Malicious Code: Würmer, Viren und Co Proseminar im Sommersemester 2009 Intrusion Detection
|
|
- Ulrich Thomas
- vor 7 Jahren
- Abrufe
Transkript
1 Malicious Code: Würmer, Viren und Co Proseminar im Sommersemester 2009 Intrusion Detection Nadine Rieß Technische Universität München 28. Juni 2009 Zusammenfassung Der Einsatz von Firewalls und Virenscannern ist bereits weit verbreitet, doch diese erkennen bei Weitem nicht alle Einbruchsversuche in das eigene System, da lediglich bereits bekannte Angriffe abgewehrt werden können. Wo diese Programme an ihre Grenzen stoßen, fängt die Intrusion Detection an. Diese Seminararbeit befasst sich mit weiterführenden Techniken der Einbruchserkennung. Sie gibt eine Übersicht über die verschiedenen Architekturen und geht anschließend auf deren Funktionsweise ein. Anschließend wird aber auch auf die Schwachstellen von Intrusion Detection Systemen eingegangen. 1
2 Inhaltsverzeichnis 1 Einleitung 3 2 Was ist ein Intrusion Detection System Begriffsdefinitionen IDS Klassifikation Funktionsweise der Einbruchserkennung Logischer Ansatz Statistischer Ansatz Reaktion nach einem Einbruch Angriffe gegen IDS Fragmentierung Insertion Evasion Verschlüsselung Denial of Service Tools Snort honeyd Schluss 17 2
3 1 Einleitung Passwörter, Virenscanner und Firewalls sind nur einige Sicherheitsmechanismen von vielen, welche heutzutage von Unternehmen und auch im privaten Bereich eingesetzt werden, um unerwünschte Datenzugriffe bzw. -verluste abzuwehren. Allerdings gibt es eine Vielzahl an Möglichkeiten diese Vorsichtsmaßnahmen zu umgehen. Beispielsweise kann man sich durch das Surfen im Internet unbeabsichtigt einen Trojaner auf seinen Rechner laden, welcher sich dann selbständig machen und Hintertüren öffnen kann. In diesen Fällen, in denen gewöhnliche Vorkehrungen scheitern, ist ein System nützlich, welches solche Sicherheitslücken im eigenen Rechner oder in einem Netzwerk eines Unternehmens erkennt. Das lässt sich mit einem Intrusion Detection System (IDS) realisieren, welches eventuelle Risiken auch behebt. Im Folgenden gibt es zunächst eine kurze Definition und Übersicht über Intrusion Detection Systeme. Daraufhin wird dann auf die Funktionweise eingegangen und damit verbundene Ansätze werden näher erläutert, inkl. Methoden, wie ID-Systeme umgangen werden können. Zum Schluss gibt es noch einen Überblick über Open-Source IDS-Programme. 2 Was ist ein Intrusion Detection System Selbst wenn viele Vorsichtsmaßnahmen, wie beispielsweise Passwortabfragen, getroffen wurden, gibt es immer wieder erfolgreiche Einbrüche in Systeme, seien dies einzelne Rechner oder ein komplettes Netzwerk. Mit einem gewissenhaft konfigurierten und speziell auf das System angepassten Intrusion Detection System (IDS) kann man die Sicherheit und damit die Abwehr von Einbrüchen wesentlich erhöhen. Definition eines IDS: Ein IDS ist eine auf einem Rechner installierte Software, welche erkennen kann ob ungewollte Zugriffe und Manipulationen auf einem System stattfinden. Dazu werden bestimmte Ereignisse erkannt, aufzeichnet und analysiert. Z.B. können gezielt bereits bekannte Sicherheitslücken überwacht und potenzielle Einbruchsversuche anhand bestehender Angriffsmuster überprüft werden. Das Hauptziel ist es allerdings, auch unbekannte Angriffe aufzudecken. Durch entsprechende Konfiguration unterstützt IDS noch die Möglichkeit zur Analyse legaler Nutzer innerhalb des Systems auf untypisches Verhalten, um sicher zu gehen, dass ein Benutzer-Account eines Systems nicht von Eindringlingen missbraucht wird. Um ein IDS zu realisieren, sind tiefe Kenntnisse über die vorhandene Systemstruktur nötig und eine ständige Aktualisierung, sowie Überarbeitung der eingepflegten Sicherheitsmaßnahmen. Nachfolgend werden vorab wichtige Begriffe definiert und IDS bezüglich ihres Einsatzgebietes klassifiziert. 2.1 Begriffsdefinitionen Sensoren: Hier sind Sensoren technische Geräte oder Software, welche bestimmte Ereignisse erkennen und aufzeichnen. 3
4 Signatur: Signaturen sind hier immer wiederkehrende Muster, Auffälligkeiten und Regelmäßigkeiten in Ereignissen, welche durch Viren bzw. Angriffe verursacht werden. Anomalie: Anomalie bezeichnet ein untypisches Verhalten eines Nutzers oder eines Systems. Das setzt voraus, dass zunächst ein normales Verhalten mittels Normwerten definiert werden muss, um dies wiederum zu einer Abweichungsanalyse einzusetzen und so als untypisch zu charakterisieren. 2.2 IDS Klassifikation Hostbasierte IDS Hostbasierte Intrusion Detection Systeme (HIDS) werden dazu genutzt, um gezielt ein bestimmtes System zu überwachen. Dies sind vor allem sicherheitsrelevante Systeme, wie z.b. zentrale Server (Mailserver) oder Arbeitsplatzrechner mit eigener Internetanbindung. Dazu werden beispielsweise Log-Dateien der Rechner nach ungewöhnlichen Einträgen durchsucht, Kernel- und Systemdateien auf Integrität geprüft und das Betriebssystem bezüglich seiner Ressourcenausnutzung analysiert. Die Integritätsprüfung kann als Sensor gesehen und mittels Prüfsummen (SHA1, MD5) realisiert werden. Es können dabei auch ausführbare Dateien kontrolliert werden, um zu erkennen, ob Manipulationen stattgefunden haben, oder um bei System-Dateien sog. Rootkits zu enttarnen. Da bei der Art der hostbasierten Intrusion Detection, ein bekanntes System überwacht wird, kann das IDS speziell darauf ausgerichtet und angepasst werden, wodurch eine bessere Analyse möglich ist. Ein großer Nachteil ist allerdings, dass das IDS bei einem Ausfall des Hosts ebenfalls inaktiv wird. Netzwerkbasierte IDS Netzwerkbasierte IDS (NIDS) hingegen arbeiten auf verteilten Systemen in Netzwerken. Hierbei werden mittels Sensoren an bestimmten strategischen Punkten (Gateway, Switch) Pakete im Netzwerkverkehr protokolliert und auf Angriffsmuster analysiert (siehe Abbildung 1). Ein Sensor könnte hier z.b. ein im Netzwerk eingebundener Rechner sein, mit dem ein ganzes Netzsegment überwacht werden kann. Es werden z.b. sämtliche auf einem bestimmten Host eingehende IP-Pakete protokolliert. Allerdings ist keine lückenlose Aufzeichnung möglich, falls die Datenmenge die Bandbreite des Sensors übersteigt, wodurch teilweise Pakete verworfen werden müssen. Dennoch bieten NIDS den signifikanten Vorteil, dass sie nicht von Ausfällen attackierter Systeme betroffen sind. Hybride IDS Hybride IDS vereinen die Funktionsweisen von HIDS und NIDS. Viele der heute eingesetzten ID-Systeme verwenden das hybride Prinzip, indem sie mehrere unterschiedliche Sensoren kombinieren und diese sowohl im Netzwerk als auch auf einem bestimmten Host platzieren. 4
5 Abbildung 1: NIDS 3 Funktionsweise der Einbruchserkennung Nachdem jetzt die Einsatzgebiete von ID-Systemen bekannt sind, wird nun näher auf den Ablauf der Einbruchserkennung eingegangen. Hierbei wird zwischen dem logischen und statistischen Ansatz unterschieden. 3.1 Logischer Ansatz Im logischen Ansatz wird das Normverhalten durch Regeln beschrieben. Man kann sich solche Regeln als eine Art If-Then-Else Entscheidung vorstellen, die bei bestimmten Ereignissen andere Ereignisse auslöst. Die Regeln werden systemabhängig, größtenteils von erfahrenen Administratoren, von Hand erstellt. Im Gegensatz dazu gibt es auch selbstlernende Systeme. Regeln können dabei entweder autorisiertes oder verdächtiges Verhalten beschreiben. Autorisiertes Verhalten: Für jedes normale Verhalten wird eine Regel erzeugt, welche besagt, dass dieses Ereignis stattfinden darf. Jede Anomalie wird als Angriff eingestuft und somit auch die Anzahl der Fehlalarme erhöht. Es sind aber auch selbstlernende Systeme möglich, wenn z.b. ein Systemadministrator einen Alarm des öfteren als Fehlalarm einstuft, dann würde das System dafür eine zusätzliche Regel für normales Verhalten erstellen. Verdächtiges Verhalten: Hier geht es darum, bereits bekannte Angriffsmethoden, wie z.b. die Ausnutzung von Buffer Overflows, abzuwehren. Anhand von Signaturen lassen sich dafür Regeln erstellen. Diese Regeln sind in einer Datenbank des IDS abgespeichert und werden dazu genutzt, die Datenpakete des Netzverkehrs auf vorhandene Muster zu überprüfen. Falls eine Übereinstimmung auftritt, wird der Alarm ausgelöst. Die Wahl der Herangehensweise an die Regeldefinition ist also von Bedeutung. Denn sind Regeln zu problemspezifisch formuliert, dann können Attacken, die geringe Abweichungen aufweisen, nicht mehr erkannt werden. Sind sie jedoch zu generell formuliert, lösen sie eine Vielzahl von Fehlalarmen aus. Bei bekannten Einbruchsversuchen ist die Analyse durch Regeln mit einem Virenscanner 5
6 vergleichbar. Deshalb muss die Signaturdatenbank auch ständig aktualisiert werden. Eine einfache Variante, um einen erfolgreichen Angriff auf das System zu erkennen, lässt sich mit den bereits angesprochenen Prüfsummen realisieren. Nach der Konfiguration muss das ID-System die zu überprüfenden Daten inkl. deren Checksummen abspeichern und sie in regelmäßigen Abständen kontrollieren, um ungewollte Datenmanipulation zu erkennen. Eine solche Überprüfung kann mittels Regeln geschehen. Tripwire [6] ist ein bekanntes Programm, welches hierfür zum Einsatz kommt. Diese Art der IDS werden daher auch System Integrity Verifier (SIV) oder File Integrity Assessment (FIA) genannt. Regeln lassen sich unterscheiden nach active rules, welche für jedes protokollierte Ereignis überprüft werden und dynamic rules, welche nur überprüft werden, wenn active rules auf sie verweisen. Im Folgenden sind einige Beispiele für Regeln anhand der Syntax von Snort [4], welches ein weitverbreitetes NIDS ist und auf Regeln basiert (siehe Kapitel 5.1), erläutert. Jede Regel besteht aus zwei Teilen: Dem Regelrumpf und den optionalen Regeloptionen. Der Aufbau ist wie folgt: Abbildung 2: Snort-Regel: Überblick Die Regel in Abbildung 2 beschreibt, dass es einen Alarm zur Folge hat, falls die angegebenen IP-Adressen, in beiden Richtungen, mittels dem Protokoll icmp Pakete austauschen. Als zusätzliche Information wird noch protokolliert, dass es ein Ping-Paket ist [3]. Aktionen sind z.b. die Alamierung, die Protokollierung von Paketen, die Nichtbeachtung von Paketen und die Aktivierung weiterer Regeln. Das Symbol steht für eine unidirektionale Regel, hingegen steht für eine bidirektionale, d.h. Sender und Empfänger können bei letzterer ausgetauscht werden. Bei den Optionen können Paketattribute, die überprüft werden sollen, Werte oder Aktionen angegeben werden. msg definiert z.b. eine Zeichenkette, welche bei Zutreffen der Regel ebenfalls protokolliert wird. 6
7 content kann dazu verwendet werden, um nach einer bestimmten Bytefolge in einem Paket zu suchen. Das Auftreten dieser Bytefolge funktioniert nach dem Prinzip eines String-Matching-Verfahrens. Abbildung 3 zeigt die Anwendung von content. offset definiert dabei die Stelle, ab welcher im Paket nach dem angegebenen Inhalt gesucht wird. depth ist für die Angabe der Tiefe, falls nicht standardmäßig das komplette Paket überprüft werden soll. Option in Abbildung 3 bedeutet also, dass im String-Matching-Verfahren nach den Wörtern login und passwort gesucht wird. Nach passwort wird allerdings erst 45 Bytes später, wegen offset, im Paket und durch depth maximal bis 120 Bytes ab Paketbegin gesucht. Abbildung 3: Snort-Regel-Ausschnitt: Optionen Zur Verdeutlichung ist in Abbildung 5 ein Beispiel einer Snort-Regel dargestellt, welche zum Aufspüren von SYN/FIN Scans gedacht ist [3]. Das SYN-Bit dient dazu, den Wunsch einer Synchronisation der TCP-Sequenznummern zu äußern und darf lediglich in den ersten beiden Paketen einer TCP-Kommunikation für den Aufbau der Verbindung gesetzt sein. Das FIN-Bit hingegen wird von den Kommunikationspartnern verwendet, um die Verbindung abzubauen. Abbildung 4: Message Sequence Chart: Verbindungsaufbau Firewalls testen also bei eingehenden TCP-Paketen, ob das SYN-Bit gesetzt ist, um zu erkennen, ob ein Verbindungswunsch besteht. Ist in diesen Paketen 7
8 zusätzlich noch ein ACK-Bit gesetzt, bedeutete das bereits die Antwort auf einen Verbindungsaufbau, siehe Abbildung 4. Frühere Firewall-Implementierungen haben allerdings nicht überprüft, ob das spezielle ACK-Bit gesetzt war, sondern lediglich, ob ein beliebiges zusätzliches Bit gesetzt war. Kam also ein SYN/FIN Paket an, in dem die Bits SYN und FIN gesetzt waren, so ordnete die Firewall dies als Antwort eines Verbindungsaufbauwunsches zu, während der empfangende Rechner das FIN-Bit ignorierte und das Paket als Verbindungsaufbau akzeptierte. In diesem Fall wurde die Firewall umgangen. In Abbildung 5 sollen an unser eigenes Netz gerichtete TCP-Pakete untersucht werden. Zum einen soll die Regel die klassische SYN/FIN-Konstellation erkennen und zum anderen, ob noch zusätzliche Bits gesetzt wurden. Abbildung 5: Snort-Regel: Anwendungsbeispiel 3.2 Statistischer Ansatz Der statistische Ansatz eignet sich hauptsächlich für die Anomalieerkennung. Hierzu wird mit Profilen gearbeitet, was bedeutet, dass für bestimmte Benutzergruppen Normwerte für bestimmte Parameter festgelegt werden. Dies könnte z.b. die Uhrzeit sein, wann der Benutzer normalerweise am PC arbeitet, die CPU-Auslastung, die Seitenwechselrate oder häufig verwendete Programme (Webbrowser, , Office). Anomal wäre in diesem Fall, wenn eine Sekräterin um 1 Uhr morgens den C-Compiler gcc benutzt oder sich als Superuser einloggen möchte. Es können aber auch Ressourcenprofile angelegt werden, um den Gebrauch von Systemressourcen zu überwachen. Die Aufgabe des Intrusion Detection Systems ist es, nach Abweichungen, die außerhalb einer bestimmten Toleranzgrenze liegen, zu suchen. Im Folgenden werden nun mehrere Möglichkeiten für den statistischen Ansatz beschrieben [13]. Operationelles Modell: Hier wird Alarm gegeben, wenn ein bestimmter Schwellenwert erreicht wurde. Der Administrator legt dabei eine obere und untere Grenze fest. Ein Beispiel wäre, dass jeder Benutzer sein Passwort höchstens dreimal falsch eingeben darf, aber mindestens einmal angeben muss, um sich einzuloggen. Mittelwert und Standardabweichung: Liegen die Messwerte außerhalb eines bestimmten Konfidenzintervalls, dann wird der Alarm ausgelöst. Je weniger Messwerte vorhanden sind, desto größer ist das Konfidenzintervall. 8
9 Zeitreihenmodell: Es werden Ereignissequenzen analysiert und Alarm gegeben, wenn zu einem bestimmten Zeitpunkt ein Schwellenwert erreicht wird. Hidden-Markov-Modell: Ein HMM besteht aus einer Menge von Zuständen, in Abbildung 6 sind dies Virenscanner aktiviert und Virenscanner deaktiviert, sowie aus einer Menge von Beobachtungen, wie z.b. Windows Update, Superuser loggt sich ein und Programmausführung. Zwischen den Zuständen befinden sich die Wahrscheinlichkeiten der Zustandsübergänge. Z.B. erfolgt ein Wechsel vom Zustand Virenscanner aktiviert auf deaktiviert mit 30% Wahrscheinlichkeit, während mit 70% beim aktuellen Zustand verblieben wird (die Wahrscheinlichkeiten sind lediglich beispielhaft). Die Übergänge zwischen Zuständen und Beobachtungen bedeuten, das in einem bestimmten Zustand, die jeweilige Beobachtung mit der angegebenen Wahrscheinlichkeit gemacht wurde. Die Anfangswahrscheinlichkeitsverteilung sagt in unserem Beispiel aus, dass bei Start des Systems mit einer Wahrscheinlichkeit von 0,6 der Virenscanner aktiviert und mit einer Wahrscheinlichkeit von 0,4 deaktiviert ist. Abbildung 6: HMM - Graph Lernproblem: Um ein Profil des Verhaltens eines Systems zu erstellen, werden die Anzahl der Zustände (z.b. ist dies die Anzahl der verwendeten Systemaufrufe), die das HMM haben soll, sowie Beobachtungszustände (Systemaufrufe eines Prozesses, wie z.b. sendmail, named, lpr, tfpd) vorgegeben. Für jedes Programm wird ein eigenes HMM erstellt. Nun sollen die Übergangswahrscheinlichkeiten zwischen Zuständen und die Beobachtungswahrscheinlichkeit zwischen Zuständen und Beobachtungen 9
10 ermittelt werden. Dabei darf jeder Zustand in einen beliebigen anderen Zustand übergehen. Von Beobachtungszuständen gehen aber keine Kanten aus. Das HMM lernt also mit Hilfe angegebener Testsequenzen von Beobachtungen die Wahrscheinlichkeiten der Übergänge. Dafür sind mehrere Durchläufe durch die Trainingsdaten erforderlich. Um ein HMM zu erstellen, wird z.b. der Baum-Welch-Algorithmus [12] verwendet. 1. Anwendungsfall für HMMs im IDS Hier stellt man sich die Frage, wie hoch die Wahrscheinlichkeit ist, dass die beobachtete Ereignissequenz zu einer Zustandsfolge gehört, welche bösartiges Verhalten modelliert. Dabei ist man daran interessiert, zu einer gegebenen Sequenz an Ereignissen die Zustandsfolge mit der höchsten Wahrscheinlichkeit zu berechnen. Zur Verdeutlichung folgt nun ein Beispiel zur Abbildung 6. Angenommen die Zustandsfolge, dass beim Start der Virenscanner aktiviert ist und danach immer deaktiviert, modelliert bösartiges Verhalten. Alle anderen Zustandsfolgen sollen normales Verhalten bedeuten. Beobachten wir nun die Zustände, der Superuser loggt sich ein und führt ein Programm aus, währenddessen der Virenscanner (oder die Firewall) deaktiviert ist. Dies stellt nun unsere Beobachtungssequenz dar. Hier könnte man auf einen evtl. Einbruch schließen. Um diesen Verdacht zu bestätigen, wird nun wie folgt vorgegangen: Es werden sämtliche Pfade vom Startzustand aus ermittelt, welche die Ereignissequenz beinhalten. Um alle Pfade zu finden, kann man sich wie bei der Wahrscheinlichkeitstheorie einen Entscheidungsbaum aufstellen. Daraufhin multipliziert man die Wahrscheinlichkeiten auf dem Pfad für alle gefundenen Pfade inkl. der Wahrscheinlichkeiten der Beobachtungen im jeweiligen Zustand. Der Pfad mit der größten Wahrscheinlichkeit wird gewählt. Wird nun der gewählte Pfad zurückverfolgt und führt über die von uns angenommene unnormale Zustandsfolge, so hat sich unser Verdacht bestätigt und die Beobachtungen wurden als Angriff enttarnt. 2. Anwendungsfall für HMMs im IDS Hier wird das HMM dazu eingesetzt, um für eine beobachtete Ereignissequenz die Wahrscheinlichkeit auszurechnen, mit welcher sie vom HMM erzeugt werden kann. Dabei wird zunächst, wie bereits im Anwendungsfall 1, so vorgegangen, dass man sämtliche Zustandsfolgen im HMM herausfindet, welche die Beobachtungssequenz erzeugen können. Es ist allerdings zu beachten, dass man diese Folgen unter Angabe einer maximalen Menge an Zuständen ermitteln, da es sonst unendlich viele 10
11 Möglichkeiten geben würde. Nun werden ebenfalls sämtliche Wahrscheinlichkeiten der Pfade ermittelt. Allerdings wird jetzt nicht der Pfad mit der größten Wahrscheinlichkeit gewählt, sondern es werden alle gefundenen Wahrscheinlichkeiten addiert. Ist dieser Index relativ klein, bzw. unterhalb eines vorgegebenen Schwellenwertes, so deutet dies darauf hin, dass es sehr unwahrscheinlich ist, dass diese Ereignissequenz in einem normalen Benutzerverhalten auftritt. Folglich wird Alarm geschlagen. Der Schwellenwert dazu wird bei Erstellen des HMMs anhand von Statistiken festgelegt. Eine hohe Wahrscheinlichkeit dagegen bedeutet, dass die Sequenz als normal einzustufen ist. Beispiel anhand von sendmail [12]: Sendmail besitzt ca. 52 Systemaufrufe, welche jeweils einen Zustand im HMM darstellen. Dazu kommt noch der Startaufruf. Unser Modell in Abbildung 7 ist auf die Zustände Z1 und Z2 beschränkt. Abbildung 7: HMM Graph Nachdem nun das HMM aufgestellt wurde und bestimmte Wahrscheinlichkeiten für die Übergänge definiert wurden, kann die Analyse von Systemaufrufsequenzen beginnen. Hätte jetzt z.b. ein Eindringling eine Sicherheitslücke in sendmail entdeckt und verwendet sehr häufig den Befehl write, um Daten zu schreiben, dann gibt es z.b. eine Systemaufrufs-Sequenz S mit S = (write, write, write). Diese Beobachtungssequenz kann dadurch dargestellt werden, dass vom Startzustand in den Zustand Z2 übergegangen und darin geblieben wird. Dass eine Beobachtungssequenz ziemlich unwahrscheinlich ist, wurde 11
12 bei der Erstellung des HMMs mit einem Schwellenwert festgelgt. Annahme des Schwellenwerts in unserem Beispiel liegt bei 5%. Errechnet man nun die Wahrscheinlichkeiten der Pfade einer vorgegebenen Länge 3 vom Startzustand aus um S zu erzeugen (siehe Abbildung 8, wie im Anwendungsfall 2 beschrieben, so ergibt die Summe der Wahrscheinlichkeiten, dass dreimal hintereinander ein write-befehl ausgeführt wird, 2,6536%. Abbildung 8: Entscheidungsbaum Diese Beobachtungssequenz ist also ungewöhnlich, da anhand der Statistiken festgestellt wurde, dass in sendmail-ereignissequenzen der write-befehl nicht so häufig auftaucht. D.h. es wäre ziemlich unwahrscheinlich, dass zwei oder mehrere write-befehle aufeinander folgen. Die Sequenz S kann also als anomal eingestuft und der Alarm ausgelöst werden. 3.3 Reaktion nach einem Einbruch Trotz aller Präventionsmaßnahmen z.b. durch Verwendung von Firewalls und Virenscanner wird es der Fall sein, dass in das System eingebrochen wird. Idealerweise ertappt das IDS den Eindringling und löst den Alarm aus. Dann stellt sich allerdings die Frage: Was ist zu tun? Hierbei werden IDS nochmals anhand ihrer zeitlichen Reaktion in reaktive und proaktive Systeme eingeteilt. Reaktive Systeme reagieren erst nach einem Angriff und leiten Gegenmaßnahmen ein, wohingegen proaktive Systeme sofort reagieren und versuchen, diese zu unterbinden. Das kann durch eine Trennung des Systems vom restlichen Netzwerk stattfinden, durch die Sperrung eines Benutzers oder die Unterbindung der Ausführung einer Datei. Angreifer können auch auf ein extra eingerichtetes System gelockt werden, welches dem Eindringling das attackierte System 12
13 simuliert, nur dass hier selbstverständlich keine sensiblen Daten erreichbar sind und das System vom eigentlich zu schützenden System abgekapselt ist. In diesem Fall spricht man von sogenannten Honeypots [1] (siehe Kapitel 5.2). Nun können die weiteren Maßnahmen des Angreifers sogar analysiert werden, ohne dass man sich Sorgen um die eigenen Daten machen muss. Allerdings ist zu beachten, dass der Angreifer seine Täuschung durch das emulierte System nicht erkennt und versucht es gegen einen selbst zu verwenden. Weitere Maßnahmen nach einem Angriff sind dann die Analyse und die Dokumentation der gesammelten und vorhandenen Daten sowie die Sicherung des Systems im aktuellen Zustand für weitere Analysen. Folglich muss man sich klarmachen, welche Systeme, Rechner und Netzwerke in welchem Umfang betroffen sind, welche Ziele der Angreifer verfolgte und danach das IDS auf solche Angriffe vorbereiten und entsprechend konfigurieren, damit diese in Zukunft nicht erfolgreich stattfinden können. 4 Angriffe gegen IDS Ein IDS sollte stets so konfiguriert sein, dass die Überwachung möglichst unauffällig erfolgt. Hierbei ist unter anderem die Prozessorauslastung zu beachten, die mit kontinuierlicher Protokollierung und anderen rechenintensiven Vorgängen erhöht wird und dem Angreifer ein Hinweis auf das Vorhandensein eines IDS sein kann. Falls das IDS sich aber dennoch durch irgendwelche Maßnahmen verrät, dann wird der Angreifer versuchen, entweder das IDS für seine Zwecke auszunutzen oder es zu umgehen. In den nachfolgenden Beispielen werden Möglichkeiten zur Umgehung von IDS dargestellt. 4.1 Fragmentierung Ziel eines Angriffs mit Hilfe der Fragmentierung [14] ist es, den schadhaften Code, welcher über das Netzwerk gesendet werden soll, in mehrere Pakete aufzusplitten und somit die Absicht dahinter zu verschleiern. Die einzelnen Fragmente alleine sind somit nicht als Angriff zu identifizieren, erst das Zusammenfügen aller Fragmente ermöglicht eine Erkennung des schadhaften Codes. Beachtet man, dass das IDS und der Zielhost häufig zwei verschiedene Rechner im Netz sind und das unterschiedliche Betriebssysteme IP-Pakete aus unterschiedlichen Gründen annehmen oder verwerfen, dann wird klar, dass ein NIDS nicht entscheiden kann, ob das Paket vom Zielhost angenommen wird, da es keinerlei Information über diesen hat. Bei einem Angriff durch Fragmentierung kann zwischen den zwei Verfahren Insertion und Evasion unterschieden werden Insertion Angenommen der Angreifer fragmentiert sein Paket ATTACK, wie in Abbildung 9 dargestellt, in einzelne Teilpakete. 13
14 Abbildung 9: Beispiel Insertion Ziel der Technik Insertion ist es, ein Paket X zu generieren, welches das IDS akzeptiert, das Ziel-System jedoch nicht. Während das IDS nun die einzelnen Pakete zu ATTXACK zusammensetzt und die Vergleiche mit entsprechenden Signaturen fehlschlagen, erreicht den Host das Paket ATTACK. Lösen könnte man dieses Problem, indem die vom Host abgelehnten Pakete protokolliert und dem IDS kenntlich gemacht werden. Ein Beispiel dafür ist, dass ein Host alle ankommenden IP-Pakete, die eine inkorrekte Checksumme aufweisen, sofort verwirft, jedoch nicht alle NIDS-Implementierungen prüfen die Checksumme der empfangen IP-Pakete. Hier ist es sinnvoll, die Checksummen-Prüfung auch im NIDS zu implementieren Evasion Evasion funktioniert nach demselben Prinzip wie Insertion, nur dass diesmal ein Paket vom IDS nicht akzeptiert wird, der Ziel-Host dieses Paket aber akzeptiert. Im Beispiel erreicht also das Paket ATTA*CK, siehe Abbildung 10, das IDS, welches das Paket A* nicht akzeptiert und somit keine Übereinstimmung der Pakete ATTCK mit vorhandenen Signaturen feststellen kann. Abbildung 10: Beispiel Evasion Die Pakete werden also wieder an den Host weitergeleitet, wobei dieser nun ATTACK bekommt, da er das A*-Paket interpretieren kann. Ein Beispiel hierfür ist, dass einzelne Fragmente häufig in einer falschen Reihenfolge ankommen. Ist das NIDS nicht in der Lage, die Pakete in die richtige Ordnung zu bringen und entsprechend zusammenzusetzen, dann bleibt der Schadcode unentdeckt. Dieser Fall kann insbesondere dann auftreten, wenn das Paket in sehr viele Fragmente aufgeteilt ist, zwischendurch ziemlich viele Junk-Pakete ankommen, oder wenn einzelne Pakete erst sehr spät nach anderen eintreffen. 14
15 4.2 Verschlüsselung Ein IDS kann auch durch die Verschlüsselung (SSL, SSH, IPSec) von Daten umgangen werden. Hier macht man sich eine Sicherheitsmaßnahme zu eigen, um Angriffe zu tarnen. Netzwerkbasierte IDS protokollieren, wie bereits erwähnt, den Netzverkehr und prüfen auf bekannte Muster. Ist der Datenverkehr verschlüsselt, müsste das IDS den gesamten Datenstrom entschlüsseln, überprüfen und wieder verschlüsseln, womit ein enormer Aufwand verbunden und eigentlich nicht Sinn einer Verschlüsselung ist. Deshalb verzichten einige IDS hierauf und öffnen zugleich den Weg für verschlüsselte Angriffspakete, die somit nicht ermittelt werden können. Beispiele hierfür sind SQLInjection, BufferOverflows und SSL VPN Verbindungen. 4.3 Denial of Service Wie bei den netzwerkbasierten IDS schon erwähnt, ist es kaum möglich mit steigendem Datenaufkommen, sämtliche Pakete abzufangen und auf Signaturen zu überprüfen. Bei Denial of Service-Attacken [14] werden ständig Pakete an das Host-System versendet, damit das IDS überlastet ist und einige Pakete verwerfen muss. Wenn also nicht alle Pakete kontrolliert werden, ist es einfacher manipulierte Pakete ins System einzuschleußen. Eine weitere Möglichkeit ist das sogenannte Spoofing. Bei dieser Technik werden eine Vielzahl von Angriffen vorgetäuscht, welche ein IDS-Alarm auslösen, so dass die IDS-Administratoren nicht mehr zwischen echten und gefälschten Attacken unterscheiden können. Dies geschieht dadurch, dass Netzwerk-Pakete gefälscht werden und die Absenderadressen von vertrauenswürdigen Hosts tragen. Beispielsweise bedeuteturl-spoofing, einem Besucher einer Website in betrügerischer Absicht eine falsche Identität vorzugeben und die tatsächliche Adresse der Seite zu verschleiern. Im Grunde umfasst Spoofing alle Methoden, mittels denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen. 5 Tools Im Folgenden werden die Programme Snort [4] und honeyd [5] kurz erläutert, welche als Open-Source-Programme zur Verfügung stehen und häufigen Einsatz finden. 5.1 Snort Snort [4] reiht sich in die Kategorie der netzwerkbasierten IDS ein und verwendet den logischen Ansatz, da es auf Regeln basiert. Es ist eines der heutzutage bekanntesten NIDS und vielseitig einsetzbar. Snort verfügt über 3 Modi: sniffer mode: Netzwerkpakete werden am Bildschirm ausgegeben und ist ähnlich zu tcpdump [2] bzw. Wireshark [7]. Der Vorteil gegenüber tcpdump ist allerdings, dass Snort wesentliche Informationen des IP-Headers 15
16 in Klartext ausgibt, während dies bei tcpdump in hexadezimaler Schreibweise erfolgt. logger mode: Netzwerkpakete werden in einer Datei abgespeichert (vgl. tcpdump / Wireshark). NIDS mode: Netzwerkpakete werden anhand einem Regelsatz untersucht und nur diejenigen protokolliert, welche von den Regeln herausgefiltert werden. 5.2 honeyd Honeyd [5] ist ein frei verfügbares Programm, mit dem sich sog. Honeypots realisieren lassen. Honeypots sind nicht wie andere ID-Systeme zur Verteidigung gedacht, sondern hoffen regelrecht auf einen Angriff. Unter einem Honeypot kann man sich also ein gegenüber dem Angreifer simuliertes System vorstellen, welches ebenfalls Dienste anbietet und Netzwerkstrukturen emuliert. Es können einzelne Hosts oder ganze Netzwerke erstellt werden, mittels denen potenzielle Angreifer und ihr Einbruchsverhalten untersucht werden können. Dabei verwenden Honeypots sowohl den logischen als auch statistischen Ansatz. In Abbildung 11 wird dargestellt wie ein Honeypot in das Netzwerk integriert wird. Dabei ist zu beachten, dass der Honeypot vom restlichen Netzwerk getrennt wird. Da ein Angreifer zunächst nicht zwischen echten Servern und Honeypots unterscheiden kann, wird er alle Netzkomponenten auf Schwachstellen untersuchen und, da ein Honeypot nicht geschützt wird, darauf zugreifen wollen. Ein Zugriff kann dann bereits als Angriff gewertet werden, da Dienste des Honeypots ungenutzt sind. Abbildung 11: Honeypot Honeypots können unterschieden werden in low-interaction und highinteraction. Honeyd gehört dabei zu den low-interaction Honeypots, d.h. der Informationsgewinn ist hier beschränkt, da ein erfahrener Angreifer den Honeypot sehr schnell daran erkennt, dass nur wenige Dienste emuliert werden. 16
17 Allerdings wird er zur Gewinnung von statistischen Daten eingesetzt, um automatisierte Angriffe von Computerwürmern zu analysieren. High-interaction Honeypots dagegen sind aufwendiger in der Konfiguration und Verwaltung. Aber dafür können auch manuell ausgeführte Angriffe analysiert werden. 6 Schluss Mit einem Intrusion Detection System lassen sich also sowohl bekannte, als auch unbekannte Angriffsversuche erkennen. Dazu ist es allerdings erforderlich, dass sich erfahrene Administratoren mit versierten Kenntnissen über Netzwerkarchitekturen um den Aufbau eines solchen Systems kümmern und dieses ständig aktualisieren. Zum Abschluss kann man sagen, dass auch Intrusion Detection Systeme keinen vollständigen Schutz vor Angriffen bietet, aber dennoch sehr zu empfehlen sind, wenn es darum geht, die Sicherheit eines Systems wesentlich zu erhöhen. 17
18 Literatur [1] Einbruchserkennung in Netzwerke mit Intrusion Detection Systemen und Honeypots, Stefan Schumacher stefan/einbruchserkennung-paper.pdf [2] Spass im Netzwerk mit tcpdump & Co., Stefan Schumacher stefan/tcpdump.pdf [3] Ralf Spenneberg, Intrusion Detection und Prevention mit Snort 2 & Co., Einbrüche auf Linux-Servern erkennen und verhindern, 2005 by Addison- Wesley Verlag, ISBN: [4] zuletzt besucht am [5] zuletzt besucht am [6] zuletzt besucht am zuletzt besucht am [7] zuletzt besucht am [8] Intrusion and intrusion detection, John Mc Hugh adrian/731-sp04/readings/ijis-published.pdf [9] Behavioral Intrusion Detection, Stefano Zerano [10] Hidden Markov Models, Nikolas Dörfler ausarbeitung.pdf [11] Intrusion Detection effective! Modellierung und Analyse von Angriffsmustern, Michael Meier, Springer-Verlag 2007, ISBN: [12] A Multi-layer Model for Anomaly Intrusion Detection Using Program Sequences of System Calls, Xuan Dau Hoang, Jiankun Hu, Peter Bertok jiankun/sample Publication/ICON03 Dau.pdf [13] Seminar ID und Firewalls, Thema: Analysis Schemes, Daniel Sutlar fw/ausarbeitungen/seminar Sutlar Ausarbeitung.pdf [14] Absicherung von Netzen mit Hilfe von Intrusion Detection / Intrusion Prevention Systemen - Resistenz gegen Anti-IDS-Angriffe 18
Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005
Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion
MehrIT - Sicherheit und Firewalls
IT - Sicherheit und Firewalls C. Lenz, B. Schenner, R. Weiglmaier 24. Jänner 2003 IT-Sicherheit & Firewalls C. Lenz, B. Schenner, R. Weiglmaier Seite 1 TEIL 1 o Grundlegendes o Cookies o Web-Log o Spoofing
MehrIntrusion Detection Systeme. Definition (BSI) Alternative Definition IDS
Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrPräsentation IKS. Desktop Personal Firewall (DPF) Virenscanner
Präsentation IKS Desktop Personal Firewall (DPF) Virenscanner Was ist eine Desktop Personal Firewall (DPF)? Software zum filtern von ein- und ausgehendem Datenverkehrs eines PC s Dient zum Schutz des Computers
MehrIT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.
IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit
MehrPraktikum IT-Sicherheit
IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Intrusion Detection II Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in einen
MehrIDS Intrusion Detection Systems
IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion
MehrPacketsniffer. Jens Zentgraf. 26. Juli Zentgraf Packetsniffer 26. Juli / 21
Packetsniffer Jens Zentgraf 26. Juli 2015 Zentgraf Packetsniffer 26. Juli 2015 1 / 21 Outline 1 Was ist ein Packetsniffer? 2 Netzwerkaufbau 3 Aufbau eines Sniffers Socket Aufarbeitung der Daten Wireshark
MehrThomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux
Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2
MehrLernprogramm IT-Sicherheit in Unternehmen und im Privatbereich
Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich Inhalt: 1 Grundlagen der IP-Netze Adressen Adressen Zwei Adress-Typen IP-Adressen IP-Adressen und IP-Netz Subnets Subnet-Maske Beispiele Anzeige
MehrIntrusion Detection Systeme
Intrusion Detection Systeme Janzer, Kaindl, Schönleitner June 23, 2017 Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 1 / 49 Übersicht 1 Definition IDS / IPS 2 Angriffsarten 3 Honeypot 4 Komponenten
MehrFirewall - Techniken & Architekturen
Firewall -techniken & -architekturen Was ist eine Firewall? Eine Firewall ist eine Software oder Hardware, die die aus dem Internet oder einem Netzwerk eingehenden Daten überprüft und dann je nach den
MehrMethoden zur Umgehung von IPS-Systemen und deren Abwehr
Methoden zur Umgehung von IPS-Systemen und deren Abwehr 69. DFN Betriebstagung Hendrik Walter, avency GmbH Intrusion Detection und Prevention Systeme 1 2 3 Ein IPS schützt das Netzwerk inklusive aller
MehrAbsicherung von WLANs: Methoden
2010 Absicherung von WLANs: Methoden Philipp Schwarz 5AHTIN 21.04.2010 Inhalt Bedrohungen für ein WLAN-Netzwerk... 3 Abhören... 3 Abfangen und Ändern abgefangener Daten... 3 Spoofing... 4 Denial of Service
MehrIntrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40
Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion
MehrARP-Spoofing. ARP-Spoofing Handout IAV 06-08
ARP-Spoofing Seit der Einführung von Switches ist das Auslesen des Datenverkehrs in lokalen Netzwerken schwieriger geworden. Da der Switch nur noch Pakete an den Port mit der richtigen Ziel- MAC-Adresse
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrISA Server 2004 IP-Einstellungen definieren - Von Marc Grote
Seite 1 von 6 ISA Server 2004 IP-Einstellungen definieren - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung ISA Server 2004 bietet die Option
MehrDefinition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten
Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrT:\Dokumentationen\Asseco_BERIT\Schulung\BERIT_LIDS7_Basiskurs\Impo rt_export\beritde_lt_do_20120918_lids7.basisschulung_import_export.
LIDS 7 Import/Export Mannheim, 11.02.2013 Autor: Anschrift: Version: Status: Modifiziert von: Ablage: Christine Sickenberger - Asseco BERIT GmbH Asseco BERIT GmbH Mundenheimer Straße 55 68219 Mannheim
MehrNetwork Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)
Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar
MehrErkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT
Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding Tel: +49 (0)89-18 90 80 68-0 Fax: +49 (0)89-18 90
Mehr[DNS & DNS SECURITY] 1. DNS & DNS Security
[DNS & DNS SECURITY] 1 DNS & DNS Security Thomas Vogel & Johannes Ernst Funktionsweise von DNS und deren Security Eigenschaften. Was es für Angriffe gibt, welche Gegenmaßnahmen dafür erforderlich sind
MehrMERCUR Messaging Konfigurationsbeispiele
2005 - Konfigurationsbeispiele Übersicht wird weltweit in den unterschiedlichsten Umgebungen eingesetzt. Je nach Anforderung, erstreckt sich das Einsatzgebiet von der einfachen passiven Postfachverwaltung
MehrARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch
ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch Mit ARP-Spoofing (ARP Request Poisoning) werden gefälschte ARP-Pakete zu einem oder mehreren
MehrAnleitung zur Fleet & Servicemanagement Evatic Schnittstelle
Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Hinweise zur Verbindungseinrichtung zum Evatic Server... 3 3 Konfiguration der docuform
MehrIntrusion Detection Basics
Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:
Mehr4.3 Einbruchsentdeckung Intrusion Detection
4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:
MehrInstallationsanleitung für CAO-FAKTURA Connector.
Installationsanleitung für CAO-FAKTURA Connector. Folgende Schritte müssen beachtet werden, damit CAO-Faktura mit Ihrem Shop kommunizieren und Daten austauschen kann. Server-Konfiguration Wenn Sie PHP
MehrJan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT
Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT GLIEDERUNG Was ist ein Intrusion Detection System? Arten von IDS Probleme von IDS Snort Jan-Peter Hashagen 2 EINFÜHRUNG
MehrIntrusion Detection and Prevention
Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen
MehrJ LJ. Andrew Lpckhart O'REILLY S. Deutsche Übersetzung von Andreas Bildstein- , / LJ \ I. Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo
A\ P J LJ, / LJ \ I TM Andrew Lpckhart Deutsche Übersetzung von Andreas Bildstein- O'REILLY S Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo lit Credits Vorwort IX XIII Kapitel 1. Unix-Host-Sicherheit
Mehrantrano Fernzugriffslösungen einfach gemacht becom Systemhaus GmbH & Co. KG antrano Handbuch Seite 1
antrano Fernzugriffslösungen einfach gemacht becom Systemhaus GmbH & Co. KG antrano Handbuch Seite 1 Inhalt Fernzugriffslösungen einfach gemacht... 1 antrano.box... 5 Anschließen der Box... 5 Konfiguration
MehrMEINE JOOMLA WEBSEITE WURDE GEHACKT WAS KANN ICH TUN?... 2 1) WEBSEITE VOM NETZ NEHMEN...2 2) EINBRUCH UNTERSUCHEN UND SICHERHEITSLÜCKE FINDEN...
Inhalt MEINE JOOMLA WEBSEITE WURDE GEHACKT WAS KANN ICH TUN?... 2 1) WEBSEITE VOM NETZ NEHMEN...2 2) EINBRUCH UNTERSUCHEN UND SICHERHEITSLÜCKE FINDEN... 3 3) PASSWÖRTER ÄNDERN UND BACKUP WIEDERHERSTELLEN...
MehrYou can start right now!
You can start right now! "Ich seh' etwas was Du nicht siehst" Copyright Siemens Enterprise Communications 2006. All rights reserved. Entwicklung der Verschlüsselung beim Wireless LAN Verfügbarkeit von
MehrInstallation von MS SQL-Server 2014 Express
ALGE 2016 SQL Server Installation Inhaltsverzeichnis Installation von MS SQL-Server 2014 Express...1 Datenbank für Remote- Zugriff vorbereiten...6 Windows Firewall Konfiguration...9 Falls Sie ein Englischsprachiges
Mehr1.1 Features der Software Folgende Änderungen bzw. Neuerungen sind gegenüber der alten KPS-Lite 2009 Software enthalten:
Analyse-Software für Akku-Power A36 1.1 Features der Software Folgende Änderungen bzw. Neuerungen sind gegenüber der alten KPS-Lite 2009 Software enthalten: Die Software basiert jetzt auf einer Microsoft
MehrSchutz vor Malware - Antivirensoftware
Schutz vor Malware - Antivirensoftware Um sich vor Malware zu schützen, gibt es mehrere Möglichkeiten. Manchmal reicht es schon, einfach nicht jede Meldung und jedes Popup, das beim Surfen im Internet
MehrSicherheitsmechanismen im Netzwerk
09.12.2011 Grundprinzipien der Internet-Sicherheit Angriffe Ziele Methoden Gliederung Sicherheitsmechanismen Firewalls Intrusion Detection System Honeypot 09.12.2011 Folie 2 Grundprinzipien der Internet-Sicherheit
MehrMaster Seminar. Fortgeschri2ene anomaliebasierte Erkennung von Network Layer Angriffen
Master Seminar Fortgeschri2ene anomaliebasierte Erkennung von Network Layer Angriffen Von: Sergej Isak Geidel Betreuer: Michael Feld AuFau Einführung MoIvaIon Netzwerk Angriffsarten Erkennungs und Abwehrsmöglichkeiten
MehrInstallationsanleitung E-Newsletter
Installationsanleitung E-Newsletter Einleitung...2 Installation WebService...2 Vorbereitung Windows Server 2003, 2008, 2008 R2...2 Vorbereitung Windows Server 2012...6 PROFFIX E-Newsletter WebService installieren...
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Heutzutage existiert eine Vielzahl von Methoden zur Erkennung von Angriffen. So arbeiten viele Systeme heute nach dem Prinzip. Datenpakete
MehrUnterrichtseinheit 10
Unterrichtseinheit 10 Begriffe zum Drucken unter Windows 2000 Druckgerät Das Hardwaregerät, an dem die gedruckten Dokumente entnommen werden können. Windows 2000 unterstützt folgende Druckgeräte: Lokale
MehrVersion: Das Versionsfeld gibt an ob es sich um IPv4 oder um IPv6 handelt.
Folie 1 Folie 2 Folie 3 Version: Das Versionsfeld gibt an ob es sich um IPv4 oder um IPv6 handelt. IHL (IP Header Length) Im IHL-Feld wird ein vielfaches von 32 Bit angegeben. Die Summe gibt die Größe
MehrNetwork Intrusion Detection
System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von
MehrHoneypots und Honeynets die süße Versuchung. Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c
Honeypots und Honeynets die süße Versuchung Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c0510159074 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme,
MehrRecording Server Version SP B
Technische Mitteilung Deutsch Recording Server Version 8.11.10 SP B VideoNetBox II Version 1.0.0 / 2017-02-09 1 Zusammenfassung Dieses Dokument beinhaltet Informationen über Neuerungen und Änderungen,
MehrDas Default Gateway ist ein Verteiler (Router), welches euch ermöglicht andere Netzte zu erreichen z.b. Internet.
Nachdem im Evo-X Board ja immer mehr und mehr anfragen kommen, wie man das mit den Netzwerkeinstellugen macht, habe ich mir mal überlegt diesen Tutorial zu erstellen. Ich gehe hier wirklich nur auf die
MehrFilius Simulation von Netzwerken
Wurde an der Universität Siegen entwickelt, Download unter http://www.lernsoftware-filius.de Start unter Linux: Auf der Konsole den entsprechenden Ordner ansteuern: cd Desktop/TdI-Filius/filius-1.5.1 Filius-Java-Datei
MehrInstallation. Schulfilter Plus Installationsanleitung Microsoft Windows Betriebssysteme
Schulfilter Plus Installationsanleitung Microsoft Windows Betriebssysteme 1 Inhaltsverzeichnis 1 Installation... 3 1.1 Vor der Installation... 3 1.1.1 Kompatible Betriebssysteme... 3 1.1.2 Minimale Systemvoraussetzungen...
MehrBenutzer und Rechte Teil 1, Paketverwaltung, SSH
Benutzer und Rechte Teil 1, Paketverwaltung, SSH Linux-Kurs der Unix-AG Andreas Teuchert 27. Mai 2014 SSH ssh ( Secure Shell ) startet eine Shell auf einem anderen Rechner über das Netzwerk Verbindung
MehrNetUSE-SSH-Keymanager 2.12
Benutzerhandbuch Maksim Kabakou - Fotolia.com Revision: 38 Stand: 10. Januar 2014 NetUSE AG Dr.-Hell-Straße 6 D-24107 Kiel Telefon: +49 431 2390 400 http://netuse.de/ Inhaltsverzeichnis 1. Versionsübersicht...3
MehrIDS/IPS Intrusion Detection System/Intrusion Prevention System
IDS/IPS Intrusion Detection System/Intrusion Prevention System Benjamin Lietzau & Philipp Meyer Sommersemester 2012 Seminar im Modul: Kommunikationstechnik/Netzwerke Dozent: Prof. Dr. Stefan Wolf 1 Themenüberblick
MehrSicherheitsdienste für große Firmen => Teil 2: Firewalls
Seite 20 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste
MehrProxy-Server Christoph Taborsky
Proxy-Server Christoph Taborsky 30.04.2010 Inhaltsverzeichnis Was ist ein Proxy-Server?... 3 Unterschied zu NAT... 3 Sichtbarkeit der Proxys... 3 Konventioneller Proxy... 3 Transparenter Proxy... 3 Standort
MehrMobile Honeypot. Theodor Nolte. Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik
1 / 15 Theodor Nolte Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik 26. November 2010 2 / 15 Gliederung 1 SKIMS 2 Honeypot 3 / 15 SKIMS SKIMS Schichtenübergreifendes
MehrEP 1 777 911 A1 (19) (11) EP 1 777 911 A1 (12) EUROPÄISCHE PATENTANMELDUNG. (43) Veröffentlichungstag: 25.04.2007 Patentblatt 2007/17
(19) (12) EUROPÄISCHE PATENTANMELDUNG (11) EP 1 777 911 A1 (43) Veröffentlichungstag: 2.04.2007 Patentblatt 2007/17 (1) Int Cl.: H04L 29/06 (2006.01) (21) Anmeldenummer: 0602092. (22) Anmeldetag: 0.10.2006
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2007: Einführung in die IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter)
MehrBedienungsanleitung Gebührendaten
Bedienungsanleitung Gebührendaten 1 Inhaltsverzeichnis 1 Vorwort 4 2 Einführung 5 3 Webadministration 5 4 Hauptseite 6 4.1 Gespräche 6 4.2 Dashboard 6 4.3 Schnelle Erstellung 7 4.4 Passwort ändern 7 5
MehrJobmanager / Aufgabenplaner
Version 1.0 1 VORWORT 3 2 JOBMANAGER 3 2.1 Welche Jobs kann ich erstellen? 4 2.2 Wie erstellt man nun einen Job? 4 3 JOB ÜBER JOBMANAGER AUSFÜHREN 6 4 AUTOMATISIERTER IMPORT / EXPORT 7 4.1 Einstellungen
MehrWindows Cockpit Konfiguration Montag, 23. November :59
Windows Cockpit Konfiguration Montag, 23. November 2015 10:59 Standard Standard Einstellungen Interne Programm Version Cockpit Brand Text Alternativer Logfile Pfad Alte Logdateien automatisch löschen Update
MehrLive Hacking: : So brechen Hacker in Ihre Netze ein
Live Hacking: : So brechen Hacker in Ihre Netze ein Security Consultant Micha Borrmann SySS GmbH Friedrich-Dannenmann-Str. 2 D-72070 Tübingen Agenda 1. Einleitung 2. Netbios-Angriffe
MehrSeminar: Konzepte von Betriebssytem- Komponenten
Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist
MehrHacker-Contest WS16/17. Anmeldungsaufgabe
Hacker-Contest WS16/17 Anmeldungsaufgabe Autor Almon, Ralf Version 1.0 Status Final Datum 07.10.2016 1 Allgemeines Für die Anmeldung zum Hacker-Contest gilt es dieses Semester eine Challenge aus dem Bereich
MehrProCalc 2014 Installation
1 ProCalc 2014 installieren ProCalc 2014 Installation ProCalc 2014 ist eine Urheberrechtlich geschützte Software zur Erstellung und Verwaltung von Aufträgen für Bauelemente insbesondere Fenster, Türen
MehrAvira Small Business Suite 2.6 Quickguide
Avira Small Business Suite 2.6 Quickguide Inhaltsverzeichnis 1. Einleitung...3 2. Produktinformationen...3 2.1. Funktionsweise... 3 2.2. Leistungsumfang... 3 2.3. Optimaler Schutz. Schnelle Updates. Effiziente
MehrTechnical Note 0409 ewon
Technical Note 0409 ewon Cosy 131 USB-Anbindung über IP - 1 - Inhaltsverzeichnis 1 Allgemeines... 3 1.1 Information... 3 1.2 Hinweis... 3 1.3 Anschluss PC und ewon... 3 2 ewon Konfiguration... 4 3 Verbindung
MehrHacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen
Hacker unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen physikalischer Zugang möglich im LAN des Opfers außerhalb physikalischer Zugang wie kriegt man den? Diebstahl
MehrHeimischer PC Betriebssystem: Windows 9x/NT/2000/ME/XP, Textverarbeitung: MS Office-Paket, MS Word. ver.di Server bog http://be-online.ver.
Download Upload bog http://be-online.ver.org Heimischer PC Betriebssystem: Windows 9x/NT/2000/ME/XP, Textverarbeitung: MS Office-Paket, MS Word Ausgangssituation: Im A- AArbeitsforum f. AdministratorInnen
MehrÜbung zur Vorlesung Sicherheit in Netzen und verteilten Systemen Sommersemester 2014. Übungsleiter: Sebastian Ebers, <ebers@itm.uni-luebeck.
Übung zur Vorlesung Sicherheit in Netzen und verteilten Systemen Sommersemester 2014 Übungsleiter: Sebastian Ebers, Oliver Kleine, Klaus-Dieter Schumacher
MehrTerminland TLSync. Installationsanleitung. Terminland TLSync. Installationsanleitung. Dokumentation: 3.02 Terminland: ab Datum:
Terminland TLSync Dokumentation: 3.02 Terminland: ab 10.08 Datum: 09.02.2017 Terminland TLSync - Seite 1 von 11 Inhaltsverzeichnis 1 Einführung... 3 2 Systemvoraussetzung... 3 2.1 Betriebssysteme... 3
MehrNetzwerksicherheit HACKS
Netzwerksicherheit HACKS 2. Auflage Andrew Lockhart Deutsche Übersetzung der 1. Auflage von Andreas Bildstein Aktualisierung der 2. Auflage Kathrin Lichtenberg O'REILLT Beijing Cambridge Farnham Köln Paris
MehrInstallation von Windows 10
Installation von Windows 10 Die vorliegende Anleitung inklusive der Texte und der Bilder wurden mit freundlicher Genehmigung von der Universität Hohenheim für die Universität Freiburg zur Verfügung gestellt
Mehruntermstrich SYNC Handbuch
Handbuch 03/2017 Inhaltsverzeichnis 1. Einleitung... 2 2. Installation... 3 2.1 Systemanforderungen... 3 2.2 Vorbereitungen in Microsoft Outlook... 3 2.3 Setup... 4 3. SYNC-Einstellungen... 6 3.1 Verbindungsdaten...
MehrEinrichtung von WSUS auf Computern mit Windows- Betriebssystem an der Universität Hamburg
Einrichtung von WSUS auf Computern mit Windows- Betriebssystem an der Universität Hamburg 1) Einleitung Das Regionale Rechenzentrum bietet für Rechner mit Windows Betriebssystem im Netz der Universität
MehrELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen
ELIT2012: Security Security: Potentielle Gefahren und Gegenmaßnahmen Gefahrenquellen Brute-Force-Logins Scans Exploits Malware: Viren, Würmer, Trojaner Website-Hijacking DOS, DDOS Gefahrenquellen Internet
MehrInformationen zur Ersteinrichtung der Firewall/Router
Informationen zur Ersteinrichtung der Firewall/Router Die nachfolgenden Fragen dienen der Ersteinrichtung der Firewall/Router. Die Ersteinrichtung stellt sicher, dass die Firewall/Router unmittelbar in
MehrSichere Programmierung. Klaus Kusche
Sichere Programmierung Klaus Kusche Typische Ursachen für Lücken Große Mehrheit aller Lücken: Speicherüberschreiber Fehlende Input-Filterung ==> Jeweils eigener Foliensatz Restliche Lücken: Mehrere verschiedene
Mehrpinremotex Handbuch Version 1.0
pinremotex Handbuch Version 1.0 Page 1 Inhaltsverzeichnis 1 Einleitung... 3 2 Setup... 4 2.1 VM laden... 4 2.2 IP Adresse ermitteln... 4 2.2.1 Über Konsole... 4 2.2.2 Über Detection Tool... 4 2.3 Erste
MehrInhaltsverzeichnis. Version 2.1-15-11-12 12.11.15 Seite 1 von 7
Inhaltsverzeichnis Inhaltsverzeichnis... 1 FAIS - Feuerwehr Alarm Info System... 2 Was ist FAIS?... 2 Systemvoraussetzungen... 2 Login... 2 Positionsdaten... 3 Alarm Meldung... 3 Objekt-Ansicht... 4 Alarm-Ansicht...
MehrFirewall. My Company - My Castly. Kontinuierlicher Prozess
Firewall My Company - My Castly 04.11.2003 1 Kontinuierlicher Prozess Im Idealfall sollte (!) IT-Sicherheit ein kontinuierlicher Prozess aus folgenden Stufen sein Protection Phase Detection Phase Response
MehrDie aktuellen Versionen des ConfigTools NEO und des AIO Creator NEO können Sie unter herunterladen.
AIO GATEWAY V5 PLUS Erste-Schritte Dokumentation EINRICHTUNG DES V5 PLUS MIT DEM CONFIGTOOL Um das V5 Plus zur Steuerung Ihres Smart Homes verwenden zu können, müssen Sie das Gerät zunächst mit dem ConfigTool
MehrNetwork Intrusion Detection
Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung
MehrInfrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks
Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis
MehrAnleitung zur Konfiguration der TCP/IP-Kommunikation zwischen ArcGIS Lizenzmanager 10.5 und ArcGIS Desktop 10.5 Client(s) (Mai 2017)
Anleitung zur Konfiguration der TCP/IP-Kommunikation zwischen ArcGIS Lizenzmanager 10.5 und ArcGIS Desktop 10.5 Client(s) (Mai 2017) Copyright 2017 Esri Deutschland GmbH Inhalt 1 Einleitung... 3 2 Voraussetzungen...
MehrInstallation von Microsoft SQL Server 2014 Express in Verbindung mit Postbuch
Installation von Microsoft SQL Server 2014 Express in Verbindung mit Postbuch Vorbemerkung: Die folgende Anleitung zeigt eine (Referenz-)Installation des Microsoft SQL Server 2014 unter Verwendung des
MehrRRZK Universität zu Köln. Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows
RRZK Universität zu Köln Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows Inhaltsverzeichnis 1. INSTALLATION 3 2. GRUNDKONFIGURATION 7 3. ERWEITERTE
MehrEasyWebNG - Screenshots
EasyWebNG - Screenshots EasyWebNG ist und bleibt 100% kostenlos. Weitere Informationen finden Sie unter http://www.nbs-rottweil.de/easywebng Bereich Alle InstallationEasyWeb. Startseite Startseite nach
MehrNetwork-Detektiv. Erstellt für: Test Erstellt von: Musketier Systemhaus AG
Network-Detektiv Erstellt für: Test Erstellt von: Musketier Systemhaus AG Inhaltsverzeichnis Umgebung Risiko- und Problempunktzahl Problemüberprüfung Nächste Schritte Umgebung - Übersicht Domäne Domänencontroller
MehrOutlook-Synchronisation
Outlook-Synchronisation Inhalt Inhalt 2 1.Voreinstellungen 3 2. Erstabgleich 6 3.Kontaktabgleich / Ansprechpartner 9 4. Terminabgleich 13 5. E-Mail 16 6. Allgemeine Einschränkungen 17 1. Voreinstellungen
MehrXEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im ESS/Netzwerkcontroller könnte potenziell unberechtigten Zugriff gewähren.
XEROX SICHERHEITSBULLETIN XRX04-005 Eine Schwachstelle im ESS/Netzwerkcontroller könnte potenziell unberechtigten Zugriff gewähren. Die folgende Softwarelösung und die nachstehend beschriebenen Self-Service-Anweisungen
Mehr1. astendo MailConnector im Überblick Systemvoraussetzungen Lizenzierung Installation... 3
Stand: September 2013 Inhalt 1. astendo MailConnector im Überblick... 1 1.1. Systemvoraussetzungen... 2 1.2. Lizenzierung... 2 2. Installation... 3 3. Einrichtung des MailConnectors... 4 3.1. Datenbanken...
MehrSicherheit in Netzen- Tiny-Fragment
Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische
MehrRRZK Universität zu Köln. Anleitung zur Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows
RRZK Universität zu Köln Anleitung zur Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows Inhaltsverzeichnis 1. INSTALLATION 3 2. GRUNDKONFIGURATION
MehrPraktikum IT- Sicherheit
Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die
MehrNetzwerkanalyse in Ethernet - IP Datennetzen
Netzwerkanalyse in Ethernet - IP Datennetzen von Helmut Otto Ethernet und das IP-Protokoll ist in der Regel das Netzwerk der Wahl für die Vernetzung von Rechnern. Es ist überall zu finden und wird heutzutage
MehrKonfiguration Agenda Anywhere
Konfiguration Agenda Anywhere Bereich: IT-Lösungen - Inhaltsverzeichnis 1. Ziel 2 2. Agenda Anywhere-USB-Stick 2 2.1. Passwort ändern 2 2.2. Zugang sperren (USB-Stick verloren) 4 2.3. Benutzer-Ersatz-USB-Stick
Mehr