Intrusion Detection Systems

Transkript

1 Paolo Di Stolfo, Stefan Hasenauer, Raffael Lorup

2 Definition von IDS Arten von Attacken Angriffserkennung Basisarchitekturen Management von Alarmen und Korrelation Intrusion Response Beispiel und Implementierung von IDS Sicherheitsaspekte

3 Problem Problem Wie erkennt ein System bzw. Netzwerk einen Angriff? Wie kann ein Angriff möglichst schnell erkannt werden?

4 Definition Definition von IDS Intrusion Detection System Erkennung von Angriffen Nicht unbedingt Reaktion auf Angriff

5 Abgrenzung Abgrenzung zu anderen Sicherheitsmechanismen IDS meist Teil anderer Mechanismen Firewalls, Antivirenprogramme...

6 Arten von Attacken I Arten von Attacken Rechteausweitungsattacken Typen Vertikal: User to Super-User Horizontal: Non-User to User Arten Buffer Overflow Man-in-the-Middle Social Engineering

7 Arten von Attacken II Arten von Attacken II Denial of Service (DoS) und Distributed Denial of Service (DDoS) Server mit großer Anzahl an Anfragen belasten Beispiele Smurf-Attacke: Pings an Broadcastadresse, Absenderadresse des Opfers Syn-Flooding: Unterdrücken des ACK-Bit Mailbombe: Viele Mails an SMTP-Server Ping of Death: Buffer Overflow beim Empfänger

8 Arten von Attacken III Arten von Attacken III Routing Attacken Ausnutzen von Schwächen im Design bzw. der Implementation von Routern OSPF (Open Shortest Path First) Attacken Seq++: Ändern der Link-State Metrik und Erhöhen der Sequenznummer der LSA (Link State Advertisement) Maximum Age: Ändern des LSA auf das maximale Alter Maximum Sequence Number: Setzen der LSA Sequenznummer auf das Maximum (7FFFFFFF) BGP (Border Gateway Protocol) Attacken

9 Arten der Erkennung Die zwei wichtigsten Arten Missbrauchserkennung (misuse detection) Anomalieerkennung (anomaly detection)

10 Missbrauchserkennung Missbrauchserkennung I Darstellung von Angriffen Liste von bekannten Angriffen Vergleich von Liste mit Datenstrom

11 Missbrauchserkennung Missbrauchserkennung II Techniken Vergleich von Mustern Regelbasiert Statusbasiert

12 Missbrauchserkennung Missbrauchserkennung III Vorteile Relativ einfache Implementierung Niedrige Fehlalarmrate

13 Missbrauchserkennung Missbrauchserkennung IV Nachteile Richtige Darstellung eines Angriffs Erkennt keine unbekannten Angriffe Benötigt ständige Wartung (neue Angriffsarten)

14 Anomalieerkennung Anomalieerkennung I Definition des normalen Zustands des Systems Beschreibung des Zustands durch Parameter Suche nach Abweichung von den normalen Parametern im System

15 Anomalieerkennung Anomalieerkennung II Erkennung von Anomalien Statistisch Regelbasiert Biologische Modelle Lernfähige Modelle

16 Anomalieerkennung Anomalieerkennung III Vorteile Erkennung von unbekannten Angriffen Benötigt weniger Wartung als Missbrauchserkennung

17 Anomalieerkennung Anomalieerkennung IV Nachteile Passende Definition des normalen Zustands Schwerer zu implementieren

18 Basisarchitekturen Host-basierte IDS Bekommen Audit-Dateien von Host Analyisieren diese Log-Files und ausgeführte Syscalls Netz-basierte IDS Analysieren Netzwerkdaten, egal woher

19 Host-basierte IDS Host-basierte IDS Analysieren Aktivitäten auf geschütztem Host Muss auf jeder Maschine installiert werden Hauptsächlich für Erkennung verwendet: System-Logs, Application-Logs System Calls

20 Host-basierte IDS Beispiel

21 Host-basierte IDS Vorteile Aktivitäten können bestimmter User ID zugeordnet werden System kann umfassend überwacht werden Kann in verschlüsselter Umgebung eingesetzt werden Funktioniert in geswitchten Netzwerken

22 Host-basierte IDS Nachteile Jeder Host muss einzeln installiert und eingerichtet werden Anfällig gegen DoS-Attacke Verbraucht Rechenleistung und Ressourcen des Host Betriebssystem-Schwächen auch gefährlich für HIDS Überwachung von sich häufig ändernden Daten nur schwer möglich

23 Netz-basierte IDS Netz-basierte IDS Sammeln Daten an mehreren Punkten im Netzwerk Lesen alle Pakete im Netzwerk Weiterleitung der Daten an Verwaltungs-Box Platzierung hängt von Verwendungszweck ab

24 Netz-basierte IDS Platzierung der Netzsensoren Vor Firewall: Bester Überblick Hinter Firewall: Aktivitäten innerhalb des lokalen Netzes Zwischen Firewalls: Erhöht Reaktionszeit des IDS

25 Netz-basierte IDS Beispiel

26 Netz-basierte IDS Vorteile Überwachung in Echtzeit Großes Netzwerk kann mittels weniger Rechner überwacht werden Auf Rechnern im Netzwerk muss nichts konfiguriert werden

27 Netz-basierte IDS Nachteile Netzwerktraffic kann hoch sein Verschlüsselte Daten können nicht analysiert werden Geswitchtes Netz u.u. schwierig zu überwachen Schwächen bei Fragmentation, Slow Scans, DDoS-Attacken

28 Hybride IDS Hybride IDS

29 Effizienz des Systems Genauigkeit Wie genau ist ein IDS: Erkennt System Attacke oder nicht Fehlalarme True Positive: Attacke Attacke False Positive: Normal Attacke True Negative: Normal Normal False Negative: Attack Normal

30 Effizienz des Systems Performance Für NIDS: Traffic möglichst schnell verarbeiten Spezielle Hardware notwendig Wichtige Parameter: Speicherbandbreite und Latenzzeit Beeinflussung durch OS

31 Effizienz des Systems Vollständigkeit und Antwortzeit Vollständigkeit: IDS sollte möglichst alle Angriffe abdecken Antwortzeit: Je schneller das System, desto besser Detection Time Burst Detection Rate: Menge an Angriffsdaten / von IDS gefundener Menge

32 Effizienz des Systems Kostensensitivität Kostenfaktoren Damage Cost: Kosten der Schäden, die ohne IDS entstünden Operational Cost: Kosten des Betriebs eines IDS Response Cost: Ressourcen, die bei Response benötigt werden Consequential Cost: Voraussage des IDS

33 Übersicht Korrelation von Alarmen Ziel: Übersicht über den Angriff Datenfusion (data fusion) heterogene Datenquellen vermengen Ausgabe: Schätzung der Sicherheitslage + Details Korrelation von Alarmen, Meldungen (alert correlation)

34 Alert correlation Korrelation von Alarmen Motivation: große Anzahl an Meldungen, False Positives dreistufiger Prozess a. Preprocess b. Process c. Postprocess

35 Alert correlation a. Preprocess Normalisierung z.b. IDME-Format Datenreduktion Meldungen gruppieren (aggregation) Meldungen komprimieren (compression) Filtern statische Filter adaptive Filter Token-Bucket-Filter Falschmeldungen minimieren adaptiv über Clustering

36 Alert correlation b. Process Beziehungen der Alarme untereinander feststellen: Ähnlichkeit der Merkmale - Kausalität nicht feststellbar Bekannte Szenarien - müssen vorher definiert werden Ursache-Wirkung-Beziehung

37 Alert correlation c. Postprocess Incident Rank: Bewertung der Plausibilität des Vorfalls Relevanz von Meldungen Priorität des Vorfalls Absichtserkennung unbeaufsichtigte Aktionen Zustandsänderungen Reihenfolge von Schritten multiple gleichzeitige Ziele (auch mit einer einzigen Aktion) Unterscheidung von Einzelattacken Topologie

38 Reaktion auf Angriffe Passive Alarmierung und manuelle Reaktion Aktive Reaktionszeit

39 Passive Alarmierung und manuelle Reaktion Passive Alarmierung und manuelle Reaktion IDS dokumentiert Angriff, verhält sich aber passiv Administrator oder Benutzer entscheidet, wie reagiert wird

40 Aktive Reaktion Aktive Reaktion IDS hat vordefinierte Protokolle oder Reaktionen Administrator oder Benutzer werden nachträglich benachrichtigt

41 Beispiel und Implementierung von IDS mit Snort Implementierung mit Snort Snort: open-source IDS, IPS beteiligte Komponenten:

42 Konfiguration, Regeln Konfiguration, Regeln Platzierung im Netzwerk

43 Konfiguration, Regeln Konfiguration, Regeln Platzierung im Netzwerk Betriebsmodi: Sniffing Intrusion Detection

44 Konfiguration, Regeln Konfiguration, Regeln Platzierung im Netzwerk Betriebsmodi: Sniffing Intrusion Detection Regeln alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-iis unicode directorytraversal attempt"; flow:to_server,established;content:"/..%c1%1c../"; nocase; reference:cve, ; reference:nessus,10537; classtype:web-application-attack; sid:982; rev:13;) ping-demo

45 Verfügbarkeit Verfügbarkeit Host-basierte Sensoren Störungen erkennen durch Statusabfragen durch Verwaltungs-Box Absturz des Sensors kann System zum Absturz bringen Neustart des Sensors verlangt Root-Rechte Netz-basierte Sensoren Selbstüberwachung des Sensors Ausfall von einzelnen Sensoren berührt System nicht

46 Integrität Integrität Host-basierte Sensoren Selbstüberwachung, Statusabfragen Trennung von Sensor und überwachtem System nicht möglich Neustart des Sensors verlangt Root-Rechte Netz-basierte Sensoren Überlastung eines Sensors möglich Selbstüberwachung, Statusabfragen Datenverkehr vom Sensor in Produktionsnetz kann blockiert werden

47 Vertraulichkeit Vertraulichkeit Verschlüsselung von Kommunikation zwischen IDS-Komponenten Separate IDS-Teilnetze für Kommunikation zwischen IDS-Komponenten

48 Danksagung Vielen Dank für Ihre Aufmerksamkeit!

49 Quellenangabe I Ali A. Ghorbani, Wei Lu, Mahbod Tavallaee: Network Intrusion Detection. Concepts and Techniques. Springer New York Dordrecht Heidelberg London 2009, ISBN Ralf Spenneberg: Intrusion Detection mit Snort 2 & Co.. Einbrüche auf Linux-Servern erkennen, Addison-Wesley 2005, ISBN Northcutt, Novak: Network Intrusion Detection Third Edition, New Riders Publishing, September 2003, ISBN Rafeeq Ur Rehman: with Snort. Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID, Prentice Hall PTR 2003 ISBN Pfleeger, Pfleeger: Security in Computing, Third Edition, Prentice Hall 2002, ISBN \%20Detection\%20Systeme\%20-\%20Ein\%20Ueberblick.pdf

50 Quellenangabe II Consecur GmbH: Einführung von Intrusion-Detection-Systemen. Grundlagen, 31. Oktober 2002, Version DE/BSI/Publikationen/Studien/IDS/Grundlagenv10_pdf.pdf? blob=publicationfile Stand: Consecur GmbH: Einführung von Intrusion-Detection-Systemen, Leitfaden für die Einführung, 31. Oktober 2002, Version 1.0, DE/BSI/Publikationen/Studien/IDS/Leitfadenv10_pdf.pdf? blob=publicationfile Stand: seminararbeit/8_ids.pdf