Malicious Code: Würmer, Viren und Co Proseminar im Sommersemester 2009 Intrusion Detection

Transkript

1 Malicious Code: Würmer, Viren und Co Proseminar im Sommersemester 2009 Intrusion Detection Nadine Rieß Technische Universität München 28. Juni 2009 Zusammenfassung Der Einsatz von Firewalls und Virenscannern ist bereits weit verbreitet, doch diese erkennen bei Weitem nicht alle Einbruchsversuche in das eigene System, da lediglich bereits bekannte Angriffe abgewehrt werden können. Wo diese Programme an ihre Grenzen stoßen, fängt die Intrusion Detection an. Diese Seminararbeit befasst sich mit weiterführenden Techniken der Einbruchserkennung. Sie gibt eine Übersicht über die verschiedenen Architekturen und geht anschließend auf deren Funktionsweise ein. Anschließend wird aber auch auf die Schwachstellen von Intrusion Detection Systemen eingegangen. 1

2 Inhaltsverzeichnis 1 Einleitung 3 2 Was ist ein Intrusion Detection System Begriffsdefinitionen IDS Klassifikation Funktionsweise der Einbruchserkennung Logischer Ansatz Statistischer Ansatz Reaktion nach einem Einbruch Angriffe gegen IDS Fragmentierung Insertion Evasion Verschlüsselung Denial of Service Tools Snort honeyd Schluss 17 2

3 1 Einleitung Passwörter, Virenscanner und Firewalls sind nur einige Sicherheitsmechanismen von vielen, welche heutzutage von Unternehmen und auch im privaten Bereich eingesetzt werden, um unerwünschte Datenzugriffe bzw. -verluste abzuwehren. Allerdings gibt es eine Vielzahl an Möglichkeiten diese Vorsichtsmaßnahmen zu umgehen. Beispielsweise kann man sich durch das Surfen im Internet unbeabsichtigt einen Trojaner auf seinen Rechner laden, welcher sich dann selbständig machen und Hintertüren öffnen kann. In diesen Fällen, in denen gewöhnliche Vorkehrungen scheitern, ist ein System nützlich, welches solche Sicherheitslücken im eigenen Rechner oder in einem Netzwerk eines Unternehmens erkennt. Das lässt sich mit einem Intrusion Detection System (IDS) realisieren, welches eventuelle Risiken auch behebt. Im Folgenden gibt es zunächst eine kurze Definition und Übersicht über Intrusion Detection Systeme. Daraufhin wird dann auf die Funktionweise eingegangen und damit verbundene Ansätze werden näher erläutert, inkl. Methoden, wie ID-Systeme umgangen werden können. Zum Schluss gibt es noch einen Überblick über Open-Source IDS-Programme. 2 Was ist ein Intrusion Detection System Selbst wenn viele Vorsichtsmaßnahmen, wie beispielsweise Passwortabfragen, getroffen wurden, gibt es immer wieder erfolgreiche Einbrüche in Systeme, seien dies einzelne Rechner oder ein komplettes Netzwerk. Mit einem gewissenhaft konfigurierten und speziell auf das System angepassten Intrusion Detection System (IDS) kann man die Sicherheit und damit die Abwehr von Einbrüchen wesentlich erhöhen. Definition eines IDS: Ein IDS ist eine auf einem Rechner installierte Software, welche erkennen kann ob ungewollte Zugriffe und Manipulationen auf einem System stattfinden. Dazu werden bestimmte Ereignisse erkannt, aufzeichnet und analysiert. Z.B. können gezielt bereits bekannte Sicherheitslücken überwacht und potenzielle Einbruchsversuche anhand bestehender Angriffsmuster überprüft werden. Das Hauptziel ist es allerdings, auch unbekannte Angriffe aufzudecken. Durch entsprechende Konfiguration unterstützt IDS noch die Möglichkeit zur Analyse legaler Nutzer innerhalb des Systems auf untypisches Verhalten, um sicher zu gehen, dass ein Benutzer-Account eines Systems nicht von Eindringlingen missbraucht wird. Um ein IDS zu realisieren, sind tiefe Kenntnisse über die vorhandene Systemstruktur nötig und eine ständige Aktualisierung, sowie Überarbeitung der eingepflegten Sicherheitsmaßnahmen. Nachfolgend werden vorab wichtige Begriffe definiert und IDS bezüglich ihres Einsatzgebietes klassifiziert. 2.1 Begriffsdefinitionen Sensoren: Hier sind Sensoren technische Geräte oder Software, welche bestimmte Ereignisse erkennen und aufzeichnen. 3

4 Signatur: Signaturen sind hier immer wiederkehrende Muster, Auffälligkeiten und Regelmäßigkeiten in Ereignissen, welche durch Viren bzw. Angriffe verursacht werden. Anomalie: Anomalie bezeichnet ein untypisches Verhalten eines Nutzers oder eines Systems. Das setzt voraus, dass zunächst ein normales Verhalten mittels Normwerten definiert werden muss, um dies wiederum zu einer Abweichungsanalyse einzusetzen und so als untypisch zu charakterisieren. 2.2 IDS Klassifikation Hostbasierte IDS Hostbasierte Intrusion Detection Systeme (HIDS) werden dazu genutzt, um gezielt ein bestimmtes System zu überwachen. Dies sind vor allem sicherheitsrelevante Systeme, wie z.b. zentrale Server (Mailserver) oder Arbeitsplatzrechner mit eigener Internetanbindung. Dazu werden beispielsweise Log-Dateien der Rechner nach ungewöhnlichen Einträgen durchsucht, Kernel- und Systemdateien auf Integrität geprüft und das Betriebssystem bezüglich seiner Ressourcenausnutzung analysiert. Die Integritätsprüfung kann als Sensor gesehen und mittels Prüfsummen (SHA1, MD5) realisiert werden. Es können dabei auch ausführbare Dateien kontrolliert werden, um zu erkennen, ob Manipulationen stattgefunden haben, oder um bei System-Dateien sog. Rootkits zu enttarnen. Da bei der Art der hostbasierten Intrusion Detection, ein bekanntes System überwacht wird, kann das IDS speziell darauf ausgerichtet und angepasst werden, wodurch eine bessere Analyse möglich ist. Ein großer Nachteil ist allerdings, dass das IDS bei einem Ausfall des Hosts ebenfalls inaktiv wird. Netzwerkbasierte IDS Netzwerkbasierte IDS (NIDS) hingegen arbeiten auf verteilten Systemen in Netzwerken. Hierbei werden mittels Sensoren an bestimmten strategischen Punkten (Gateway, Switch) Pakete im Netzwerkverkehr protokolliert und auf Angriffsmuster analysiert (siehe Abbildung 1). Ein Sensor könnte hier z.b. ein im Netzwerk eingebundener Rechner sein, mit dem ein ganzes Netzsegment überwacht werden kann. Es werden z.b. sämtliche auf einem bestimmten Host eingehende IP-Pakete protokolliert. Allerdings ist keine lückenlose Aufzeichnung möglich, falls die Datenmenge die Bandbreite des Sensors übersteigt, wodurch teilweise Pakete verworfen werden müssen. Dennoch bieten NIDS den signifikanten Vorteil, dass sie nicht von Ausfällen attackierter Systeme betroffen sind. Hybride IDS Hybride IDS vereinen die Funktionsweisen von HIDS und NIDS. Viele der heute eingesetzten ID-Systeme verwenden das hybride Prinzip, indem sie mehrere unterschiedliche Sensoren kombinieren und diese sowohl im Netzwerk als auch auf einem bestimmten Host platzieren. 4

5 Abbildung 1: NIDS 3 Funktionsweise der Einbruchserkennung Nachdem jetzt die Einsatzgebiete von ID-Systemen bekannt sind, wird nun näher auf den Ablauf der Einbruchserkennung eingegangen. Hierbei wird zwischen dem logischen und statistischen Ansatz unterschieden. 3.1 Logischer Ansatz Im logischen Ansatz wird das Normverhalten durch Regeln beschrieben. Man kann sich solche Regeln als eine Art If-Then-Else Entscheidung vorstellen, die bei bestimmten Ereignissen andere Ereignisse auslöst. Die Regeln werden systemabhängig, größtenteils von erfahrenen Administratoren, von Hand erstellt. Im Gegensatz dazu gibt es auch selbstlernende Systeme. Regeln können dabei entweder autorisiertes oder verdächtiges Verhalten beschreiben. Autorisiertes Verhalten: Für jedes normale Verhalten wird eine Regel erzeugt, welche besagt, dass dieses Ereignis stattfinden darf. Jede Anomalie wird als Angriff eingestuft und somit auch die Anzahl der Fehlalarme erhöht. Es sind aber auch selbstlernende Systeme möglich, wenn z.b. ein Systemadministrator einen Alarm des öfteren als Fehlalarm einstuft, dann würde das System dafür eine zusätzliche Regel für normales Verhalten erstellen. Verdächtiges Verhalten: Hier geht es darum, bereits bekannte Angriffsmethoden, wie z.b. die Ausnutzung von Buffer Overflows, abzuwehren. Anhand von Signaturen lassen sich dafür Regeln erstellen. Diese Regeln sind in einer Datenbank des IDS abgespeichert und werden dazu genutzt, die Datenpakete des Netzverkehrs auf vorhandene Muster zu überprüfen. Falls eine Übereinstimmung auftritt, wird der Alarm ausgelöst. Die Wahl der Herangehensweise an die Regeldefinition ist also von Bedeutung. Denn sind Regeln zu problemspezifisch formuliert, dann können Attacken, die geringe Abweichungen aufweisen, nicht mehr erkannt werden. Sind sie jedoch zu generell formuliert, lösen sie eine Vielzahl von Fehlalarmen aus. Bei bekannten Einbruchsversuchen ist die Analyse durch Regeln mit einem Virenscanner 5

6 vergleichbar. Deshalb muss die Signaturdatenbank auch ständig aktualisiert werden. Eine einfache Variante, um einen erfolgreichen Angriff auf das System zu erkennen, lässt sich mit den bereits angesprochenen Prüfsummen realisieren. Nach der Konfiguration muss das ID-System die zu überprüfenden Daten inkl. deren Checksummen abspeichern und sie in regelmäßigen Abständen kontrollieren, um ungewollte Datenmanipulation zu erkennen. Eine solche Überprüfung kann mittels Regeln geschehen. Tripwire [6] ist ein bekanntes Programm, welches hierfür zum Einsatz kommt. Diese Art der IDS werden daher auch System Integrity Verifier (SIV) oder File Integrity Assessment (FIA) genannt. Regeln lassen sich unterscheiden nach active rules, welche für jedes protokollierte Ereignis überprüft werden und dynamic rules, welche nur überprüft werden, wenn active rules auf sie verweisen. Im Folgenden sind einige Beispiele für Regeln anhand der Syntax von Snort [4], welches ein weitverbreitetes NIDS ist und auf Regeln basiert (siehe Kapitel 5.1), erläutert. Jede Regel besteht aus zwei Teilen: Dem Regelrumpf und den optionalen Regeloptionen. Der Aufbau ist wie folgt: Abbildung 2: Snort-Regel: Überblick Die Regel in Abbildung 2 beschreibt, dass es einen Alarm zur Folge hat, falls die angegebenen IP-Adressen, in beiden Richtungen, mittels dem Protokoll icmp Pakete austauschen. Als zusätzliche Information wird noch protokolliert, dass es ein Ping-Paket ist [3]. Aktionen sind z.b. die Alamierung, die Protokollierung von Paketen, die Nichtbeachtung von Paketen und die Aktivierung weiterer Regeln. Das Symbol steht für eine unidirektionale Regel, hingegen steht für eine bidirektionale, d.h. Sender und Empfänger können bei letzterer ausgetauscht werden. Bei den Optionen können Paketattribute, die überprüft werden sollen, Werte oder Aktionen angegeben werden. msg definiert z.b. eine Zeichenkette, welche bei Zutreffen der Regel ebenfalls protokolliert wird. 6

7 content kann dazu verwendet werden, um nach einer bestimmten Bytefolge in einem Paket zu suchen. Das Auftreten dieser Bytefolge funktioniert nach dem Prinzip eines String-Matching-Verfahrens. Abbildung 3 zeigt die Anwendung von content. offset definiert dabei die Stelle, ab welcher im Paket nach dem angegebenen Inhalt gesucht wird. depth ist für die Angabe der Tiefe, falls nicht standardmäßig das komplette Paket überprüft werden soll. Option in Abbildung 3 bedeutet also, dass im String-Matching-Verfahren nach den Wörtern login und passwort gesucht wird. Nach passwort wird allerdings erst 45 Bytes später, wegen offset, im Paket und durch depth maximal bis 120 Bytes ab Paketbegin gesucht. Abbildung 3: Snort-Regel-Ausschnitt: Optionen Zur Verdeutlichung ist in Abbildung 5 ein Beispiel einer Snort-Regel dargestellt, welche zum Aufspüren von SYN/FIN Scans gedacht ist [3]. Das SYN-Bit dient dazu, den Wunsch einer Synchronisation der TCP-Sequenznummern zu äußern und darf lediglich in den ersten beiden Paketen einer TCP-Kommunikation für den Aufbau der Verbindung gesetzt sein. Das FIN-Bit hingegen wird von den Kommunikationspartnern verwendet, um die Verbindung abzubauen. Abbildung 4: Message Sequence Chart: Verbindungsaufbau Firewalls testen also bei eingehenden TCP-Paketen, ob das SYN-Bit gesetzt ist, um zu erkennen, ob ein Verbindungswunsch besteht. Ist in diesen Paketen 7

8 zusätzlich noch ein ACK-Bit gesetzt, bedeutete das bereits die Antwort auf einen Verbindungsaufbau, siehe Abbildung 4. Frühere Firewall-Implementierungen haben allerdings nicht überprüft, ob das spezielle ACK-Bit gesetzt war, sondern lediglich, ob ein beliebiges zusätzliches Bit gesetzt war. Kam also ein SYN/FIN Paket an, in dem die Bits SYN und FIN gesetzt waren, so ordnete die Firewall dies als Antwort eines Verbindungsaufbauwunsches zu, während der empfangende Rechner das FIN-Bit ignorierte und das Paket als Verbindungsaufbau akzeptierte. In diesem Fall wurde die Firewall umgangen. In Abbildung 5 sollen an unser eigenes Netz gerichtete TCP-Pakete untersucht werden. Zum einen soll die Regel die klassische SYN/FIN-Konstellation erkennen und zum anderen, ob noch zusätzliche Bits gesetzt wurden. Abbildung 5: Snort-Regel: Anwendungsbeispiel 3.2 Statistischer Ansatz Der statistische Ansatz eignet sich hauptsächlich für die Anomalieerkennung. Hierzu wird mit Profilen gearbeitet, was bedeutet, dass für bestimmte Benutzergruppen Normwerte für bestimmte Parameter festgelegt werden. Dies könnte z.b. die Uhrzeit sein, wann der Benutzer normalerweise am PC arbeitet, die CPU-Auslastung, die Seitenwechselrate oder häufig verwendete Programme (Webbrowser, , Office). Anomal wäre in diesem Fall, wenn eine Sekräterin um 1 Uhr morgens den C-Compiler gcc benutzt oder sich als Superuser einloggen möchte. Es können aber auch Ressourcenprofile angelegt werden, um den Gebrauch von Systemressourcen zu überwachen. Die Aufgabe des Intrusion Detection Systems ist es, nach Abweichungen, die außerhalb einer bestimmten Toleranzgrenze liegen, zu suchen. Im Folgenden werden nun mehrere Möglichkeiten für den statistischen Ansatz beschrieben [13]. Operationelles Modell: Hier wird Alarm gegeben, wenn ein bestimmter Schwellenwert erreicht wurde. Der Administrator legt dabei eine obere und untere Grenze fest. Ein Beispiel wäre, dass jeder Benutzer sein Passwort höchstens dreimal falsch eingeben darf, aber mindestens einmal angeben muss, um sich einzuloggen. Mittelwert und Standardabweichung: Liegen die Messwerte außerhalb eines bestimmten Konfidenzintervalls, dann wird der Alarm ausgelöst. Je weniger Messwerte vorhanden sind, desto größer ist das Konfidenzintervall. 8

9 Zeitreihenmodell: Es werden Ereignissequenzen analysiert und Alarm gegeben, wenn zu einem bestimmten Zeitpunkt ein Schwellenwert erreicht wird. Hidden-Markov-Modell: Ein HMM besteht aus einer Menge von Zuständen, in Abbildung 6 sind dies Virenscanner aktiviert und Virenscanner deaktiviert, sowie aus einer Menge von Beobachtungen, wie z.b. Windows Update, Superuser loggt sich ein und Programmausführung. Zwischen den Zuständen befinden sich die Wahrscheinlichkeiten der Zustandsübergänge. Z.B. erfolgt ein Wechsel vom Zustand Virenscanner aktiviert auf deaktiviert mit 30% Wahrscheinlichkeit, während mit 70% beim aktuellen Zustand verblieben wird (die Wahrscheinlichkeiten sind lediglich beispielhaft). Die Übergänge zwischen Zuständen und Beobachtungen bedeuten, das in einem bestimmten Zustand, die jeweilige Beobachtung mit der angegebenen Wahrscheinlichkeit gemacht wurde. Die Anfangswahrscheinlichkeitsverteilung sagt in unserem Beispiel aus, dass bei Start des Systems mit einer Wahrscheinlichkeit von 0,6 der Virenscanner aktiviert und mit einer Wahrscheinlichkeit von 0,4 deaktiviert ist. Abbildung 6: HMM - Graph Lernproblem: Um ein Profil des Verhaltens eines Systems zu erstellen, werden die Anzahl der Zustände (z.b. ist dies die Anzahl der verwendeten Systemaufrufe), die das HMM haben soll, sowie Beobachtungszustände (Systemaufrufe eines Prozesses, wie z.b. sendmail, named, lpr, tfpd) vorgegeben. Für jedes Programm wird ein eigenes HMM erstellt. Nun sollen die Übergangswahrscheinlichkeiten zwischen Zuständen und die Beobachtungswahrscheinlichkeit zwischen Zuständen und Beobachtungen 9

10 ermittelt werden. Dabei darf jeder Zustand in einen beliebigen anderen Zustand übergehen. Von Beobachtungszuständen gehen aber keine Kanten aus. Das HMM lernt also mit Hilfe angegebener Testsequenzen von Beobachtungen die Wahrscheinlichkeiten der Übergänge. Dafür sind mehrere Durchläufe durch die Trainingsdaten erforderlich. Um ein HMM zu erstellen, wird z.b. der Baum-Welch-Algorithmus [12] verwendet. 1. Anwendungsfall für HMMs im IDS Hier stellt man sich die Frage, wie hoch die Wahrscheinlichkeit ist, dass die beobachtete Ereignissequenz zu einer Zustandsfolge gehört, welche bösartiges Verhalten modelliert. Dabei ist man daran interessiert, zu einer gegebenen Sequenz an Ereignissen die Zustandsfolge mit der höchsten Wahrscheinlichkeit zu berechnen. Zur Verdeutlichung folgt nun ein Beispiel zur Abbildung 6. Angenommen die Zustandsfolge, dass beim Start der Virenscanner aktiviert ist und danach immer deaktiviert, modelliert bösartiges Verhalten. Alle anderen Zustandsfolgen sollen normales Verhalten bedeuten. Beobachten wir nun die Zustände, der Superuser loggt sich ein und führt ein Programm aus, währenddessen der Virenscanner (oder die Firewall) deaktiviert ist. Dies stellt nun unsere Beobachtungssequenz dar. Hier könnte man auf einen evtl. Einbruch schließen. Um diesen Verdacht zu bestätigen, wird nun wie folgt vorgegangen: Es werden sämtliche Pfade vom Startzustand aus ermittelt, welche die Ereignissequenz beinhalten. Um alle Pfade zu finden, kann man sich wie bei der Wahrscheinlichkeitstheorie einen Entscheidungsbaum aufstellen. Daraufhin multipliziert man die Wahrscheinlichkeiten auf dem Pfad für alle gefundenen Pfade inkl. der Wahrscheinlichkeiten der Beobachtungen im jeweiligen Zustand. Der Pfad mit der größten Wahrscheinlichkeit wird gewählt. Wird nun der gewählte Pfad zurückverfolgt und führt über die von uns angenommene unnormale Zustandsfolge, so hat sich unser Verdacht bestätigt und die Beobachtungen wurden als Angriff enttarnt. 2. Anwendungsfall für HMMs im IDS Hier wird das HMM dazu eingesetzt, um für eine beobachtete Ereignissequenz die Wahrscheinlichkeit auszurechnen, mit welcher sie vom HMM erzeugt werden kann. Dabei wird zunächst, wie bereits im Anwendungsfall 1, so vorgegangen, dass man sämtliche Zustandsfolgen im HMM herausfindet, welche die Beobachtungssequenz erzeugen können. Es ist allerdings zu beachten, dass man diese Folgen unter Angabe einer maximalen Menge an Zuständen ermitteln, da es sonst unendlich viele 10

11 Möglichkeiten geben würde. Nun werden ebenfalls sämtliche Wahrscheinlichkeiten der Pfade ermittelt. Allerdings wird jetzt nicht der Pfad mit der größten Wahrscheinlichkeit gewählt, sondern es werden alle gefundenen Wahrscheinlichkeiten addiert. Ist dieser Index relativ klein, bzw. unterhalb eines vorgegebenen Schwellenwertes, so deutet dies darauf hin, dass es sehr unwahrscheinlich ist, dass diese Ereignissequenz in einem normalen Benutzerverhalten auftritt. Folglich wird Alarm geschlagen. Der Schwellenwert dazu wird bei Erstellen des HMMs anhand von Statistiken festgelegt. Eine hohe Wahrscheinlichkeit dagegen bedeutet, dass die Sequenz als normal einzustufen ist. Beispiel anhand von sendmail [12]: Sendmail besitzt ca. 52 Systemaufrufe, welche jeweils einen Zustand im HMM darstellen. Dazu kommt noch der Startaufruf. Unser Modell in Abbildung 7 ist auf die Zustände Z1 und Z2 beschränkt. Abbildung 7: HMM Graph Nachdem nun das HMM aufgestellt wurde und bestimmte Wahrscheinlichkeiten für die Übergänge definiert wurden, kann die Analyse von Systemaufrufsequenzen beginnen. Hätte jetzt z.b. ein Eindringling eine Sicherheitslücke in sendmail entdeckt und verwendet sehr häufig den Befehl write, um Daten zu schreiben, dann gibt es z.b. eine Systemaufrufs-Sequenz S mit S = (write, write, write). Diese Beobachtungssequenz kann dadurch dargestellt werden, dass vom Startzustand in den Zustand Z2 übergegangen und darin geblieben wird. Dass eine Beobachtungssequenz ziemlich unwahrscheinlich ist, wurde 11

12 bei der Erstellung des HMMs mit einem Schwellenwert festgelgt. Annahme des Schwellenwerts in unserem Beispiel liegt bei 5%. Errechnet man nun die Wahrscheinlichkeiten der Pfade einer vorgegebenen Länge 3 vom Startzustand aus um S zu erzeugen (siehe Abbildung 8, wie im Anwendungsfall 2 beschrieben, so ergibt die Summe der Wahrscheinlichkeiten, dass dreimal hintereinander ein write-befehl ausgeführt wird, 2,6536%. Abbildung 8: Entscheidungsbaum Diese Beobachtungssequenz ist also ungewöhnlich, da anhand der Statistiken festgestellt wurde, dass in sendmail-ereignissequenzen der write-befehl nicht so häufig auftaucht. D.h. es wäre ziemlich unwahrscheinlich, dass zwei oder mehrere write-befehle aufeinander folgen. Die Sequenz S kann also als anomal eingestuft und der Alarm ausgelöst werden. 3.3 Reaktion nach einem Einbruch Trotz aller Präventionsmaßnahmen z.b. durch Verwendung von Firewalls und Virenscanner wird es der Fall sein, dass in das System eingebrochen wird. Idealerweise ertappt das IDS den Eindringling und löst den Alarm aus. Dann stellt sich allerdings die Frage: Was ist zu tun? Hierbei werden IDS nochmals anhand ihrer zeitlichen Reaktion in reaktive und proaktive Systeme eingeteilt. Reaktive Systeme reagieren erst nach einem Angriff und leiten Gegenmaßnahmen ein, wohingegen proaktive Systeme sofort reagieren und versuchen, diese zu unterbinden. Das kann durch eine Trennung des Systems vom restlichen Netzwerk stattfinden, durch die Sperrung eines Benutzers oder die Unterbindung der Ausführung einer Datei. Angreifer können auch auf ein extra eingerichtetes System gelockt werden, welches dem Eindringling das attackierte System 12

13 simuliert, nur dass hier selbstverständlich keine sensiblen Daten erreichbar sind und das System vom eigentlich zu schützenden System abgekapselt ist. In diesem Fall spricht man von sogenannten Honeypots [1] (siehe Kapitel 5.2). Nun können die weiteren Maßnahmen des Angreifers sogar analysiert werden, ohne dass man sich Sorgen um die eigenen Daten machen muss. Allerdings ist zu beachten, dass der Angreifer seine Täuschung durch das emulierte System nicht erkennt und versucht es gegen einen selbst zu verwenden. Weitere Maßnahmen nach einem Angriff sind dann die Analyse und die Dokumentation der gesammelten und vorhandenen Daten sowie die Sicherung des Systems im aktuellen Zustand für weitere Analysen. Folglich muss man sich klarmachen, welche Systeme, Rechner und Netzwerke in welchem Umfang betroffen sind, welche Ziele der Angreifer verfolgte und danach das IDS auf solche Angriffe vorbereiten und entsprechend konfigurieren, damit diese in Zukunft nicht erfolgreich stattfinden können. 4 Angriffe gegen IDS Ein IDS sollte stets so konfiguriert sein, dass die Überwachung möglichst unauffällig erfolgt. Hierbei ist unter anderem die Prozessorauslastung zu beachten, die mit kontinuierlicher Protokollierung und anderen rechenintensiven Vorgängen erhöht wird und dem Angreifer ein Hinweis auf das Vorhandensein eines IDS sein kann. Falls das IDS sich aber dennoch durch irgendwelche Maßnahmen verrät, dann wird der Angreifer versuchen, entweder das IDS für seine Zwecke auszunutzen oder es zu umgehen. In den nachfolgenden Beispielen werden Möglichkeiten zur Umgehung von IDS dargestellt. 4.1 Fragmentierung Ziel eines Angriffs mit Hilfe der Fragmentierung [14] ist es, den schadhaften Code, welcher über das Netzwerk gesendet werden soll, in mehrere Pakete aufzusplitten und somit die Absicht dahinter zu verschleiern. Die einzelnen Fragmente alleine sind somit nicht als Angriff zu identifizieren, erst das Zusammenfügen aller Fragmente ermöglicht eine Erkennung des schadhaften Codes. Beachtet man, dass das IDS und der Zielhost häufig zwei verschiedene Rechner im Netz sind und das unterschiedliche Betriebssysteme IP-Pakete aus unterschiedlichen Gründen annehmen oder verwerfen, dann wird klar, dass ein NIDS nicht entscheiden kann, ob das Paket vom Zielhost angenommen wird, da es keinerlei Information über diesen hat. Bei einem Angriff durch Fragmentierung kann zwischen den zwei Verfahren Insertion und Evasion unterschieden werden Insertion Angenommen der Angreifer fragmentiert sein Paket ATTACK, wie in Abbildung 9 dargestellt, in einzelne Teilpakete. 13

14 Abbildung 9: Beispiel Insertion Ziel der Technik Insertion ist es, ein Paket X zu generieren, welches das IDS akzeptiert, das Ziel-System jedoch nicht. Während das IDS nun die einzelnen Pakete zu ATTXACK zusammensetzt und die Vergleiche mit entsprechenden Signaturen fehlschlagen, erreicht den Host das Paket ATTACK. Lösen könnte man dieses Problem, indem die vom Host abgelehnten Pakete protokolliert und dem IDS kenntlich gemacht werden. Ein Beispiel dafür ist, dass ein Host alle ankommenden IP-Pakete, die eine inkorrekte Checksumme aufweisen, sofort verwirft, jedoch nicht alle NIDS-Implementierungen prüfen die Checksumme der empfangen IP-Pakete. Hier ist es sinnvoll, die Checksummen-Prüfung auch im NIDS zu implementieren Evasion Evasion funktioniert nach demselben Prinzip wie Insertion, nur dass diesmal ein Paket vom IDS nicht akzeptiert wird, der Ziel-Host dieses Paket aber akzeptiert. Im Beispiel erreicht also das Paket ATTA*CK, siehe Abbildung 10, das IDS, welches das Paket A* nicht akzeptiert und somit keine Übereinstimmung der Pakete ATTCK mit vorhandenen Signaturen feststellen kann. Abbildung 10: Beispiel Evasion Die Pakete werden also wieder an den Host weitergeleitet, wobei dieser nun ATTACK bekommt, da er das A*-Paket interpretieren kann. Ein Beispiel hierfür ist, dass einzelne Fragmente häufig in einer falschen Reihenfolge ankommen. Ist das NIDS nicht in der Lage, die Pakete in die richtige Ordnung zu bringen und entsprechend zusammenzusetzen, dann bleibt der Schadcode unentdeckt. Dieser Fall kann insbesondere dann auftreten, wenn das Paket in sehr viele Fragmente aufgeteilt ist, zwischendurch ziemlich viele Junk-Pakete ankommen, oder wenn einzelne Pakete erst sehr spät nach anderen eintreffen. 14

15 4.2 Verschlüsselung Ein IDS kann auch durch die Verschlüsselung (SSL, SSH, IPSec) von Daten umgangen werden. Hier macht man sich eine Sicherheitsmaßnahme zu eigen, um Angriffe zu tarnen. Netzwerkbasierte IDS protokollieren, wie bereits erwähnt, den Netzverkehr und prüfen auf bekannte Muster. Ist der Datenverkehr verschlüsselt, müsste das IDS den gesamten Datenstrom entschlüsseln, überprüfen und wieder verschlüsseln, womit ein enormer Aufwand verbunden und eigentlich nicht Sinn einer Verschlüsselung ist. Deshalb verzichten einige IDS hierauf und öffnen zugleich den Weg für verschlüsselte Angriffspakete, die somit nicht ermittelt werden können. Beispiele hierfür sind SQLInjection, BufferOverflows und SSL VPN Verbindungen. 4.3 Denial of Service Wie bei den netzwerkbasierten IDS schon erwähnt, ist es kaum möglich mit steigendem Datenaufkommen, sämtliche Pakete abzufangen und auf Signaturen zu überprüfen. Bei Denial of Service-Attacken [14] werden ständig Pakete an das Host-System versendet, damit das IDS überlastet ist und einige Pakete verwerfen muss. Wenn also nicht alle Pakete kontrolliert werden, ist es einfacher manipulierte Pakete ins System einzuschleußen. Eine weitere Möglichkeit ist das sogenannte Spoofing. Bei dieser Technik werden eine Vielzahl von Angriffen vorgetäuscht, welche ein IDS-Alarm auslösen, so dass die IDS-Administratoren nicht mehr zwischen echten und gefälschten Attacken unterscheiden können. Dies geschieht dadurch, dass Netzwerk-Pakete gefälscht werden und die Absenderadressen von vertrauenswürdigen Hosts tragen. Beispielsweise bedeuteturl-spoofing, einem Besucher einer Website in betrügerischer Absicht eine falsche Identität vorzugeben und die tatsächliche Adresse der Seite zu verschleiern. Im Grunde umfasst Spoofing alle Methoden, mittels denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen. 5 Tools Im Folgenden werden die Programme Snort [4] und honeyd [5] kurz erläutert, welche als Open-Source-Programme zur Verfügung stehen und häufigen Einsatz finden. 5.1 Snort Snort [4] reiht sich in die Kategorie der netzwerkbasierten IDS ein und verwendet den logischen Ansatz, da es auf Regeln basiert. Es ist eines der heutzutage bekanntesten NIDS und vielseitig einsetzbar. Snort verfügt über 3 Modi: sniffer mode: Netzwerkpakete werden am Bildschirm ausgegeben und ist ähnlich zu tcpdump [2] bzw. Wireshark [7]. Der Vorteil gegenüber tcpdump ist allerdings, dass Snort wesentliche Informationen des IP-Headers 15

16 in Klartext ausgibt, während dies bei tcpdump in hexadezimaler Schreibweise erfolgt. logger mode: Netzwerkpakete werden in einer Datei abgespeichert (vgl. tcpdump / Wireshark). NIDS mode: Netzwerkpakete werden anhand einem Regelsatz untersucht und nur diejenigen protokolliert, welche von den Regeln herausgefiltert werden. 5.2 honeyd Honeyd [5] ist ein frei verfügbares Programm, mit dem sich sog. Honeypots realisieren lassen. Honeypots sind nicht wie andere ID-Systeme zur Verteidigung gedacht, sondern hoffen regelrecht auf einen Angriff. Unter einem Honeypot kann man sich also ein gegenüber dem Angreifer simuliertes System vorstellen, welches ebenfalls Dienste anbietet und Netzwerkstrukturen emuliert. Es können einzelne Hosts oder ganze Netzwerke erstellt werden, mittels denen potenzielle Angreifer und ihr Einbruchsverhalten untersucht werden können. Dabei verwenden Honeypots sowohl den logischen als auch statistischen Ansatz. In Abbildung 11 wird dargestellt wie ein Honeypot in das Netzwerk integriert wird. Dabei ist zu beachten, dass der Honeypot vom restlichen Netzwerk getrennt wird. Da ein Angreifer zunächst nicht zwischen echten Servern und Honeypots unterscheiden kann, wird er alle Netzkomponenten auf Schwachstellen untersuchen und, da ein Honeypot nicht geschützt wird, darauf zugreifen wollen. Ein Zugriff kann dann bereits als Angriff gewertet werden, da Dienste des Honeypots ungenutzt sind. Abbildung 11: Honeypot Honeypots können unterschieden werden in low-interaction und highinteraction. Honeyd gehört dabei zu den low-interaction Honeypots, d.h. der Informationsgewinn ist hier beschränkt, da ein erfahrener Angreifer den Honeypot sehr schnell daran erkennt, dass nur wenige Dienste emuliert werden. 16

17 Allerdings wird er zur Gewinnung von statistischen Daten eingesetzt, um automatisierte Angriffe von Computerwürmern zu analysieren. High-interaction Honeypots dagegen sind aufwendiger in der Konfiguration und Verwaltung. Aber dafür können auch manuell ausgeführte Angriffe analysiert werden. 6 Schluss Mit einem Intrusion Detection System lassen sich also sowohl bekannte, als auch unbekannte Angriffsversuche erkennen. Dazu ist es allerdings erforderlich, dass sich erfahrene Administratoren mit versierten Kenntnissen über Netzwerkarchitekturen um den Aufbau eines solchen Systems kümmern und dieses ständig aktualisieren. Zum Abschluss kann man sagen, dass auch Intrusion Detection Systeme keinen vollständigen Schutz vor Angriffen bietet, aber dennoch sehr zu empfehlen sind, wenn es darum geht, die Sicherheit eines Systems wesentlich zu erhöhen. 17

18 Literatur [1] Einbruchserkennung in Netzwerke mit Intrusion Detection Systemen und Honeypots, Stefan Schumacher stefan/einbruchserkennung-paper.pdf [2] Spass im Netzwerk mit tcpdump & Co., Stefan Schumacher stefan/tcpdump.pdf [3] Ralf Spenneberg, Intrusion Detection und Prevention mit Snort 2 & Co., Einbrüche auf Linux-Servern erkennen und verhindern, 2005 by Addison- Wesley Verlag, ISBN: [4] zuletzt besucht am [5] zuletzt besucht am [6] zuletzt besucht am zuletzt besucht am [7] zuletzt besucht am [8] Intrusion and intrusion detection, John Mc Hugh adrian/731-sp04/readings/ijis-published.pdf [9] Behavioral Intrusion Detection, Stefano Zerano [10] Hidden Markov Models, Nikolas Dörfler ausarbeitung.pdf [11] Intrusion Detection effective! Modellierung und Analyse von Angriffsmustern, Michael Meier, Springer-Verlag 2007, ISBN: [12] A Multi-layer Model for Anomaly Intrusion Detection Using Program Sequences of System Calls, Xuan Dau Hoang, Jiankun Hu, Peter Bertok jiankun/sample Publication/ICON03 Dau.pdf [13] Seminar ID und Firewalls, Thema: Analysis Schemes, Daniel Sutlar fw/ausarbeitungen/seminar Sutlar Ausarbeitung.pdf [14] Absicherung von Netzen mit Hilfe von Intrusion Detection / Intrusion Prevention Systemen - Resistenz gegen Anti-IDS-Angriffe 18