatischen Analyse von Auditdaten, die jedoch noch wenig Effektivität aufweisen konnten. Der Hauptansatz war dabei der Versuch, die uninteressanten Ereignisse herauszufiltern und die Möglichkeit zu bieten, die Restmenge manuell zu verarbeiten. Hieraus entwickelte sich schließlich das Forschungsgebiet Intrusion Detection, dass versuchte, diese Ansätze auf die Weise zu erweitern, die Auditdaten nach bekannten Angriffsmustern und Evidenz für anomales Benutzerverhalten zu durchsuchen. Besonders in den letzten Jahren machte diese Entwicklung einen enormen Fortschritt und entwickelt sich ständig weiter. Der richtige Durchbruch läßt jedoch noch auf sich warten, was vor allem daran liegt, dass der Erfolg eines IDS von der Wahl der richtigen Parameter und Konfiguration zusammenhängt und viele ID-Techniken eher einfach gehalten sind. Oft ähneln sie früheren Expertensystemen und benötigen Eigenschaften, die nicht im direkten Zusammenhang mit der Entdeckung von Angriffen stehen. [HeKa98, 1.4]

7 Intrusion Detection Systeme 3 3. Intrusion Detection Systeme 3.1 Klassifikation Der übliche Weg, Intrusion Detection Systeme zu klassifizieren, ist die Gruppierung nach der Informationsquelle. Während die meisten IDS Netzwerk-Pakete aus Netzwerkbackbones und LAN analysieren, untersuchen andere IDS die Informationsquellen des Betriebssystems oder diverser Applikationssoftware nach Kennzeichen für Angriffen Netzwerk-basierte IDS Die meisten IDS werden als netzwerk-basierte Intrusion Detection Systeme eingesetzt. Netzsensoren überwachen den Netzverkehr eines Rechners oder eines ganzen Teilnetzes auf verdächtige Ereignisse. Dabei werden für Netzsensoren typischerweise separate Rechner eingesetzt, so dass andere Applikationen nicht gestört werden. Diese Einheiten überwachen dann den gesamten Netzwerkverkehr, führen lokale Analysen durch und übermitteln Attacken an eine zentrale Managementkonsole. Die meisten dieser Sensoren arbeiten im sogenannten 'stealth'-modus, um es möglichen Angreifern zu erschweren, ihren Ort und Präsenz zu ermitteln. Die größten Vorteile eines Netzbasierten IDS sind die Entlastung von Endsystemen (Server, Hosts) und die Erkennung von netzbasierten Angriffen, die sich gegen mehrere Zielsysteme richten. Jedoch wird es für die heutigen Sensoren immer schwerer, Netze mit sehr hoher Netzlast (ab 100 Mbps) bei gleichzeitig hoher Paketdichte vollständig zu überwachen. Gründe dafür sind die zur Verarbeitung notwendige hohe Rechenleistung und Performance bei Zugriffen auf Signaturdatenbanken, die in dedizierten Netzsensoren meist nur unter sehr hohem technischen Aufwand erbracht werden können. [BaMeoJ, S. 15; Lain00, S. 1] Host-basierte IDS Um speziell einen individuellen Rechner zu überwachen, werden Host-basierte IDS eingesetzt. Dabei werden Aktivitäten mit großer Zuverlässigkeit und Präzision analysiert, um einzelne Attacken von Prozessen oder Benutzern auf einem Betriebssystem exakt zu erkennen. Beispiele dafür sind Rechteüberschreitungen von Nutzern, Login-Fehlversuche oder eingeschlichene Trojaner. Daneben können sie genau erkennen, welche Dateien und Systemprozesse von einem möglichen Angriff betroffen sind. Einige host-basierte IDS werden oft dafür eingesetzt, um zentral eingerichtete IDS zu unterstützen und damit einem einzelnen Managementsystem durch die Übermittlung von wichtigen Informationen die Möglichkeit zu bieten, mehrere Rechner zu überwachen. Im Gegensatz zu Netzsensoren sind Host-basierte IDS in der Lage, die tatsächliche Reaktion eines Systems zu überwachen, jedoch müssen sie dazu auf jedem zu überwachenden Host installiert werden und speziell an die entsprechende Plattform angepaßt werden. Im Allgemeinen erfordert der Einsatz hostbasierter IDS damit mehr Kosten und Aufwand gegenüber Netzsensoren. [BaMeoJ, S. 16; Lain00, S. 1] Anwendungs-basierte IDS Eine spezielle Form von hostbasierten IDS findet sich in anwendungsbasierten IDS wieder, die insbesondere Ereignisse überwachen, die mit einer individuellen Software zusammenhängen. Sie

8 Intrusion Detection Systeme 4 werden hauptsächlich dafür eingesetzt, um verdächtiges und unauthorisiertes Verhalten zwischen Benutzern, der Anwendung und damit verbunden Daten zu erkennen. [BaMeoJ, S. 17] 3.2 Komponenten Grundsätzlich bestehen Intrusion Detection Systeme aus drei Hauptkomponenten, die Datensammlung, Datenanalyse und Ergebnisdarstellung, die im Folgenden genauer erklärt werden Datensammlung Im ersten Schritt werden Daten und Informationen gesammelt, die für die anschließende Analyse verwendet werden. Hier ist es wichtig, aus welcher Quelle die Daten zur Erkennung von Angriffen genommen werden. Die beste Analysekomponente ist wirkungslos, wenn ihr nicht ausreichend Daten zur Verfügung stehen. Am Beispiel eines netzbasierten IDS sind dies hauptsächlich Pakete, die das Netzwerk passieren. Damit verfolgen die Systeme einen präventiven Ansatz, da Angriffe genau dann erkannt werden können, während sie stattfinden und gegebenfalls Gegenmaßnahmen eingeleitet werden können. Informationen können sowohl quantitativer, z.b.: der Port 5800 empfing während der letzten Sekunde 20 SYN-Pakete, als auch qualitativer Art sein, etwa der folgenden Art: Benutzer Alice versendete eine , kurz nachdem er sich am System angemeldet hat. Allgemein existieren drei Haupt-Datenquellen, die unterschieden werden können. Zum einen sind dies Auditdaten aus diversen Systemeinheiten auf einer hohen Abstraktionsebene (z.b.: "Wer hat sich angemeldet?" oder "Wann traten Schutzverletzungen auf?"), die einen chronologischen Ereignistrom widerspiegeln. Daneben werden Parameter wie CPU-Auslastung, Ein-/Auslagerungsrate des virtuellen Speichers oder die Anzahl aktiver Netzverbindungen als Informationen über die Betriebsmittelvergabe durch das Betriebssystem zusammengefasst und als weitere Quelle werden wichtige Informationen wie Quell- und Zieladresse eines Pakets, sowie Quell- und Ziel-Ports dem Netzverkehrdurchsatz zugeschrieben. [HeKa98, 2.2.2] Datenanalyse Der eigentliche Erkennungsprozess eben gesammelter Daten findet in der Analysephase eines IDS statt. Diese kann in zwei unterschiedliche Techniken getrennt werden, die im Folgenden näher beschrieben werden Missbrauchserkennung Das Open-Source IDS Snort arbeitet mit dem Ansatz der Missbrauchserkennung. Dabei wird versucht, typische Muster für bekannte Angriffe in den gesammelten Auditdaten zu erkennen. Vor allem sogenannte "String Matching"-Algorithmen kommen hierbei zum Einsatz, wobei gewisse Anforderungen an den zu erkennenden Angriff gestellt werden. Es ist wichtig, zu wissen, worauf die Attacke basiert (z.b. ICMP-Ping-Pakete mit kritischer Größe), welche Signaturen speziell für die abzudeckenden Angriffe vorliegen müssen und diese Signaturen müssen für das IDS zugänglich gespeichert sein. Die Menge an Angriffsmustern liegt dabei in

9 Intrusion Detection Systeme 5 einer Datenbank, die als zentrale Komponente des Missbrauchserkennungssystem angesehen werden kann. Speziell Snort bietet hier eine bereits große Menge an möglichen Signaturen an, die über das Internet zur Verfügung gestellt werden. [BaMeoJ, S. 18] Anomalieerkennung Ein zweiter Ansatz der möglichen Analyse ist die Anomalieerkennung. Sie stellt eine Art Heuristik dar und versucht dabei, auch unbekannte Angriffe zu lokalisieren, die ein atypisches Systemverhalten erzeugen. Um diese Art von Attacken zu erkennen, ist es zuerst wichtig, innerhalb des zu schützenden Systems festzulegen, was unter "normalem Verhalten" verstanden wird. Dabei gibt es einen statischen und logischen Ansatz. Unter einem statischen Ansatz versteht man die Festlegung der Normalwerte einer bestimmten Parametermenge und deren Standardabweichung. So kann z.b. für die CPU-Auslastung der zustandsunabhängige Mittelwert gewählt werden. Sobald sich dann ein Parameter ausserhalb des für ihn als normal definierten Intervall bewegt, wird ein Alarm ausgegeben, der natürlich zusätzlich Informationen über die Abweichung mitteilen kann. Dem gegenüber steht der logische Ansatz, der die zeitliche Abfolge von Systemereignissen betrachtet, die mit Hilfe von Regeln beschrieben werden können. Die definierten Ereignisfolgen werden dann als systemtypisch angesehen und jede Abweichung davon kann als anomal bewertet werden. Auch Snort kann auf diese Weise analysieren, vorausgesetzt es sind die richtigen Zusatzmodule installiert, auf die später noch eingegangen wird. [BaMeoJ, S. 19; HeKa98, 2.2.5] Ergebnisdarstellung Der letzte Schritt einer Intrusion Detection ist die Darstellung der Ergebnisse der Analyse, die je nach Erkennungstechnik anderst ausgeführt wird. Wurde ein Angriff mit Hilfe einer entsprechenden Signatur erkannt (Missbrauchsanalyse), so wird er durch eine entsprechende Ausgabe gemeldet, andernfalls meldet das IDS keine Aktivität. Somit liefert diese Art der Erkennung keine kontinuierlichen Werte, anhand derer der potentiell mögliche Schaden eines Angriffes abgeschätzt werden kann. Anomalieerkennungssysteme bieten dagegen eine Verdachtsbewertung, die angeben, wie stark das aktuelle Verhalten vom vorher definierten Normwert abweicht. Dabei kann man nicht immer genau zwischen einer Missbrauchserkennung und einer Anomalieerkennung differenzieren. Die Darstellung der Ergebnisse kann dann auf die verschiedensten Arten erfolgen. Neben benutzerfreundlichen Oberflächen bis zu Pager-Diensten sind mehrere Alternativen möglichen, die je nach Anforderung ausgewählt werden können. Speziell Snort bietet hier eine umfassende Konfiguration sogenannter Output-Modules, die später näher erleutert werden. [HeKa98, 2.2.6]

10 Intrusion Detection Systeme Eingliederung in die lokale Netzwerkstruktur Je nach Anforderung an das Sicherheitsmaß kann ein IDS nach verschiedenen Ansätzen in die lokale Netzwerkstruktur eingegliedert werden. Hier sollen nur die wichtigsten Prinzipien und Vorgehensweisen erläutert werden, einen umfangreichen Einblick in mögliche Basisarchitekturen findet sich in [ConS02, 4] wieder. Intrusion Detection Systeme werden oftmals mit einer Firewall in Verbindung gebracht oder damit verwechselt. Jedoch unterscheiden sich beide in der Art der Kontrolle und ihren Einsatzpunkten. Kein System kann das andere ersetzten, sondern lediglich das andere System in dessen Funktionalität erweitern. Beispielsweise können Firewalls nur Angriffe abwehren, die über sie stattfinden, sie sind aber nicht in der Lage, Schutz gegen Attacken auf interne Systeme zu gewährleisten, die im lokalen Netz ausgelöst werden. IDS dagegen können sowohl den Datenfluß als auch Serveraktivitäten im internen Netz überwachen. [ConS02, 2.2.5] Die Eingliederung eines IDS in das jeweilige Netzwerk kann durch ein sogenanntes Zonenmodell realisiert werden. Dabei wird zwischen einer roten, grünen und blauen Zone unterschieden. Die rote Zone befindet sich direkt an der Verbindung nach 'außen', dem Internet und stellt damit auch den Bereich mit dem höchsten Risiko dar. Hierbei wird das IDS direkt vor einer Firewall plaziert und überwacht den gesamten Verkehr, der das interne Netz verlässt und aus dem Internet in das Netz gelangt. Direkt hinter der roten Zone und einer Firewall beginnt die grüne Zone, an der ein IDS beispielsweise den ein-/ausgehenden Verkehr eines Webservers analysieren kann. Das IDS kann hier weniger empfindsam konfiguriert werden, weil davon auszugehen ist, dass die Firewall nur bekannten und authorisierten Traffic passieren lässt. Heutzutage stellt jedoch nicht mehr nur der Verkehr, der von aussen in ein Netzwerk dringt, eine mögliche Gefahr dar, sondern vor allem auch der Verkehr im Inneren des Netzes. Oft sind eigene Mitarbeiter, Würmer, Trojaner o.ä. die eigentliche Gefahr, die im Inneren des Netzes ansetzt. An diesem Punkt beginnt die blaue Zone mit einem individuellen IDS, das eben angesprochene Gefahren verhindern soll. Üblicherweise sollten hier am wenigsten Alarme gemeldet werden, dem gegenüber aber auch die stärksten Gegenreaktionen einsetzen, wenn dies doch der Fall ist. Abbildung 3.1 veranschaulicht den Einsatz eines Zonenmodells. [Sanc00] IDS Firewall IDS Rote Zone Internet Webserver Grüne Zone IDS Router Abbildung 3.1 IDS-Zonenmodell blaue Zone

11 Intrusion Detection Systeme Angriffe auf Computer und Netze Um die grundlegenden Mechanismen der Angriffserkennung zu verstehen, benötigt man eine genaue Kenntnis darüber, welche Arten von Angriffe auf ein System oder Netz eigentlich möglich sind. Je nach Angriffsart kann das IDS danach konfiguriert werden und ist deshalb immer nur so effektiv, wie es vom Menschen eingestellt wurde. Eine individuelle und speziell an die Sicherheitsanforderungen eines Firmennetzwerkes angepaßte Konfiguration erfordert deshalb auch sehr viel Erfahrung und Übung. Im Folgenden werden mögliche Attacken klassifiziert und einige ausgewählte Beispiele näher beschrieben. Die Darstellung und Erklärung im vollen Umfang aller möglichen Angriffsarten würde den Rahmen dieser Arbeit sprengen, weshalb an dieser Stelle auf die Quelle [HeKa, 2.1] verwiesen sei, die eine ausführliche Beschreibung für Angriffe auf allen Ebenen bereitstellt Angriffsklassifikation Grundsätzlich lassen sich die verschiedenen Angriffsmöglichkeiten in vier unterschiedliche Kategorien von Sicherheitsverletzungen unterteilen. Verletzung der Verfügbarkeit, Integrität, Vertraulichkeit oder Kontrolle. Eine Verfügbarkeitsverletzung tritt dann auf, wenn durch einen Angriff verhindert wird, dass ein authorisierter Benutzer (Mensch oder Maschine) Zugriff auf Systemressourcen (Daten, Dienste) hat, die er benötigt. Treten solche Verletzungen beispielsweise massiv bei dem Transport von Daten auf, handelt es sich um einen Denial-of- Service-Angriff. Von Integritätsverletzungen wird dann gesprochen, wenn es einem Angreifer gelingt, Daten auf einem Rechner oder während eines Transports zu modifizieren. Bekommt ein unauthorisierter Benutzer die Möglichkeit, Daten während eines Transports abzuhören oder Lesezugriff auf geschützte Daten zu erhalten, so handelt es sich um eine Verletzung der Vertraulichkeit. Kontrollverletzungen können schließlich sowohl auf Netzressourcen, als auch Rechnerressourcen erfolgen. Hierbei umgeht ein Angreifer z.b. eine Firewall-Komponente und erhält so Zugriff zum Netz und kann dann eventuell gefährliche Pakete durchschleusen. Ja nach Art des Zugriffs und der dabei erlangten Benutzerrechte können weitere Folgeschäden entstehen. Diese können wiederum zum Verlust der Vertraulichkeit, Integrität und Verfügbarkeit führen. [BaMeoj, S.40] Angriffsbeispiele Zur Veranschaulichung möglicher Angriffe werden im Folgenden zwei typische Arten näher beschrieben, die auch von IDS und insbesondere Snort erkannt und gemeldet werden. Ein IDS- Operator muß dabei den Unterschied der Angriffstypen verstehen und unterschiedlich darauf reagieren Scan-Attacken Üblicherweise erfolgt der eigentliche Angriff erst dann, wenn der Angreifer zusätzliche Informationen über das Zielsystem gesammelt hat. Um diese zu erhalten, werden sogenannte Scan-Attacken durchgeführt, die zwar als Angriffe bezeichnet werden, aber keinen direkten Schaden hinterlassen. Dabei sendet ein Angreifer verschiedene Pakete an das Zielsystem und kann anhand der Antworten auf Merkmale und Schwachstellen des Systems schließen. Mit einem aktiven TCP Port Scan ist es beispielsweise möglich, herauszufinden, welche TCP-

12 Intrusion Detection Systeme 8 basierten Dienste von einem Zielsystem angeboten werden. Mit einer Scan-Attacke erlangt ein Angreifer Informationen über die Netzwerktopologie, welche Arten von Netzwerktraffic durch die Firewalls erlaubt sind, welches Betriebssystem eingesetzt wird, momentan aktive Rechner im LAN, u.s.w.. Unglücklicherweise ist diese Art von Angriffen sogar rechtlich erlaubt, weil es mit einer Internetsuche nach öffentlich zugreifbaren Ressourcen gleichgesetzt wird. [BaMeoJ, S.41] Denial-of-Service - Attacken Denial-of-Service Attacken haben das Ziel, ausgewählte Systeme oder Dienste vorübergehend unerreichbar zu machen, indem sie ein System dazu bringen, zu viele Ressourcen zu reservieren oder das Zielsystem mit Nachrichten zu fluten, so dass es entweder nur noch sehr langsam oder gar nicht mehr auf Anfragen anderer Rechner antworten kann. [BaMeoJ, S.42] Ein Beispiel hierfür ist das ICMP Echo Request (Ping of Death). Dabei sendet ein Angreifer ICMP Echo Request Pakete (auch PING-Pakete genannt), die eine kritische Paketgröße haben. Das betroffene Zielsystem bricht beim Empfang derartiger Pakete zusammen und kann auf weitere Anfragen nicht mehr antworten. [HeKa98, ] Die Ursache dafür liegt in einem Implementierungsfehler. Gerade hier können IDS entsprechend gut reagieren und ganze Organisationen vor einer vorübergehenden Unerreichbarkeit bewahren. 3.5 Erkennung von Angriffen Die wohl wichtigste Funktionalität von IDS sind die Erkennungstechniken, die eingesetzt werden. In dem folgenden Abschnitt soll beschrieben werden, wie eben vorgestellte Angriffstypen von einem IDS erkannt werden können. Für eine umfassende Einführung in mögliche Erkennungstechniken aller Angriffstypen sei hier wieder auf [HeKa98, 2.5] verwiesen. Grundsätzlich unterscheidet man vier mögliche Arten von Erkennungstechniken. Snort arbeitet hauptsächlich mit Sniffing. Dabei werden gewöhnlich auf IP-Ebene Daten über den Netzverkehr gesammelt und somit theoretisch alle vom Netz ausgehende Angriffe erkannt. Eine andere Möglichkeit liegt in der Analyse der Logbucheinträge des Betriebssystems. Dabei muss im Gegensatz zum Sniffing nicht der gesamte Datenverkehr berücksichtigt werden. Jedoch ist hier wichtig, zu definieren, welche Ereignisse als protokollierenswert eingestuft werden und auch tatsächlich im Logbuch festgehalten werden. Einige Angriffe zeichnen sich durch eine Anwendung aus, wie z.b. WWW Spoofing. Sie können mit Hilfe von Proxys entdeckt werden, weil über diese die gesamte Datenmenge zur Applikation durchgereicht werden. Hierbei verlässt sich ein IDS auf den fremden TCP/IP-Stack des Proxys, was auch zur Folge hat, dass Angriffe auf niedriger Ebene wie ARP nicht erkannt werden können. Mittels Tripware (Stolperdraht), einem speziellen Programm, läßt sich schließlich die Integrität zuvor angegebener Daten überprüfen. Dabei kann beispielsweise festgestellt werden, ob Daten auf einem Rechner oder während eines Transports von einem Angreifer modifiziert wurden. [HeKa98, 2.5] Nun zu den Beispielen aus Abschnitt und ihrer Erkennung durch ein IDS. Um in Abschnitt vorgestellte Scan-Attacken zu erkennen, kann ein Schwellenwert gesetzt werden, der die Anzahl der erlaubten Anfragen für einen Verbindungsaufbau von der IP-Quelladresse beschränkt. Dabei werden beispielsweise die TCP-Verbindungsanfragen von einer IP-Adresse vom System oder dem IDS protokolliert und anschliessend überprüft, ob der definierte

13 Intrusion Detection Systeme 9 Schwellenwert überschritten wurde. Ist dies der Fall, löst das IDS in Echtzeit einen Alarm aus bzw. kann vorher definierte Gegenmaßnahmen einleiten. Jedoch kann bei dieser Art der Attacke ein geschickter Angreifer seine IP-Quelladresse fälschen (IP-Spoofing) bzw. das Abtasten der Ports geschickt über mehrere Stunden oder Tage verteilen, so dass es in einigen Fällen durchaus möglich ist, dass der Angriff unentdeckt bleibt. Die meisten Scan-Attacken sollten aber von einem IDS bemerkt werden. Dagegen kann eine Denial-of-Service Attacke im Fall eines ICMP Echo Requests leicht von einem Sniffer erkannt werden. Dieser überprüft, ob die versendeten IP- Pakete nicht der entsprechenden RFC konform sind und simuliert dann einen IP-Stack, um die tatsächliche Paketgrösse zu bestimmen. Besonders Snort arbeitet in beiden Fällen äußerst effektiv. [HeKa98, 2.5.1] 3.6 Intrusion Response - Gegenmaßnahmen Ist es einem Angreifer gelungen, Zugriff auf ein Rechnersystem oder einem Teil davon zu erlangen, kann er mit den erlangten Rechten beliebig hohen Schaden anrichten. Hier stellt sich die Frage, welche Gegenmaßnahmen eingeleitet werden sollen. Wurde beispielsweise ein Denialof-Service - Angriff erkannt, möchte der Systembetreiber den Angreifer ermitteln, um rechtlich verwertbare Daten zu erlangen. Deshalb ist es nicht immer sinnvoll, bei einem erkannten Angriff alle Verbindungen zum Angreifer zu beenden, sondern ihn kontrolliert weitere Angriffe durchführen zu lassen, um an die benötigten Informationen zu kommen. Ist aber das Risikopotential der Attacke zu groß, kann dies u.u. sogar bedeuten, das angegriffene System sofort herunterzufahren und eventuell aufgetretenen Schaden zu identifizieren und weiteren Schaden abzuwenden. Deshalb lassen sich Intrusion Response - Maßnahmen grundlegend in zwei Hauptziele einteilen: den Angreifer zu identifizieren und Schaden abzuwenden. Beide Ziele erfordern unterschiedliche Umsetzungen, die im folgenden genauer beschrieben werden. Dabei können die erforderlichen Maßnahmen in drei Klassen eingeteilt werden. Werden Maßnahmen direkt von einem IDS angestossen, spricht man von einer automatischen IR-Maßnahme. Ist eine zusätzliche Interaktion von einem Sicherheitsbeauftragten nötig, handelt es sich um eine halbautomatische IR-Maßnahme. Die dritte Möglichkeit ist die manuelle IR-Maßnahme, die ausschliesslich von einem Sicherheitsbeauftragten ausgeführt wird. Im Folgenden werden Maßnahmen beschrieben, die nur automatisch durchgeführt werden können, jedoch immer im Einklang mit der lokalen Sicherheitspolitik stehen. [HeKa98, 2.7] Identifizierung des Angreifers Die Identifizierung des Angreifers erfordert einen sehr hohen Protokollierungsaufwand, der von einem IDS zum richtigen Zeitpunkt angestoßen werden muß. Ziel dabei ist zunächst, die richtige IP-Adresse zu ermitteln und dabei zu beachten, dass ein Angreifer nicht unbedingt von seinem Ursprungsrechner aus startet, sondern evtl. weitere Rechner als sogenannte Sprungbretter benutzt. In diesem Fall müssen auch Administratoren der als Sprungbretter benutzten Maschinen alarmiert werden. Die Rückverfolgung erfordert sehr hohen Aufwand und verzeichnet leider nicht sehr häufig einen akzeptablen Erfolg. Grundsätzlich gibt es keine klaren Regeln, einen Angreifer ausfindig zu machen, jedoch existieren einige Berichte, die aufzeigen, dass es mit dem entsprechenden Aufwand doch möglich ist. [HeKa98, ]

14 Intrusion Detection Systeme Verhinderung von Schaden mittels Gegenangriff Die wohl stärkste Gegenmaßnahme besteht darin, direkt einen Gegenangriff einzuleiten, der einen Denial-of-Service Angriff auf den angreifenden Rechner zum Ziel hat. Auch Snort unterstützt diese Art der Maßnahme. Hier sollte jedoch beachtet werden, dass wie vorher schon angesprochen, ein Angreifer nicht unbedingt von seinem Ursprungsrechner aus agiert, sondern durchaus auch Sprungbrettrechner benutzen bzw. seine IP-Adresse auch nur vortäuschen kann. Weiterhin sollte man sich dabei bewußt sein, dass ein Gegenangriff (Selbstjustiz) nicht immer juristisch gerechtfertigt ist.[heka98, ] Verhinderung von Schaden mittels Abschottung Eine sichere und für IDS typische Maßnahme bei einem Angriff findet sich in der Abschottung der angeriffenen Maschine wieder. Dabei werden betroffene TCP/UDP-Ports geschlossen, betroffene Programme beendet, IP-Datagramme, die von der Angriffs-IP kommen, abgelehnt bzw. Benutzeraccounts gesperrt, sollte der Angriff von einer internen Quelle ausgehen. Bei der Terminierung eines Programms oder Dienstes sollte jedoch sichergestellt werden, dass der betroffene Dienst nach einer gewissen Zeit wieder gestartet wird, um damit mögliche Denial-of- Service Angriffe zu verhindern. Die wohl sinnvollste Maßnahme ist die vorübergehende Sperrung der Angriffs-IP, hierbei stellt der Angreifer jedoch fest, dass sein Angriff erkannt wurde und man lenkt damit evtl. zusätzlich Aufmerksamkeit des Angreifers auf das IDS. Letzteres sollte generell bei jeder Art von Gegenmaßnahme beachtet werden. [HeKa98, ] 3.7 IDS als Angriffspunkt Bei einem Einsatz eines IDS ist genau diese Netzwerk-Komponente das erste Hindernis, auf das ein möglicher Angreifer trifft. Damit verfolgt ein Angreifer als erstes Ziel, das IDS mit falsch erscheinenden Paketen zu verwirren oder zwischen ihm und den Endsystemen im lokalen Netz Inkonsistenzen zu erzeugen. Dabei wird zwischen Insertion und Evasion unterschieden, die nun näher erläutert werden. [PtNe98] Insertion Insertion ist eine Angriffstechnik, die darauf basiert, dass ein IDS Pakete entgegennimmt, die das Endsystem normalerweise nicht annehmen würde. Das IDS geht folglich davon aus, dass ein Paket von einem Rechner im Netzwerk akzeptiert wird, obwohl der Rechner das Paket ablehnt. Das hat zur Folge, dass sich ausschließlich das IDS um solche Pakete kümmert. Auf diese Weise fügt ('inserting') ein Angreifer also Daten in das IDS ein. Mit Insertion liegt bei vielen IDS eine große Anfälligkeit vor. Die meisten IDS arbeiten wie in Abschnitt 3.2 beschrieben mit Signaturanalysen, Pattern-Matching, um bestimmte Zeichenketten in einem Datenstrom zu erkennen. Beispielsweise versucht ein IDS eine PHF-Attacke dadurch zu erkennen, dass es innerhalb einer HTTP-GET-Anfrage nach der Zeichenfolge "phf" sucht. Die gesamte Zeichenkette kann dabei folgendermaßen aussehen: "GET /cgi-bin/phf". Ein Angreifer kann nun die gleiche Anfrage an einen Webserver senden und dabei ein IDS dazu bringen, eine andere Zeichenfolge zu überprüfen, wie z.b.: "GET /cgi-bin/pleasedontdetecttthisforme?''. Der

15 Intrusion Detection Systeme 11 Angreifer hat also eine typische Insertion-Attacke ausgeführt, indem er die Zeichenketten leasedontdetect, is und orme in den originalen String eingefügt hat. Nun ist das IDS nicht mehr in der Lage, die Zeichenkette phf zu erkennen. Ein weiteres einfaches Beispiel beschreibt nochmal die Funktionsweise des Angriffs. Ein Angreifer sendet mehrere Pakete mit jeweils nur einem Zeichen an das System, welche zusammengesetzt im IDS einen anderen String ergeben als auf dem Zielrechner. So könnte z.b. die Zeichenkette "ATTAXCK" gesendet werden und dabei das Paket mit dem Zeichen "X" so manipuliert sein, dass es von dem Zielhost nicht angenommen wird. Die Ablehnung des Paketes kann dabei beispielsweise durch einen niedrig gewählten Time-To-Live - Wert erreicht werden, der angibt, wieviele Stationen (Rechner) das Paket maximal durchwandern kann. Jedes Paket besitzt einen solchen Wert, der bei der Ankunft auf einem Rechner um eins erniedrigt wird. Wählt man nun den Time-To-Live - Wert so gering, dass er bei Ankunft auf dem IDS verfällt, also auf Null gesetzt wird, wird das Paket den Zielhost nicht mehr erreichen. Das IDS untersucht nun die Zeichenfolge "ATTAXCK", welche nicht als Angriff erkannt wird, auf dem Zielrechner trifft jedoch die gefährliche Kette "ATTACK" ein, die dann weiteren Schaden anrichten kann. Das IDS Snort kann mit der Option ttl (siehe Abschnitt ) derartige Angriffe verhindern bzw. erkennen. [PtNe98, 3.1] Abbildung 3.2 veranschaulicht das Beispiel. Zielsystem IDS A T T A C K A T T A X C K abgewiesen vom Host akzeptiert vom IDS Datenstream des Angreifers T X T C A A K Abbildung 3.2 Invasion-Beispiel Evasion Neben der Insertion existiert eine zweite Möglichkeit, die Evasion, um ein IDS zu umgehen, welches der Insertion sehr ähnelt. Evasion basiert auf der Möglichkeit, dass ein Paket vom IDS abgelehnt wird, während ein Rechner im Netzwerk das Paket akzeptieren würde. Wie bei der Invasion sieht das IDS einen anderen Datenstrom als ein Zielsystem. Verweist man wieder auf das Beispiel mit der Zeichenkette "ATTACK", so würde ein IDS beispielsweise Pakete mit jeweils einem Charakter entgegennehmen, die zusammengesetzt die Kette "ATTCK" ergeben. Das Zielsystem dagegen erhält die Zeichenfolge "ATTACK". Die Umgehung des IDS basiert auf der Veränderung des Paketes mit dem Zeichen "A" (das zweite A), so dass es vom IDS abgelehnt, vom Zielsystem jedoch entgegengenommen wird. Ein Angriff bleibt unbemerkt und das IDS wurde umgangen. [PtNe98, 3.2]

16 Intrusion Detection Systeme Snort 4.1 Allgemeines Um die Grundlagen von Intrusion Detection Systemen näher zu vertiefen und den praktischen Einsatz zu verdeutlichen, widmen wir uns nun dem Open-Source IDS Snort. Gegenüber kommerziellen IDS bietet Snort einen besonderen Vorteil, die freie Verfügbarkeit und damit die Tatsache, dass nur die Kosten für die Installation, Konfiguration und Pflege des IDS berücksichtigt werden müssen. Zudem kann sich Snort gut an der Leistung gegenüber kommerziellen Tools messen und zeichnet sich vorallem durch einen guten Datendurchsatz und hohe Leistung aus. Snort ist für fast alle gängigen Betriebssysteme verfügbar und überzeugt durch eine ständige Pflege und Weiterentwicklung. Zusätzlich zu Snort werden aktuelle Regelsätze mitgeliefert, die fast täglich aktualisiert werden. Durch die weite Verbreitung und einer grossen Entwicklungscommunity werden neue Sicherheitslücken sehr schnell entdeckt und neue Regeln zum Signaturenupdate angeboten. Die weite Verbreitung führte zu vielen Organisationen, die eigene Regelsätze erstellen und der Öffentlichkeit bereitstellen. Eine kleine Besonderheit von Snort ist das speziell dafür eingerichtete Forum, an dem man auch auf die Entwickler selber antrifft, ständig Informationen über neue Features erhält und alltägliche Probleme und Lösungen diskutiert werden. 4.2 Analysemöglichkeiten Snort arbeitet nach der Missbrauchserkennung, wie in Abschnitt beschrieben. Dabei existieren vier Möglichkeiten, den Ausführungsmodus von Snort zu konfigurieren. Im Sniffermode wird der aktuelle Netzwerkverkehr einer Netzwerkschnittstelle in einem kontinuierlichem Datenstrom auf der Konsole ausgegeben. Je nach Anforderungen können hier mehr oder weniger Paketdetails angezeigt werden. Die Anzeige allein ist jedoch nicht ausreichend für ein IDS, es benötigt eine Möglichkeit, den Netzwerkverkehr zu protokollieren. Dafür stehen einige Optionen für den Packet Logger Modus zur Verfügung. Beispielsweise kann Snort so konfiguriert werden, dass je nach Protokoll die jeweiligen Pakete in einer speziellen Datei oder Verzeichnis gespeichert werden. Der wohl am häufigsten eingesetzte Modus ist der Network Intrusion Detection System Modus, der sich durch eine hohe Komplexität und sehr umfangreiche Konfigurationsmöglichkeiten auszeichnet. Die nächsten Abschnitte befassen sich ausführlich mit dieser Art der Analyse und dem Einsatz von Snort als effektives IDS. Ein spezieller Modus, der erst später in das Snortprojekt eingegliedert wurde, ist der Inline Mode. Dabei werden Pakete über iptables statt über libpcap erhalten und neue Typen von Regeln benutzt, um Pakete weiterzuleiten oder zu blockieren. Die Regeln basieren hierbei auf Snort- Regeln. Dieser Art der Analyse soll hier jedoch nicht weiter behandelt werden. Damit Snort nicht manuell gestartet bzw. beendet werden muß, wird üblicherweise der Daemon-mode aktiviert. [RoGr05, 1] 4.3 Visualisierung der Ergebnisse Wurde ein Angriff entdeckt und gemeldet, ist es wichtig, die protokollierten Daten zu sichten, um entsprechende Reaktionen auf den Angriff durchzuführen. Snort selber liefert alle Ergebnisse über die Konsole aus, jedoch existieren diverse Zusatzprogramme, welche die jeweiligen Daten

17 Intrusion Detection Systeme 13 graphisch aufbereiten und über eine Benutzerschnittstelle zur Verfügung stellen. Das IDS konzentriert sich ganz allein auf die Aufgabe, den Netzverkehr zu analysieren und nach entsprechenden Regeln Meldungen zu erstellen. Eine vernünftige Auswertung überzeugt jedoch mit Statistiken, Querverbindungen und Suchmöglichkeiten. Hier trumpfen zwei frei verfügbare Zusatztools auf, SnortSnarf und ACID, welche die protokollierten Daten mit umfangreichen Optionen graphisch aufbereiten und in Verbindung mit Snort eingesetzt werden können. [FrSc01] 4.4 Konfiguration Snort arbeitet in erster Linie als regelbasiertes IDS und benötigt deshalb eine Wissensbasis, in der sämtliche Signaturen definiert sind. Unter Signaturen versteht man die Definition der Merkmale eines Paketes, wie beispielsweise die Quell- und Zieladresse oder dessen Dateninhalt. Erst durch Signaturen kann Snort erkennen, ob Pakete erwünscht sind oder abgelehnt werden sollen. Dabei können die erstellten Signaturen z.b. in einfachen Textdateien hinterlegt werden, aber auch umfangreichere Mechanismen wie die Speicherung der Regeln in einer Datenbank sind möglich. Die richtige Konfiguration und Aufstellung der Regeln machen Snort erst zu dem, was ein gutes und effektives IDS auszeichnet und die Sicherheitspolitik eines Unternehmens widerspiegelt. Die nächsten Abschnitte widmen sich deshalb den verschiedenen Konfigurationmöglichkeiten von Snort und demonstrieren an Beispielen, wie spezielle Regeln zur Abwehr von Angriffen entwickelt werden können Include und Variablen Snort bietet einige Scriptelemente an, um der Entwickung und Wartung von Regeln mehr Funktionalität und Handhabung zu liefern. Ein include Schlüsselwort ermöglicht die Einbettung anderer schon definierter Regeln in die aktuelle Regel bzw. Textdatei. Das Verfahren ähnelt sehr an ein #include Statement der Programmiersprache C. Damit wird der Inhalt (typischerweise Snort - Regeln) der angegebenen Datei an die Stelle der aktuellen Datei eingebettet, an dem das include Statement auftritt: include: <include file path/name> Sehr hilfreich ist die Definition von Variablen. Sie beginnen mit dem Schlüsselwort var, gefolgt von dem Namen und dem zugewiesenem Wert der Variable. Ein $-Operator schliesslich setzt den Wert von var und eine zusätzliche Option $(var:-default) liefert "default" zurück, wenn var nicht vorher definiert wurde. Die Verwendung von $(var:?message) schliesslich leifert entweder den Wert von var oder gibt eine Fehlermeldung "message" aus: var MY_IP log tcp any any -> $(MY_IP:?MY_IP is undefined) 23 Hier wird MY_IP mit der lokalen IP-Adresse initialisiert. Kann jedoch MY_IP aus irgendeinem Grund nicht dereferenziert werden, so wird der Fehler "MY_IP is undefined" ausgegeben. [RoGr05, 2.0.1, 2.0.2]

18 Intrusion Detection Systeme Preprocessors Preprocessors sind eine Besonderheit von Snort und machen es zu einem mächtigen Werkzeug bei der Erkennung von Angriffen und der zusätzlichen Optimierung des IDS. Sie erleichtern die Anpassung an die eigenen Anforderungen und unterstützen das IDS bei der Erkennung von verdächtigen Aktivitäten. Preprocessors sind Plugin- Schnittstellen, mit deren Hilfe externe Programme eingebunden werden können. Sie setzen direkt nach der Dekodierung der Pakete an, sortieren die Pakete, bereiten die Daten auf und erkennen mögliche Angriffe in Einzelfällen bereits vor der Anwendung der eigentlichen Regeln. [RoGr05, 2.1] So schlägt der Portscan- Preprocessor beispielsweise Alarm, wenn die Anzahl der Verbindungen einer IP-Adresse innerhalb eines Zeitraums einen voreingestellten Wert überschreitet.[frsc01] Eingebunden werden die Plugins in die Konfigurationsdatei von Snort mit der Syntax: preprocessor <name>: <options>. Mittlerweile stehen Unmengen von hilfreichen Plugins zur Verfügung und die Anzahl neuer Preprocessors nimmt ständig zu. Die Auflistung aller verfügbaren Plugins wäre an dieser Stelle übertrieben, weshalb nur auf einige ausgewählte näher eingegangen werden soll. [RoGr05, 2.1] Portscan Detector Entwickelt wurde das Plugin von Patrick Mullen. Der Portscan Detector überwacht das angegebene Netzwerk auf Portscans, wobei angegeben werden muss, wieviele Ports per UDP / TCP - Verbindung in einer bestimmten Zeit gescannt werden müssen, bevor die entsprechenden Daten in ein angegebenes Logfile geschrieben werden. Das Plugin wird mit folgendem Format in die Konfiguration eingebunden: portscan: <monitored network> <number of ports> <detection period> <logdir/file> Das nachfolgende Beispiel überwacht das Netzwerk /24 auf Portscans und speichert die Paketdaten in /var/log/portscan.log, wenn in dem Zeitraum von 7 Sekunden 5 Ports gescannt werden. [RoGr05, 2.1.1] preprocessor portscan: / /var/log/portscan.log Portscan Ignorehost Im Gegensatz zu Portscan lässt dieses Plugin Portscans zu, die von einer vertraulichen Liste von IP-Adressen stammen. Das macht Sinn, wenn es erwünscht ist, die eigenen Rechner zur Überprüfung von Zeit zu Zeit einem ausführlichen Scan zu unterziehen, um so eventuelle Ports ausfindig zu machen, die von einem bisher unbemerkten Angreifer für seine Zwecke geöffnet wurden. Der Ursprung für die Entwicklung des Plugin lag darin, dass Snort den DNS-Traffic von BIND 8 als Portscan interpretierte. [HiMe01, 6.2.1; RoGr05, 2.1.2] Folgendes Beispiel erlaubt den Rechnern aus den /32- und /24- Netzwerken einen Portscan auf das eigene Netzwerk: portscan-ignorehosts: / / Frag2 Frag2 wurde mit der Version 1.8 in Snort eingegliedert und stellt einen neuen IP- Defragmentierungs-Preprocessor (Zusammensetzung der Daten) dar. Er ist eine Erweiterung des früheren Plugins "defrag" und löst diesen ab. Frag2 verwendet die gleichen

19 Intrusion Detection Systeme 15 Speicherverwaltungsroutinen wie Snort, kann aber effizienter mit dem Speicher umgehen. Die Option memcap gibt das Speicherlimit (max. ca. 4 MB) an und mit timeout kann die Zeitspanne konfiguriert werden, nach der ein unvollständig zusammengesetztes Daten-Fragment verworfen werden soll.[rogr05, 2.1.4] preprocessor frag2: memcap , timeout 30 Das Frag2-Beispiel ist so konfiguriert, dass der max. Speicher Byte und der Timeout 30 Sekunden beträgt Performance Monitor Ein etwas anderes Plugin wird mit dem sogenannten Performance Monitor mitgeliefert. Dieser Preprocessor misst die Performance von Snort zur Laufzeit und das theoretisch maximal Erreichbare. Typischerweise muß hier eine Ausgabemöglichkeit aktiviert sein, entweder per Konsole oder einer Datei, in der die Statistiken festgehalten werden können. Diese Statistiken beinhalten je nach Einstellung beispielsweise die Anzahl der erhaltenen oder versendeten Pakete, die prozentualen Bytes pro Paket, SYN/ACK Pakete pro Sekunde, Anzahl der neuen Session, u.s.w.. [RoGr05, ] Stream4 Stream4 bietet die Möglichkeit, einzelne TCP-Pakete für die Zusammensetzung zu einem Datenstrom vorzubereiten, damit im nächsten Schritt die eingestellten Snortregeln auf einen vollständigen, sortierten und zusammengesetzten Datensatz angewendet werden können. Ein guter Anfang hierfür könnte folgende Option sein: preprocessor stream4: detect_scans Damit wird der Preprocessor angewiesen, einen Alarm auszugeben, sobald ein sog. Stealth- Portscan entdeckt wurde. Dabei versteht man einen Scan, der unentdeckt (stealth) bleiben soll. Hierbei wird ein ungültiges Paket an einen Rechner gesendet, das vom System verworfen wird und dabei unentdeckt (keine Protokollierung vom Betriebssystem) bleibt. Snort kann solche Pakete überwachen und bei speziellen Merkmalen (z.b. einem FIN-Flag) die Daten sammeln und mit Stream4 aufbereiten bzw. für die spätere Analyse vollständig zusammensetzen. [RoGr05, 2.1.5] Output Modules Werden nun Angriffe vom IDS erkannt, können mit Hilfe von Output Modules die entsprechenden Daten nach vereinbarten Mustern dem Sicherheitsbeauftragten übermittelt werden. Output Modules wurden mit Version 1.6 in Snort integriert und erlauben eine umfassend konfigurierbare Ergebnisausgabe. Sie setzen dann ein, wenn das Alarmierungs- bzw. Loggingsystem aufgerufen wird, nachdem die Preprocessors die Pakete verarbeitet haben und die Erkennung stattgefunden hat. Die möglichen Optionen können direkt hinter einer definierten Regel mit folgendem Format eingebunden werden [RoGr05, 2.5]: output <name>: <options> Dabei stehen mehrere Module (<name>) zur Verfügung, die je nach Option die jeweiligen Daten anders aufbereiten. Die wichtigsten und am meisten benutzten sollen hier in Kürze erläutert werden.

20 Intrusion Detection Systeme 16 alert_fast schreibt in einem kurzen Einzeilerformat die Meldung in die angegebene Datei (hier: alert.fast): output alert_fast: alert.fast alert_full protokolliert den vollständigen Paketheader in die angegebene Datei. Wegen einiger Umformatierungen der Daten, ist es eher langsam. alert_smb sendet eine kurze Nachricht an alle in Filename (pro Zeile ein NetBios-Name) angegebenen Rechner und benutzt dabei den smbclient. alert_unixsock öffnet einen Unix Domain Socket, an dem andere Programme lauschen können, um die Ausgabe von Snort in Echtzeit zu analysieren. Dieses Modul ist momentan jedoch noch ein experimentelles Interface. alert_syslog <facility> <priority> erlaubt das Logging über syslog. Die Optionen facility und priority ermöglichen dem Benutzer eine größere Flexibilität der Logging-Alarme. Dabei gibt facility an, welche Art des Programmes in das Systemlog schreibt (z.b. log_auth,log_authpriv, log_daemon...) und priority, wie kritisch die Meldung für den Betrieb des Systems ist (z.b. log_emerg, log_alert, log_err). Nähere Informationen erhält man z.b. unter Linux von der man- Page von syslog. log_tcpdump protokolliet die Meldungen von Snort im tcpdump-format, was besonders für eine nachträgliche Analyse der Daten hilfreich sein kann. database <log alert>, <database type>, <parameter list> ermöglicht es Snort, die anfallenden Daten in einer SQL-Datenbank zu speichern (z.b mysql). Die Parameter, die angegeben werden können, sind dabei stark von der verwendeten Datenbank abhängig. Typische Parameter sind host (Rechner, auf dem die Datenbank liegt), die Portnummer port, um die Verbindung zum Datenbankserver zu erstellen, dbname (Name der Datenbank), password, u.s.w.. Eine komplette Auflistung aller Parameter findet sich in [RoGr05, ] wieder. [RoGr05, 2.5] 4.5 Snort - Regeln Die eigentliche individuelle Anpassung an des eigene Netzwerk und die dafür vorgesehenen Sicherheitsanforderungen werden mit Regeln realisiert. Snort basiert auf einer einfachen, "lightweight" Regelbeschreibungssprache, welche sich durch Flexibilität auszeichnet und ein ziemlich mächtiges Werkzeug darstellt. Mit ein wenig Übung können schnell anspruchsvolle Regeln entwickelt werden und damit die Effektivität des IDS gesteigert werden. Die meisten Snortregeln sind in einer Zeile geschrieben, was daran lag, dass in früheren Versionen (< 1.8) diese Anforderung an Regeln vorgeschrieben war. Mittlerweile können Regeln über mehrere Zeilen aufgespannt werden, indem ein "\" an das Ende einer Zeile hinzugefügt wird. Snortregeln sind aufgeteilt in zwei logische Bestandteile, der Rule Header und die Rule Options, die im Folgenden ausführlich beschrieben werden. [RoGr05, 3.1š] Rule Header Der Rule Header legt fest, was geschehen soll, wenn eine bestimmte Signatur auf das Paket zutrifft und bestimmt über das Protokoll, die IP-Adresse und den Port eine grobe Vorauswahl. Bestandteile eines Rule-Headers sind action, protocol, source- bzw. destination-ip-adresse / -Port, und die direction. Abbildung 4.1 zeigt einen typischen Rule-Header:

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

4.3 Einbruchsentdeckung Intrusion Detection

4.3 Einbruchsentdeckung Intrusion Detection 4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Network Intrusion Detection

Network Intrusion Detection System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Graphing - SNMP DATA - MRTG II

Graphing - SNMP DATA - MRTG II Graphing - SNMP DATA - MRTG II Netzwerkmanagement Software hat sich in den letzten Jahren vom hilfreichen Produkt zur integralen Grundlage für den professionellen IT Betrieb gewandelt. Grosse und leistungsfähige

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

IDS/IPS Intrusion Detection System/Intrusion Prevention System

IDS/IPS Intrusion Detection System/Intrusion Prevention System IDS/IPS Intrusion Detection System/Intrusion Prevention System Benjamin Lietzau & Philipp Meyer Sommersemester 2012 Seminar im Modul: Kommunikationstechnik/Netzwerke Dozent: Prof. Dr. Stefan Wolf 1 Themenüberblick

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Netzwerke 3 Praktikum

Netzwerke 3 Praktikum Netzwerke 3 Praktikum Aufgaben: Routing unter Linux Dozent: E-Mail: Prof. Dr. Ch. Reich rch@fh-furtwangen.de Semester: CN 4 Fach: Netzwerke 3 Datum: 24. September 2003 Einführung Routing wird als Prozess

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 3. September 2003 Arbeitspapier zu Intrusion Detection Systemen (IDS) 1 angenommen auf der 34. Sitzung der Arbeitsgruppe, 2.-3. September

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr

Mobile Security Configurator

Mobile Security Configurator Mobile Security Configurator 970.149 V1.1 2013.06 de Bedienungsanleitung Mobile Security Configurator Inhaltsverzeichnis de 3 Inhaltsverzeichnis 1 Einführung 4 1.1 Merkmale 4 1.2 Installation 4 2 Allgemeine

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006 Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit

Mehr

Überwacht laufend verschiedene Alarmwege

Überwacht laufend verschiedene Alarmwege Testalarm-Generator Überwacht laufend verschiedene Alarmwege Status: Freigegeben Dieses Dokument ist geistiges Eigentum der Accellence Technologies GmbH und darf nur mit unserer ausdrücklichen Zustimmung

Mehr

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

Installationshandbuch für den DAKOSY J Walk Windows Client

Installationshandbuch für den DAKOSY J Walk Windows Client Installationshandbuch für den DAKOSY J Walk Windows Client Version 1.1 DAKOSY Datenkommunikationssystem AG Mattentwiete 2 20457 Hamburg Telefon: 040 370 03 0 Fax: - 370 Erstellt von : Jan Heins Geprüft

Mehr

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies ECO AK Sicherheit Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies Dietmar Braun Gunther Nitzsche 04.02.2009 Agenda Anomalien und Botnetz-Entwicklung

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Tutorial Grundlagen der Softwareverteilung

Tutorial Grundlagen der Softwareverteilung Tutorial Grundlagen der Softwareverteilung Inhaltsverzeichnis 1. Einführung... 3 2. Clientsysteme einrichten... 3 2.1 Den SDI Agent verteilen... 3 2.2 Grundeinstellungen festlegen... 4 3. Softwareverteiler...

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1.

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1. Konfigurationsanleitung Quality of Service (QoS) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Quality of Service 1.1 Einleitung Im Folgenden

Mehr

Problembehandlung bei Windows2000- Netzwerkdiensten

Problembehandlung bei Windows2000- Netzwerkdiensten Unterrichtseinheit 15: Problembehandlung bei Windows2000- Netzwerkdiensten Die Windows2000-Netzwerkinfrastruktur besteht aus vielen verschiedenen Komponenten und Verbindungen, in denen Netzwerkprobleme

Mehr

IPv6 Intrusion Detection mit Snort

IPv6 Intrusion Detection mit Snort IPv6 Intrusion Detection mit Snort Thomas Scheffler / Edurne Izaguirre Frankfurt/Main, 20. Mai 2010 Übersicht!! Kurzvorstellung Snort!! 1x1 der Snort Regeln!! Installation eine IPv6-fähigen Snort Systems!!

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Zeiterfassungsanlage Handbuch

Zeiterfassungsanlage Handbuch Zeiterfassungsanlage Handbuch Inhalt In diesem Handbuch werden Sie die Zeiterfassungsanlage kennen sowie verstehen lernen. Es wird beschrieben wie Sie die Anlage einstellen können und wie das Überwachungsprogramm

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI Workshop Informationssicherheit Carsten Elfers 06.11.2009 System Qualität und Informationssicherheit Rahmenbedingungen

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Benutzer-Handbuch. HTTP-Zugang HTTPS-Zugang

Benutzer-Handbuch. HTTP-Zugang HTTPS-Zugang Benutzer-Handbuch HTTP-Zugang HTTPS-Zugang 1.04 / 02.12.2004 Copyright (2000-2003) Alle Rechte vorbehalten Dolphin Systems Samstagernstr. 45 CH-8832 Wollerau Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Einleitung

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

IPv6 Intrusion Detection mit Snort

IPv6 Intrusion Detection mit Snort IPv6 Intrusion Detection mit Snort Thomas Scheffler / Edurne Izaguirre (Beuth Hochschule) Bettina Schnor / Martin Schütte (Universität Potsdam) BLIT2010 - Potsdam, 6. November 2010 Übersicht Kurzvorstellung

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse Netzwerkanalyse Seite 1 von 6 Einführung in die Netzwerkanalyse Unter Netzwerkanalyse versteht man einen Prozess, bei dem der Netzwerk-Traffic abgegriffen und genau untersucht wird, um festzustellen, was

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

LaMa-Creation Portscanner

LaMa-Creation Portscanner LaMa-Creation Portscanner Seite 1 von 12 Seite 2 von 12 Inhaltsverzeichnis Einleitung...4 Systemanforderung...5 Hardware:...5 Software:...5 Unterstützte Clientbetriebssysteme:... 5 Unterstützte Serverbetriebssysteme:...5

Mehr

Wie fängt man an. Fortgeschrittene Kontakt Verwaltung

Wie fängt man an. Fortgeschrittene Kontakt Verwaltung Wie fängt man an Um alle Vorzüge der iphone TBird Anwendung zu nutzen, sollten nachfolgende Hinweise gelesen werden. Fortgeschrittene Kontakt Verwaltung Mit der TBird iphone Anwendung ist es möglich Kontakte

Mehr

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung Fertigprodukte Bruno Blumenthal und Roger Meyer 18. Juli 2003 Zusammenfassung Dieses Dokument beschreibt die Fertigprodukte welche im Projekt NetWACS eingesetzt werden sollen. Es soll als Übersicht dienen

Mehr