Intrusion Detection & Response

Transkript

1 Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister Christian Klie Tobias Schmidt Seite 1 von 132 Version vom

2 1. Verzeichnisse 1.1. Inhaltsverzeichnis 1. Verzeichnisse Inhaltsverzeichnis Tabellenverzeichnis Abbildungsverzeichnis Abkürzungsverzeichnis Allgemeine Einführung ins Thema Einführung Intrusion Detection Systeme Motivation für den Einsatz eines Intrusion Detection Systems Bedrohungen für IT Systeme Sicherung von IT Systemen Typisierung Aufbau eines Intrusion Detection Systems Komponente zur Datensammlung Datenanalyse Ergebnisdarstellung der Auswertung der Auditdaten / Alarmierung Arten von Intrusion Detection Systemen Lokale Intrusion Detection Systeme Verteilte Intrusion Detection Systeme Netzbasierte Intrusion Detection Vernetzte Intrusion Detection Systeme Konzepte der Datenauswertung von Intrusion Detection Systemen Anomalieerkennung Missbrauchserkennung Hybrider Einsatz von Anomalie- und Missbrauchserkennung Zuverlässigkeit von Intrusion Detection Systemen Maßnahmen und Gegenmaßnahmen eines Intrusion Detection Systems Auswahlkriterien für ein Intrusion Detection System Auswahlkriterien für das Intrusion Detection Systems Snort Angriffsszenarien Auditdaten Datenanalyse Architektur Reaktion Benutzerschnittstelle Performanz Dokumentation...31 Seite 2 von 132 Version vom

3 Verfügbarkeit Software/ Hardware Zielumgebung Externe Programme Intrusion Detection System Snort Beschreibung Installation Konfiguration mit Hilfe der grafischen Konsole unter Windows Aufbau von Snort Regeln Grundlagen Regelköpfe (rule headers) Options (rule options) Präprozessoren (preprocessors) Zusätze Ausgaben Angriffe Einleitung Definition Motivation eines Angriffs Sachziele der IT-Sicherheit Klassifizierung von Angriffsarten Erkundung eines Systems Angriffe auf unterer Systemebene (Protokollebene) Angriffe auf oberer Systemebene (Anwendungsebene) Angriffe durch interne Wissensträger Denial-of-Service-Angriff Angriffstools Portscanner: SuperScan Backdoor: Back Orifice Packet Sniffer: Etherreal Packet Sniffer: DSniff Security Scanner: Nessus Session-Hijacking: Hunt Durchführung der Angriffe Portscanner: SuperScan Backdoor: Back Orifice Network Sniffer: DSniff Security Scanner: Nessus Session-Hijacking: Hunt Reaktionen des Intrusion Detection Systems Bewertung der verschiedenen Angriffsmöglichkeiten Aktive Gegenangriffe Reactive Components and Systems Einleitung Definitionen Motivation Ziele...99 Seite 3 von 132 Version vom

4 6.2. Software für Gegenangriffe Anforderungen an Reactive Systeme Hersteller Freeware/Shareware Kommerzielle/Lizenzierte Software Kommerzielle und nichtkommerzielle Software im Vergleich Gegenangriff Allgemeines Identifizierung des Angreifers Ausführung des Gegenangriffs Bewertung von Angriffsmöglichkeiten hinsichtlich der Nutzbarkeit für Reactive Maßnahmen Ausblick Anhang Tabellen Literaturverzeichnis Seite 4 von 132 Version vom

5 1.2. Tabellenverzeichnis Tabelle 1: Von Snort erkannte Angriffsarten...29 Tabelle 2: Überblick output moduls...51 Tabelle 3: Parameterliste XML- Modul...52 Tabelle 4: Parameterliste des Datenbank- Modul...53 Tabelle 5: Übersicht der Schlüsselworte in Snort Abbildungsverzeichnis 1. Lokales Intrusion Detection System Verteiltes Intrusion Detection System Netzbasiertes Intrusion Detection System Programmfenster General Setup Programmfenster IDS Rules Programmfenster Logs/Alert General Setup Programmfenster Logs Log Rotation Konfiguration WinSnort2HTML Beispiel einer HTML- Logdatei Programmfenster Alarm Alarm Setup Programmfenster Alarm AlertMail Programmfenster Overview Programmfenster Superscan Serversettings in Back Orifice Back Orifice - Serverkonsole PlugIn-Auswahl bei Nessus Screenshot Visualroute Seite 5 von 132 Version vom

6 1.4. Abkürzungsverzeichnis ACK ASCII bzw CDIR CGI CPU FIN GRE HTTP HTTPS ICMP ID IDS IGRP IP IPX IT OSPF RIP RSH RST SMTP SYN TCP UDP URL XML z.b. acknowledgement flag American standard code for information interchange beziehungsweise Classes InterDomain Routing commen gateway interface central processing unit Final Flag Generic Route Encapsulation hypertext transport protocol hypertext transport protocol secure internet control management protocol identification Intrusion Detection System interior gateway routing protocol Internet Protocol internet packet exchange protocol Informations Technologie open shortest path first routing information protocol remote shell Reset Flag simple mail transfer protocol synchronization Transfer Control Protocol user datagram protocol uniform resource locator Extensible Markup Language zum Beispiel Seite 6 von 132 Version vom

7 2. Allgemeine Einführung ins Thema Die Sicherheit von IT- Systemen ist in den letzten Jahren zusehends gestiegen. Gründe hierfür liegen zum einen in der globalen Vernetzung von Rechnersystemen und einer immer komplexer werdenden Softwarearchitektur. Als schützenswert erweist sich nicht nur das interne Firmennetz gegenüber Angriffen aus dem eigenen Netz, sondern im zunehmenden Maße auch der Schutz gegen externe Angriffe. Seitdem IT- Systeme existieren, gibt es Bemühungen, die zum Ziel den Schutz dieser Systeme haben. Allerdings gibt es immer wieder Möglichkeiten, diese Schutzmaßnahmen zu umgehen. Das Interesse an flexiblen und schnell agierenden Systemen zum Schutz von IT- Systemen ist in den letzten Jahren stark gestiegen. Aus diesem Grund, werden Intrusion Detection/ Intrusion Response Systeme entwickelt, um die benötigte Sicherheit zu gewährleisten. Vorläufer und Basis von Intrusion Detection/ Intrusion Response Systemen sind Auditsysteme, die alle Vorgänge innerhalb eines IT- Systems aufzeichnen und deren Protokolle nachträglich ausgewertet werden. Der Vorteil von Intrusion Detection/ Intrusion Response Systemen liegt in der zeitnahen Auswertung von Auditfiles, um Entscheidungen treffen zu können, die das IT- System sichern. Diese Arbeit beschäftigt sich mit Intrusion Detection Systemen, Angriffen auf Rechnersysteme und mit einer Möglichkeit zur Intrusion Response/Reactive. Seite 7 von 132 Version vom