Intrusion Detection Systems

Transkript

1 basierend auf Robert Grahams FAQ Network Oliver Wäldrich FH Bonn-Rhein-Sieg Sicherheit in Netzen, Oliver Wäldrich Seite 1 Inhalt Definition Kategorisierung Angriffsszenarien häufige Angriffssignaturen" Intrusion Detection Signature Matching Platzierung des IDS Reaktion bei Intrusion Eskalationsstrategien Grenzen von IDS Angriffe auf IDS Produkte Quellen Oliver Wäldrich Seite 2

2 Definition (1) An intrusion is somebody (aka "hacker" or "cracker") attempting to break into or misuse your system. The word "misuse" is broad, and can reflect something severe as stealing confidential data to something minor such as misusing your system for spam. [...] An "Intrusion Detection System (IDS)" is a system for detecting such intrusions. [RGRAHAM99] Oliver Wäldrich Seite 3 Definition (2) Als Intrusion-Detection wird die aktive Überwachung von Computersystemen und/oder -netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch bezeichnet. Das Ziel von Intrusion-Detection besteht darin, aus allen im Überwachungsbereich stattfindenden Ereignissen diejenigen herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. [..] Als Intrusion-Detection-System wird eine Zusammenstellung von Werkzeugen bezeichnet, die den gesamten Intrusion-Detection-Prozess von der Ereigniserkennung über die Auswertung bis hin zur Eskalation und Dokumentation von Ereignissen unterstützen. [..] [BSI01] Oliver Wäldrich Seite 4

3 Kategorisierung (1) Network (NIDS): Monitoren Packelte im Netzwerk und versuchen Hacker/Cracker zu entdecken, die in ein System einbrechen (bzw. Denial of Service Attacken starten). Beispiel: ein System das nach großen Mengen von TCP Connection Requests (SYN) auf verschiedenen Ports einer Maschine Ausschau hält Erkennen von TCP Port Scans Host-Basiert IDS sind entweder Host-Basiert IDS oder Netzwerk-Basiert IDS läuft auf Zielmaschine und beobachtet eigenen Traffic (normalerweise fest integriert mit IP-Stack und Diensten) Netzwerk-Basiert IDS läuft auf unabhängiger Maschine (Hub, Router, Probe) im "Promiscuous Mode", und beobachtet den kompletten Netzwerk Traffic Oliver Wäldrich Seite 5 Kategorisierung (2) System Integrity Verifiers (SIV) Monitoren Systemdateien um festzustellen, ob ein Eindringling diese geändert hat (um eine Backdoor zu installieren) Überwachung weiterer Komponenten (Windows registry and chron Konfiguration) zur Erkennung weiterer Einbruchssignaturen erkennen wenn ein User Administratoren-Privilegien erlangt "Tripwire" - bekanntestes SIV-System Log File Monitors (LFM): Monitoren Log-Dateien, die von Netzwerkdiensten generiert werden System sucht nach Pattern in den Log-Dateien, die auf einen Angriff hindeuten Beispiel: Parser für HTTP Server Log-Dateien, der nach Einträgen von Angreifern sucht, welche bekannte Sicherheitslücken wie die "phf" Attacke ausnutzen wollen (z.b. swatch) Oliver Wäldrich Seite 6

4 Kategorisierung (3) Deception Systems (aka decoys, lures, fly-traps, honeypots) beinhalten Pseudo-Dienste, welche bekannte Sicherheitslücken emulieren um Hacker eine Falle zu stellen Beispiel: The Deception ToolKit ( Beispiel: Umbenennen des "Administrator" Account unter Windows, aufsetzen eines Dummy-Accounts ohne Rechte mit entspr. Auditing Weitere Informationen unter Oliver Wäldrich Seite 7 Angriffsszenarien Wie (1) Physical Intrusion Angreifer mit physischen Zugang zu einer Maschine (durch Zugang zum Keyboard oder Stehlen des Systems) Techniken: Erweiterung Privilegien einer Konsole, System physikalisch wegtragen, Festplatte ausbauen und mit anderer Maschine lesen/schreiben Umgehen BIOS Protection relativ einfach: fast alle BIOSes haben backdoor passwords System Intrusion Angreifer mit low-privilege User Account im System große Chance bei Systemen ohne neueste Sicherheitspatches mittels bekannten Exploits Administratorenrechte zu erlangen Oliver Wäldrich Seite 8

5 Angriffsszenarien Wie (2) Remote Intrusion Angreifer versucht ein System über das Netzwerk einzudringen beginnt ohne spezielle Rechte verschiedene Arten des Hacking-Vorgangs (z.b. sehr viel schwieriger wenn eine Firewall zwischen Hacker und Zielmaschine) Anmerkung konzentrieren sich primär auf Remote Intrusion Oliver Wäldrich Seite 9 Angriffsszenarien Warum (1) Software Fehler Buffer Overflows Unexpected combinations (verschiedene Programm-Layer, z.b. Perl Input: " mail < /etc/passwd") Unerwartete Eingaben Race conditions (sehr schwer) System configuration Default-Konfigurationen "Faule Administratoren" - leere Administrator Kennwörter Hole Creation - versehentliche unsichere Konfiguration von Diensten (nonsecure mode) Trust relationships (Sicherheit des schwächsten Gliedes) Oliver Wäldrich Seite 10

6 Angriffsszenarien Warum (2) Password cracking Schwache Passwörter Wörterbuch-Angriffe Brute Force Angriffe Sniffing von unsicheren Datenverkehr Shared medium (Ethernet - mittlerweile schwierig durch Switched Ethernet) Server sniffing Remote sniffing(viele Rechner per default mit RMON enabled und public community strings) Oliver Wäldrich Seite 11 Angriffsszenarien Warum (3) Designfehler TCP/IP Protocol (Smurf, IP-Spoofing, SYN floods, etc.) UNIX Design Fehler (Access Control System nur root hat Admin-Rechte mehrere Nutzer kennen Root-Account) Oliver Wäldrich Seite 12

7 Angriffsszenarien Passwörter (1) Clear-text Sniffing Encrypted Sniffing Replay Attack Password File Stealing Observation Social Engineering Oliver Wäldrich Seite 13 Angriffsszenarien Beispiel (1) Schritt 1 - äußere Ausspähung (Outside Reconnaissance) Angreifer sammelt möglichst viel Informationen ohne sich selbst zu verraten (passiv) durchsuchen öffentlicher Information oder Auftreten als normaler User keine Möglichkeit der Erkennung eines Angreifers auf dieser Stufe Beispiele Angreifer macht ein 'whois' lookup um möglichst viele Information über das mit einem Domain-Namen assoziierte Zielnetzwerk zu erfahren (z.b. foobar.com) Angreifer itteriert über die DNS Tabellen (mittels 'nslookup', 'dig', oder anderer Werkzeuge für Domain Transfers) um Namen möglicher Ziele herauszufinden Angreifer durchsucht andere öffentliche Informationen, wie Web Sites und anonyme FTP Sites Angreifer durchsucht News- und Presseartikel eines Unternehmens Oliver Wäldrich Seite 14

8 Angriffsszenarien Beispiel (2) Schritt 2: innere Ausspähung (Inside Reconnaissance) Angreifer nutzt invasivere Techniken um nach Informationen zu scannen Angreifer produziert normale Aktivität im Netzwerk noch keine "schädlichen" Aktion, die als Angriff gewertet werden können NIDS kann jetzt sagen, "jemand überprüft die Tür, ob abgeschlossen ist", öffnet sie jedoch noch nicht Beispiele scannen aller Webseiten nach verwundbaren CGI Scripts 'ping' sweeps um aktive Maschinen zu ermitteln UDP/TCP scan auf Zielmaschine um aktive Dienste zu ermitteln 'rcpinfo', 'showmount', 'snmpwalk', etc. um verfügbare Dienste/Informationen zu ermitteln Oliver Wäldrich Seite 15 Angriffsszenarien Beispiel (3) Schritt 3: Exploit Angreifer bricht ein (er übertritt die Grenze) und beginnt Sicherheitslücken auszunutzen Beispiele CGI Skripte kompromittieren durch senden von Shell Kommandos in Input- Feldern Ausnutzen bekannter Buffer-Overrun Lücken durch senden großer Mengen von Daten Prüfen von Login Accounts mit einfach zu erratenen/leeren Passwörtern Anwenden mehrstufiger Exploits: nach Erlangen eines User Accounts, anwenden weiterer Exploits um root/admin Access zu erlangen Oliver Wäldrich Seite 16

9 Angriffsszenarien Beispiel (4) Schritt 4: Account sichern (foot hold) Angreifer hat Maschine erfolgreich penetriert und somit "einen Fuß" im Netzwerk jetzt Hauptziel bestehende Beweise für den Angriff zu beseitigen (Bearbeiten Audit Trail und Log Files) Sicherstellen einer Möglichkeit zum späteren Login (installieren von 'toolkits' für Login Access, ersetzen existierender Dienste mit eigenen Trojanern mit Backdoor Passwörtern, Erstellen eigener User Accounts) System Integrity Verifiers (SIVs) entdecken hier oft den Angreifer Angreifer nutzen oft penetrierte Systeme als Startpunkt für weiterer Angriffe (internes Netz) Oliver Wäldrich Seite 17 Angriffsszenarien Beispiel (5) Schritt 5: Profit Angreifer zieht Vorteil aus seinem gewonnenen Status Stehlen von Informationen, Missbrauch von Ressourcen (weitere Attacken, z.b. DDOS), entstellen der Webseite Weiteres Szenario: "Birthday Attack" Angreifer wartet auf Bekannt werden eines Exploits Angreifer durchsucht nun das Netz nach verwundbaren Systemen (scanning) kein dedizierter Angriff auf einen Rechner Oliver Wäldrich Seite 18

10 häufige Angriffssignaturen" Ausspähung (reconnaissance) ping sweeps, DNS zone transfers, recons, TCP oder UDP port scans, möglicherweise indexing von öffentlichen Webservern CGI Lücken zu finden, etc. Exploits Angreifer nutzen verborgene Features oder Bugs um Access zu einem System zu erhalten Denial-of-Service (DoS) Attacken Dienst/Maschine zum Absturz zu bringen Network Links/CPU zu überlasten Festplatte zum Überlauf bringen Vandalismus Oliver Wäldrich Seite 19 Intrusion Detection (1) Anomaly Detection häufigste Art der Angriffserkennung durch Anwender bzw. den Menschen Erkennung statistischer Anomalien Idee Ermitteln statistischer Basisdaten wie CPU-Auslastung, Disk-Aktivität, User- Logins, File-Aktivität, etc. Systembenachrichtigung bei Abweichung von diesen Basisdaten Vorteil Entdecken von Anomalien ohne Kenntnis der Ursache der Anomalie Beispiel Monitoren des Datenverkehrs einzelner Workstations um 2:00 loggen sich die WS in Server ein und führen Tasks aus ungewöhnlich interessant, möglicherweise Maßnahmen einleiten Oliver Wäldrich Seite 20

11 Intrusion Detection (2) Signaturerkennung am häufigsten genutzte Art der Angriffserkennung in kommerziellen Systemen Untersuchung des Netzwerk-Traffics Suche nach bekannten Angriffsmustern (Pattern) Beispiel Untersuche jedes IP-Packet Löse Alarm bei Packet aus, dass String "/cgi-bin/phf? enthält (Phf-Bug) Oliver Wäldrich Seite 21 Signature Matching Zusammenbauen der IP-Packelte und TCP-Streams Anwendung folgender Techniken: Erzeugung neuer, logbarer Events Protocol Stack Verification Verletzung untere Schichten des Protokoll-Stacks (IP/TCP/UDP/ICMP) durch bestimmte Angriffe (z.b. Ping-Of-Death, TCP Stealth Scanning) Validierung der Packelte und Markierung ungültiger Packelte Application Protocol Verification Nutzung ungültiges Protokollverhalten durch bestimmte Angriffe WinNuke ungültiges NetBIOS Protokoll DNS Poisoning gültige, aber ungewöhnliche Signatur NIDS muss viele gängige Applikationsprotokolle re-implementieren, um diese Angriffe zu erkennen Oliver Wäldrich Seite 22

12 Platzierung des IDS (1) Netzwerk Hosts/Workstations (effektiv) Hostbasiert, analog Virenscanner Netzwerk Perimeter (sehr effektiv) außerhalb/innerhalb Firewall, nahe Dial-In Server und Links zu Partner-Netzwerken Low Bandwidth Links IDS bewältigt Datenaufkommen WAN Backbone (sehr effektiv) Angriffe von außen (öffentliche Netzwerke) Low Bandwidth Links IDS bewältigt Datenaufkommen Server Farm (im allgemeinen ungeeignet) Sehr hohes Datenaufkommen IDS bewältigt Datenaufkommen nicht dedizierte IDS Systeme für besonders wichtige Server möglich Lane Backbone (ungeeignet) Sehr hohes Datenaufkommen IDS hier ungeeignet Oliver Wäldrich Seite 23 Platzierung des IDS (2) IDS#1: ungewöhnlich, FW generiert zu wenig Informationen für IDS IDS#2: häufige Platzierung hier, um Attacken zu erkennen die FW penetriert haben IDS#3: Erkennen von Attacken gegen die Firewall IDS#4: Erkennen von Attacken durch Insider Oliver Wäldrich Seite 24

13 Reaktion bei Intrusion Rekonfiguration der Firewall (Checkpoint FW bietet z.b. entspr. Schnittstellen) Signalton spielen SNMP Trap NT Event Unix syslog versenden Pager/SMS Attacke loggen Beweise sichern Programm starten TCP Verbindung beenden Oliver Wäldrich Seite 25 Eskalationsstrategien (1) Bildung eines Incident Response Team Formal festlegen der Kontaktpersonen, im Notfall existiert keine Unklarheit Incident Response Team Oberes Management HR (Human Ressource) Technisches Personal Externe (z.b. ISP, Polizei, BKA) Security Team Response Prozedur Festlegung der Response Prozedur, der Priorität zwischen Netzwerk Uptime und Intrusion, Genehmigung durch Management Abschaltung System bei Verdacht Eindringling? Sammeln von Informationen? Oliver Wäldrich Seite 26

14 Eskalationsstrategien (2) Kommunikationslinien Wie fließen Informationen (horizontal/vertikal) Teilnahme an Incident Reporting Organisationen wie FIRST (Forum of Incident Response and Security Teams, Informieren von BKA, Polizei Informieren Partner (die Verbindung haben, von denen Angriff ausging) Umgang mit der Presse Logging Prozeduren Festlegung der Logging Prozeduren/Policies im Vorfeld Training/Audits Fortbildung, Penetration Tests, Audits Oliver Wäldrich Seite 27 Grenzen von IDS (1) IDS grundsätzlich unsicher Ergänzung primärer Sicherheitssysteme Primäre Sicherheitssysteme: Firewalls, Verschlüsselung, Authentifizierung IDS können Gesamtsicherheit eines Netzwerks dramatisch erhöhen Switched Network (inherene Grenze) IDS in Switch eingebettet (z.b. Cisco, IDS nur eingeschränkte Funktionalität) Monitor/Span Port (viel langsamer als Bus) Verzweigung am Netzwerkkabel Hostbasiertes IDS Oliver Wäldrich Seite 28

15 Grenzen von IDS (2) IDS normalerweise an zentraler Stelle Überwachen von möglicherweise tausenden Maschinen Grenzen aufgrund von Ressourcen Netzwerk Traffic Volumen TCP Connections Andere Statusinformationen (IP Fragmente, TCP Scan Informationen, ARP Tables) Status über längere Zeit hinweg (slow scans) Oliver Wäldrich Seite 29 Angriffe auf IDS den Sensor blenden Mehr Pakete am Sensor als verarbeitet werden kann 1. dropping packages 2. Es werden weniger/keine Pakete mehr verarbeitet Verarbeitung der Pakete vs. Empfangen von Paketen Interner Angreifer einfaches Transmit Programm Externer Angreifer Smurf, Fraggle das Event-Log blenden nmap decoy scans (Scan innerhalb gespoofter Anfragen versteckt) o.g. Szenario prinzipiell mit anderen Angriffen vorstellbar Überlauf des Event-Logs DOS Attacken Oliver Wäldrich Seite 30

16 Produkte Freeware/Shareware Kommerzielle IDS BlackICE von Network ICE ( CyberCop Monitor von Network Associates, Inc. ( Cisco IDS von Cisco ( etrust Intrusion Detection by Computer Associates ( Centrax von Cybersafe ( etc. Oliver Wäldrich Seite 31 Quellen [RGRAHAM99] Robert Graham, FAQ Network, , [BSI01] BSI, BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen, , [ICA00] ICA Labs, , whitepaper/index.shtml [SANS03] Intrusion Detection FAQ, SANS School Store, , [INNEL01] Paul Innella, The Evolution of, , Oliver Wäldrich Seite 32