Intrusion Detection Systems

Transkript

1 Intrusion Detection Systems Veranstaltung Sicherheit in Rechnernetzen

2 Übersicht Was ist eine Intrusion? Und was die Intrusion Detection? Arten von IDS Rechtliche Fragen Angriffspunkte von IDS IDS sinnvoll einsetzen

3 Was ist eine Intrusion? Intrusion = Eindringen, Einmischung In der Literatur häufig als Einbruch bezeichnet Interpretation was eine Intrusion ist, ist nicht immer eindeutig

4 Was ist eine Intrusion? Portscan (heutzutage sehr häufig) Modifikation von Firewallregeln Modifikation eine Routingtabelle Austausch von Systemkomponenten/Programmen Einbruch in einen Webserver und Installation eines Passwortsniffers

5 Intrusion Detection Angriffs-/Einbruchserkennung Nicht authorisierter Zugriff von außen Missbrauchserkennung Missbrauch von innen Anomaly Erkennung Erkennung ungewöhnlicher Zustände im System

6 Aufbau eines IDS

7 Datenmonitor Sammeln und (vor-)filtern von Daten Quellen Netzwerkdurchsatz Logdateien von Sicherheitssoftware Betriebsmittelvergabe des Betriebssystems Vom BS überwachte Komponenten (Dateisysteme, Netzwerkdienste, Logdateien)

8 Analyzer Datenanalyse in Echtzeit gefordert Verfahren: Passive Analyse (z.b. Logdateien) Signaturanalyse Anomaliedetektion

9 Signaturanalyse Funktionsweise analog zum Virenscanner Auditdaten werden nach bekannten Mustern durchsucht Sehr schneller Erfolg Muss ständig auf dem neusten Stand gehalten werden Beschreibt Art des Angriffs und evtl. Gegenmaßnahmen

10 Anomalie Detektion IDS wird auf den 'Normalfall' trainiert Abweichungen werden nach dem statistischen Ansatz Logischen Ansatz bewertet Liefert als Ergebnis eine Verdachtsbewertung

11 Anomalie Detektion Statistischer Ansatz Parametermenge wird überwacht: Seitenzugriffsrate Prozessorlast Pakettypen

12 Anomalie Detektion Logischer Ansatz Erweiterung des statistischen Ansatzes Zeitliche Abfolge von Ereignissen wird berücksichtigt

13 Ergebnisdarstellung Reaktionsmöglichkeiten in Abhängigkeit des Gefahrenpotentials Mail mit Art des Angriffs an Administrator Lokaler Alarm, z.b. Popup Fenster auf der Sicherheitskonsole Alarmmeldung über Pager oder Handy

14 Ergebnisdarstellung Es muß sichergestellt werden, daß die Daten nicht nach einem Angriff verschleiert oder verfälscht werden können Eine Benachrichtigung auch im Falle eines DoS Angriffes stattfindet

15 Response Sobald ein Alarm mit entspechendere Priorität ausgelöst wurde, muß entweder der Administrator aktiv werden und Maßnahmen ergreifen Ein IRS leitet automatisierte Maßnahmen ein

16 Response Passive Maßnahmen Rekonfiguration der Firewall/Router Abschalten von Diensten Abschalten des Routers (nur in sehr schwerwiegenden Fällen!)

17 Response Aktive Maßnahmen Ermitteln der Angreifer IP Weitere Maßnahmen (Trojaner zurückschicken, ebenfalls DoS starten) fallen in den Bereich der Selbstjustiz!

18 Arten von IDS Hostbasierte IDS (HIDS) Überwacht Ereignisse eines Gerätes Netzbasierte IDS (NIDS) Überwacht vorbeifließenden Netzwerkverkehr

19 Lokale Analyse HIDS Betriebssystemdaten, z.b. Logdateien Anwendungsdaten Daten des Protokollstapels (z.b. TCP/IP)

20 Erkennbare Angriffe Modifikation der Webseite (Defacement) Installation von Trojanern und Rootkits Ausführung von priviligierten Befehlen Aufruf sicherheitsbedenklicher Befehle Zusätzlich angelegte Rootuser (einfache Hintertür)

21 HIDS Technologien Protokollanalyse Protokolle werden auf bekannte Ereignisse geprüft, bei Übereinstimmung wird alamiert (Positivliste) Um unbekannte Meldungen nicht zu übersehen gibt es das Gegenstück, die Negativliste Gute Analysatoren sind zudem in der Lage Meldungen zusammenzufassen

22 HIDS Technologien Integritätstest Zustand des Systems wird gespeichert Um Speicherplatz zu sparen werden meist nur Dateieigenschaften + Prüfsumme gespeichert Schnappschuss des Systems wird regelmäßig geprüft IDS mit dieser Eigenschaft werden auch als System Integrity Verifier (SIV) oder File Integrity Assessment (FIA) bezeichnet

23 HIDS Technologien Echtzeitanalyse von Systemaufrufen und Dateizugriffen Das IDS wartet nicht bis etwas passiert ist, sondern überwacht jeden (relevanten) Schritt des Systems Zeitlich sehr aufwendig Kann zur Prävention eingesetzt werden

24 Vor-/und Nachteile Gute Überwachung des Hosts Erkennung verschlüsselter Angriffe Unanfällig gegenüber gefälschten Paketen Aufwendige Administration Hohes Datenaufkommen

25 NIDS Überwachung des Netzwerkverkehrs Besonders für Angriffserkennung von außen geeignet Funktionsweise ähnlich wie ein Sniffer

26 Erkennbare Angriffe DoS mit Bufferoverflow, z.b. NOP Sled Ungültige Pakete (Tear Drop, Ping of Death) Angriffe auf Applikationsebene Inkorrekte Datenströme können Applikationen zu unerwartetem Verhalten veranlassen Zugriff auf vertrauliche Daten, z.b. Passwortdatenbank

27 Erkennbare Angriffe Informationsdiebstahl, sofern Übertragung unverschlüsselt stattfindet Angriffe auf Firewall oder IDS Spoofing Angriffe Portscans Verdachtsbestätigung bei DDoS Angriffen

28 NIDS Technologien Signatur-Erkennung Zustandsorientierte Signatur-Erkennung Damit das IDS nicht mit sinnlosen Paketen blockiert werden kann, werden nur im Zusammenhang sinnvolle Pakete bearbeitet Protokolldekodierung Inhaltsanalyse auf oberster Schicht

29 NIDS Technologien Statistische Anomalie-Analyse Neue Angriffsformen und versteckte Scans können hiermit ggf. entdeckt werden Heuristische Analyse Optimiert den Signaturvergleich, es wird nicht jedes Pakete untersucht, um Rechenzeit zu sparen Reaktion Alarmierung, Konfiguration, Rückverfolgung

30 Vor-/und Nachteile Wenige Knoten reichen zur Überwachung aus Geringerer administrativer Aufwand Verschlüsselte Angriffe werden nicht erkannt Anfällig gegenüber gefälschten Paketen Bei hoher Netzlast werden Pakete ausgelassen

31 Anforderungen an ein IDS Verfügbarkeit der Dienst Integrität und Verfügbarkeit der Daten Unterstützung bei einem Angriff Fehlertoleranz Kontinuierlicher Lauf Geringer Overhead Leichte Integration Schwer zu umgehen

32 Tatsächliche Leistung Integrität der Daten wird am besten gewährleistet durch IDS, die auf einem sauberen System aufsetzen NIDS, die über einen eigen Sniffer verfügen HIDS, die möglichst im Kernel arbeiten und Zugriffe auf Dateien direkt mitbekommen Authentifizierte Protokolle, speziell bei der dezentralen Verarbeitung

33 Tatsächliche Leistung Vollständige Angriffserkennung nicht möglich Anomalieerkennung ist erst im Forschungsstadium Signaturanalyse bietet Möglichkeiten zur Umgehung Gradwanderung zwischen falsch-negativ und falschpositiv Meldungen

34 Tatsächliche Leistung Reproduzierbare Analyse Rohdaten, aus denen die Warnmeldungen generiert werden, müssen gespeichert werden Erfordert einiges an Speicherplatz, ist aber im Rahmen des Möglichen Konfigurationen lassen sich z.b. mit Hilfe des Revision Control System (RCS) speichern

35 Tatsächliche Leistung Berichtformate Berichte können in unterschiedlicher Detailgenauigkeit angefertigt werden Teilweise wird der Export von Daten in Standardformaten unterstützt Kommerzielle Systeme zeigen gegenüber Open Source Produkten bei letzterem einige Schwächen

36 Tatsächliche Leistung Prioritäten Eingehende Meldungen lassen sich mit Prioritäten belegen Entsprechend der Prioritätsstufe können unterschiedliche Personen benachrichtigt werden

37 Tatsächliche Leistung Anonymisierung Wegen der intensiven Datenanalyse dringend erforderlich Kann prinzipiell eingehalten werden Zugriff auf personenbezogene Daten kann eingeschränkt werden

38 Tatsächliche Leistung Intrusion Response Systeme können sich rekonfigurieren (kann für DoS missbraucht werden) Angriff kann begrenzt zurückverfolgt werden Gegenangriffe können gestartet werden (rechtlich bedenklich)

39 Rechtliche Fragen Datenschutz Verwendbarkeit der Daten Gegenmaßnahmen

40 Datenschutz und IDS Recht auf informationelle Selbstbestimmung (Art 1 Abs. 1 GG) Zweckbindung der Daten (BDSG 3, 14(4) und 31) Innerbetriebliche Mitbestimmung (BtrVG 87 (1)) Gesetz über die Nutzung der Teledienste (TDG) Teledienstdatenschutzgesetz (TDDSG 4-6)

41 Datenschutz Personenbezogene Daten dürfen nach dem BDSG nicht verwendet werden Anonymisierte Daten dürfen nur verwendet werden wenn keine Rückschlüsse (oder unverhältnismäßig aufwendig) auf Personen möglich sind Ausnahmen Schriftliche Einwilligung der betroffenen Person Vereinbarung durch Arbeitsvertrag Gesetzliche Vorschrift

42 Datenschutz Private s fallen unter das Fernmeldegeheimnis Dienstliche s dürfen in Abwesendheit vom Vorgesetzten gelesen werden, Ein- Ausgang und Ziel können festgehalten werden Bei Verdacht einer Straftat entfällt der Schutz Nach 31 BDSG dürfen Daten nicht zur Leistungskontrolle verwendet werden

43 Angriffspunkte von IDS Verschlüsselte Verbindungen Selbstmodifizierender Code Fragmentierung Insertion Evasion

44 Fragmentierung Fragmentüberlappung 1. Fragment.../cgi-bin/harmlos 2. Fragment phf?qalias=x%0... wird je nach BS zu.../cgi-bin/harmlosias=x%0... oder.../cgi-bin/phf?qalias=x%0...

45 Insertion Angriffsbeispiel: GET /cgi-bin/phf? Fehlerhafte Pakete werden dem Datenstrom hinzugefügt: leasedontdetectt is orme IDS sieht GET /cgi-bin/pleasedontdetectthisforme => Signaturanalyse schlägt fehl

46 Evasion Übermäßig korrekte Implementierung vermeidet Insertion führt aber zu Evasion Pakete die vom IDS als ungültig erkannt werden, werden vom Host akzeptiert Führt u.u. zum Verlust des Zusammenhangs

47 Evasion

48 Verfügbare IDS kommerziell NetRanger/Cisco Secure IDS (NIDS) Mbit/s (je nach Preisklasse) Signatur-Analyse auf IP Ebene Als Reaktion TCP Reset möglich Grafischer Client für Win und Solaris

49 Verfügbare IDS kommerziell RealSecure (NIDS + HIDS Modul) Sensoren für Win, Solaris, Linux Client nur Win Signaturanalyse inkl. Zustand und Protokoll Konfiguration der Checkpoint FW möglich

50 Verfügbare IDS kommerziell Network Flight Recorder (N/HIDS) Durchsatz MBit/s Signaturanalyse inkl. Zustand und Protokoll TCP Reset und Konfiguration einer FW möglich Nur Win

51 Verfügbare IDS kommerziell Dragon (N/HIDS) Signaturanalyse inkl. Zustand und Protokoll Benutzerdefinierte Befehle als Reaktion Sensoren für alle BS, grafischer Client UNIX/Linux

52 Verfügbare IDS kommerziell Entercept (HIDS) Überwachung der Prozessaufrufe, Protokolldaten, Zugriffe/Modifikation der Registry (Nur Win) Reaktion - Als Angriff erkannte Befehle werden nicht ausgeführt Grafischer Client für Win Agenten für Solaris und Win

53 Verfügbare IDS frei verfügbar Snort (NIDS) Unterstützt alle gängigen BS Signaturanalyse inkl. Zustand und Protokoll Reaktion TCP Reset, ICMP Unreachable, Konfiguration von Checkpoint FW, Cisco Router Grafische Clients für gängige BS

54 Verfügbare IDS frei verfügbar Linux IDS (HIDS) Kernelbasiertes IDS Überwacht Benutzerverhalten, Portscans, Protokolldateien, Prozesse und Module Reaktion, Abmeldung des Benutzers, Zugriffsverweigerung Bedienung ausschließlich über CLI

55 Verfügbare IDS frei verfügbar Tripwire (HIDS) Überwachung von Dateien und deren Inhalt Als einzige Reaktion steht die Alarmierung per zur Verfügung Grafische Clients nur kommerziell Verfügbar, sonst CLI

56 IDS/IRS sinnvoll einsetzen Prävention Begünstigung eines Einbruch Erkennung Reaktion Analyse Recovery Konsequenzen

57 Prävention Update der Betriebssysteme Deaktivierung unnötiger Dienste Installation von Virenscannern Audit und Reorganisation des Netzwerkes Räumliche Trennung/physikalische Sicherheit

58 Prävention Deaktivierung nicht verwendeter Netzzugänge Installation einer Firewall Installation eines IDS Verschlüsselte Anmeldung Erstellung eines Notfallplans

59 Begünstigung eines Einbruchs Schlampige Systemwartung Fehler in der Konfiguration von Firewall/Router Vergessene Testsysteme/-zugänge Neue unbekannte Sicherheitslücken in scheinbar sicheren Systemen

60 Erkennung Automatische Erkennung durch IDS Problem, nicht alle Bereiche werden überwacht (z.b. Arbeitsplatzrechner) Erfahrung des verantwortlichen Personals Kritisch, Social Engineering

61 Reaktion Einbruch stoppen (Verbindung trennen, Dienste deaktivieren, Konten sperren) Analyse und Dokumentation der Umstände Spiegelung des Systems für spätere Analyse Einschätzung des Vorfalls Berichterstattung

62 Analyse Welche Methoden hat der Angreifer verwendet? Welche Komponente wurde angegriffen? Welche Tätigkeiten hat der Angreifer anschließend durchgeführt? Welches Ziel wurde möglicherweise Verfolgt? Wurde wichtige Daten modifiziert oder gelöscht? Wie kann dieser Angriff zukünftig verhindert werden?

63 Recovery Vorherige Analyse sollte Kenntnis über den Vorfall geben Vollständige Analyse kann nicht garantiert werden System muss von Originaldatenträgern oder garantiert unverfälschten Backups neu eingespielt werden Sicherheitslücke(n) werden wieder mit eingespielt Rekonfiguration des Systems ist erforderlich

64 Konsequenzen Wünschenswert aber häufig vernachlässigt Untersuchung der Netzwerkstruktur Begutachtung des Personals (speziell Kompetenz) Ggf. neu Sicherheitsstrukturen Evaluation des alten/neuen Systems

65 Honeypot System, welches Angreifer anlocken soll aber sonst keine wichtigen Aufgaben erfüllt Vorteile Datensammlung kann auf das eigentliche Ziel konzentriert werden, d.h. es fallen weniger Datenmengen an Durch die Konzentration werden Ressourcen geschont, d.h. im Vergleich zu realen System ist der Verlust von Datenpaketen deutlich geringer

66 Honeypot Nachteile Singularität Der Rechner muss gefunden werden, Werbung ist nicht möglich Auch ein Honeypot ist nicht gegen jeden Angriff gefeit und kann missbraucht werden

67 Rechtliche Probleme 26 und 27 StGB stellen vorsätzliche Beihilfe zu einer Straftat unter Strafe Absichtliches Installieren eines fehlerhaften System könnte diesen Punkt erfüllen Simulierte Systeme (z.b. Honeyd) fallen höchstwahrscheinlich nicht darunter, da sie keine weiteren Funktionen nachahmen können

68 Zusammenfassung IDS stellen selber Angriffspunkt dar Moderne Angriffsmethoden und Verschlüsselung erschweren den Einsatz von IDS IDS bieten zusätzliche Sicherheit Netzinterne Angriffe können festgestellt werden