INTRUSION DETECTION PREVENTION SYSTEME IM LAN DER TU KAISERSLAUTERN. Dirk Müller UND. September

Transkript

1 INTRUSION DETECTION UND PREVENTION SYSTEME IM LAN DER TU KAISERSLAUTERN September 2004 AG Integrierte Kommunikationssysteme (ICSY) Fachbereich Informatik TU Kaiserslautern Betreuer: Prof. Dr. Paul Müller Dipl.-Phys. Brian Worden Dipl.-Inform. Bernd Reuther Dipl.-Inform. Claudia Baltes 1

2 Projektarbeit INTRUSION DETECTION 2 Zusammenfassung Im Rahmen dieser Projektarbeit wird das Netzwerk der TU Kaiserslautern um ein Netzwerkbasiertes Intrusion Detection System (NIDS) ergänzt. Es werden mehrere Produkte evaluiert und deren Vor- und Nachteile im Bezug auf die speziellen Anforderungen des UNI-LANs ermittelt. Es werden automatisierte Reaktionen auf erkannte Intrusions implementiert und deren Praxistauglichkeit untersucht. Es wird eine Übersicht über die verfügbaren IDS Produkte und Ansatzpunkte der Erkennung von Angriffen erstellt und in einer theoretischen Betrachtung deren Zuverlässigkeit evaluiert. In der praktischen Arbeit wurde die Einbettung der Intrusion Detection in ein umfassenderes Sicherheitskonzept angestoßen, um eine allgemein höhere Netzsicherheit zu erreichen und Angriffe auf und von Computersystemen im LAN der TU Kaiserslautern zu reduzieren. Not everything that is counted counts, and not everything that counts can be counted. - Albert Einstein

3 Projektarbeit INTRUSION DETECTION 3 Inhaltsverzeichnis 1 Einleitung 6 2 Grundlagen Sicherheit Angriffe auf Computersysteme Erkennung von Attacken Ablauf einer Attacke Häufige Attacken im UNI-LAN Reconnaissance Attacks Denial Of Service Attacks Intrusion Attacks Möglichkeiten der Intrusion Detection Hostbasierte IDS Network Node IDS Netzwerkbasierte IDS Common Intrusion Detection Framework Event Korrelation Begriffserläuterung Agenten-basiertes IDS Honeypots Einsatzziele Honeypot Varianten... 19

4 Projektarbeit INTRUSION DETECTION 4 3 Netzwerkbasierte IDS Varianten Anomalie-basierte NIDS Signatur-basierte NIDS Sicherheitsprobleme Netzwerkbasierter IDS Insertion Attacken Evasion Attacken Denial of Service Reaktive IDS Attacken NIDS Einsatz im UNI-LAN Einsatzziele Packet Alarm Cisco IOS IDS Enterasys Dragon Kommandozeilen-Schnittstelle Dragon Forensik Konsole Dragon Realtime Console Dragon Policy Manager Fazit Snort Snort Plugins ACID Fazit Intrusion Response Automated Incident Response Worm Detection Portscan Detection Netburst Detection Manual Incident Response

5 Projektarbeit INTRUSION DETECTION 5 6 Fazit 49 A Portscan-Analyse 52 A.1 Auswertung der WHOIS-Informationen A.2 Portscan-ACL Generierung B ACL des UNI-LANs 59 C Netburst-Detector 60

6 Projektarbeit INTRUSION DETECTION 6 1 Einleitung Die Vernetzung der Computer durch das Internet bietet eine globale Angriffsfläche für Sicherheitsprobleme in Computersystemen. Sichere Netzwerke sollten die angeschlossenen Computersysteme vor soweit möglich vor Beeinflussung durch Angreifer schützen. Laut einer 2003 von comptia erstellten Studie über Sicherheitsprobleme in Netzwerken sind 80% der Netzwerke von Organisationen und Firmen mit Computerviren und -würmern befallen, 65% der Netzwerke hatten über das Netzwerk kompromittierte Systeme und 33% waren im Jahr 2002 Opfer von Denial of Service (DoS, [40]) Angriffen. Abbildung 1: comptia IT Security Study (entnommen aus [1]) Eine Ursache für diese Bilanz ist ein fehlendes oder fehlerhaft umgesetztes Sicherheitskonzept. Entscheidend für die Verbesserung der Computersicherheit in einem Netzwerk ist die ständige Kontrolle und Anpassung des Sicherheitskonzeptes. Ein wichtiger Bestandteil dabei ist neben dem Einsatz von Firewalls, einer Sensibilisierung der Benutzer und Administratoren für Sicherheitsaspekte der Einsatz von Intrusion Detection Systemen (IDS), mit denen Verstöße gegen und Lücken im Sicherheitskonzept erkannt werden können. Diese Projektarbeit beschreibt zunächst eine Systematik zur Computersicherheit und Angriffen auf vernetzte Computersysteme. Der Schwerpunkt dieser Arbeit liegt dabei auf der Erkennung von Sicherheitsproblemen in einem offenen, stark heterogenen Netzwerk. Dazu wird zunächst theoretisch die Funktionsweise von IDS in ihren Varianten betrachtet und deren Vor- und Nachteile erörtert. Im Rahmen der Projektarbeit werden mehrere IDS Produkte auf ihre Praxistauglichkeit für den Einsatz im UNI-LAN getestet. Ein besonderes Augenmerk wird dabei auf die Eignung für die heterogene Netzwerkumgebung der TU Kaiserslautern gelegt. In der praktischen Arbeit wird eine regelmäßige Beobachtung des Netzes und der stattfindenden Angriffe durchgeführt, um einen realistischen Überblick über die aktuell vorrangigen Sicherheitsprobleme zu erhalten. Es werden dann einfache Maßnahmen zur automatisierten Angriffsreduktion und Angriffsabwehr implementiert und ihre Tauglichkeit für den praktischen Einsatz überprüft.

7 Projektarbeit INTRUSION DETECTION 7 2 Grundlagen 2.1 Sicherheit Als Sicherheit definiert man die Vermeidung von Risiko, in dem Fall von Computersicherheit dem Risko, Ziel einer Attacke zu werden. Um Computersysteme vor Angriffen zu schützen, werden Maßnahmen getroffen, die sich in die folgenden Kategorien einordnen lassen: Prävention: Zur Prävention gehört das Erstellen, die Umsetzung und die kontinuierliche Pflege eines umfassenden Sicherheitskonzeptes. Zur Intrusion Prevention gehört neben einer Vulnerabilitätsanalyse des Netzwerkes auch die Etablierung von Filtern, die den Verkehr zwischen dem lokalen Netzwerk und dem Internet kontrollieren, der Firewall. Häufig vernachlässigte Teile eines Sicherheitskonzeptes sind die Schulung der Mitarbeiter auf ein generelles Bewusstsein für Sicherheitsprobleme und die aktive Forschung nach möglichen Sicherheitslücken in den eingesetzten Programmen und Netzwerkkomponenten. Stattdessen findet häufig eine passive Forschung nach Sicherheitslücken mit Hilfe von Honeypots (siehe Kapitel 2.7) statt. Erkennung: Sicherheit ist nur dann gewährleistet, falls das etablierte Sicherheitskonzept kontinuierlich auf Lücken überprüft wird. Dazu gehört eine Überwachung des Netzwerkes und der daran angeschlossenen Computersysteme, um erfolgreiche Angriffe oder Fehler in der Umsetzung des Sicherheitskonzeptes zu erkennen. In diese Kategorie fallen die Intrusion Detection Systeme (IDS), die in dieser Projektarbeit näher betrachtet werden. Reaktion: Die Erkennung von erfolgreichen Attacken ist ohne Wert, wenn nicht auch eine Reaktion auf erkannte Sicherheitslücken und erfolgreiche Angriffe geplant wird. ID Systeme können einen Administrator alarmieren oder automatisiert Gegenmaßnahmen ergreifen. Diese automatisierten Gegenmaßnahmen sind ebenfalls sorgfältig zu überwachen, denn auch sie können zur Durchführung von Attacken von einem Angreifer missbraucht werden. In einer stark heterogenen Netzwerkumgebung, wie sie in einem Uni-LAN üblich ist, ist die Planung und Umsetzung solcher Reaktionen mit besonderen Schwierigkeiten bedacht (siehe Kapitel 5). Die Motivation für ein Sicherheitskonzept ist der Schutz gegen Attacken auf das Netzwerk und der angeschlossenen Computersysteme. Dazu sollte jedoch zunächst definiert werden, wie Attacken aussehen und welche Ziele sie verfolgen. 2.2 Angriffe auf Computersysteme Erkennung von Attacken Intrusion Detection Systeme (IDS) versuchen, Missbrauch von und Angriffe auf Computersysteme zu erkennen. Attacken können physikalischer Natur sein (Einbruch, Diebstahl

8 Projektarbeit INTRUSION DETECTION 8 von Hardware oder Hardwarekomponenten) oder auch virtuell, d.h. der Angriff erfolgt über Datennetze (üblicherweise Intranet oder Internet), an die die Systeme angeschlossen sind. Des weiteren gibt es Angriffe innerhalb des Systems selbst, d.h. ein Angreifer besitzt bereits einen niedrig privilegierten Zugriff, kann aber durch Ausnutzen von Sicherheitslöchern oder Konfigurationsfehlern in der installierten Software weitere Privilegien erreichen, die bis zum Zugriff auf die Administrationsrechteebene reichen können. Gegen physikalische Attacken helfen entsprechende gebäudetechnische Abwehrmaßnahmen, ein IDS kann hier nicht helfen. Als Schutz gegen Angriffe über Datennetze sind Paketfilter, so genannte Firewalls etabliert. Dieser Schutz ist allerdings häufig lückenhaft, sei es durch fehlerhafte Konfiguration oder durch Fehler in dem Produkt selbst. Firewalls können keinen perfekten Schutz gegen Attacken bieten, denn ihre Aufgabe ist darauf beschränkt, den Zugriff auf Computersysteme bis auf wenige, definierte Ausnahmen zu unterbinden. Der Paketfilter überprüft nicht, ob durch eine dieser Ausnahmen, d.h. also eine der erlaubten Löcher in dem Filter, Angriffe stattfinden. Intrusion Detection Systeme (IDS) dagegen bieten eine Kontrolle über die Effektivität der eingesetzten Schutzmaßnahmen und eine Möglichkeit, nicht durch die Firewall abgewehrte Attacken möglichst frühzeitig und präzise zu erkennen. Da der Anwendungsbereich so breit gestreut ist, kategorisiert man IDS anhand der Art der Datensammlung: Hostbasierte IDS (HIDS): Der Sensor ist auf dem zu überwachenden System selbst installiert und überwacht Änderungen in der Rechteverwaltung, den gestarteten Diensten, Modifikationen von Programmcode oder wichtiger Konfiguration sowie weiteren systemspezifischen Dateien. Das Ziel ist, unautorisierte Veränderungen, die auf eine erfolgreiche Attacke deuten, sicher zu erkennen. Durch das Überwachen von Protokolldateien können nicht erfolgreiche Angriffsversuche besonders gehandhabt werden. Netzwerkbasierte IDS (NIDS): Der Sensor ist im Datennetz positioniert und überwacht, selbst völlig passiv, den ablaufenden Datenverkehr. Diese Variante besitzt einige Einschränkungen bezüglich der Zuverlässigkeit (siehe Kapitel 3.2 auf Seite 23), bietet jedoch eine sehr kosteneffektive und vom Administrationsaufwand einfache Möglichkeit, eine netzweite Überwachung zu installieren. In einer sehr heterogenen Umgebung und der Vielzahl der Administrationsbereiche, die in einem Uni-LAN existieren, bietet sich der Einsatz dieses Sensors an. Er kann jedoch unter keinen Umständen den hostbasierten Sensor ersetzen, da lokale Angriffe und verschlüsselter Datentransfer prinzipbedingt dem Netzwerksensor vorenthalten sind Ablauf einer Attacke Attacken auf Computersysteme können in mehrere Phasen unterteilt werden. Beinahe jede dieser Abschnitte in dem Ablauf einer Attacke bietet die Möglichkeit für ein vorhandenes Intrusion Detection System den Angriff zu erkennen. Reaktive ID Systeme können zudem zusätzlich mit gezielten Abwehrmaßnahmen automatisch reagieren. Es sind typischerweise folgende Phasen unterscheidbar (nach [41]):

9 Projektarbeit INTRUSION DETECTION 9 passive Erkundschaftung: Dabei sammelt ein Angreifer allgemein verfügbare Informationen über das System. Bei einem lokalen Angriff kann dies durch Auflistung laufender Dienste, installierter Applikationen oder durch Analyse der Konfigurationseinstellungen geschehen. Bei netzwerkbasierten Angriffen werden üblicherweise whois- und DNS Abfragen durchgeführt, um die lokale Organisationsstruktur zu analysieren. Der Angreifer kann auch andere frei erreichbare Informationsquellen, z.b. öffentliche Webseiten oder ein Archiv nach Details zu dem System durchstöbern. Diese geben häufig auch wichtige Hinweise auf die Organisations- und Administrationsstruktur eines netzwerkverbundenen Computersystems. aktive Erkundschaftung: Mit einem Portscan, dem Testen auf erreichbare und antwortende Netzwerkdienste, können mögliche Angriffsvektoren ermittelt werden. Durch Banner-Grabbing, d.h. durch gezielte, jedoch harmlose Anfragen an Netzwerkdienste wird die Applikation und ihre Versionsnummer erkundschaftet. Häufig werden diese Daten von unauffälligen, bereits erfolgreich kompromittierten System automatisiert gesammelt und dann dem eigentlichen Angreifer übermittelt. IDS können solche automatisierten Portscans leicht von legitimer Benutzung unterscheiden, da sich die Zugriffsmuster sehr stark unterscheiden. Solche Zugriffe stellen jedoch noch keinen Missbrauch dar. Exploit: Der eigentliche Angriff, der unter Ausnutzung eines Sicherheitsloches dem Angreifer zu unautorisierten Privilegien verhilft. Ein Exploit besteht häufig aus mehreren Phasen unter Zuhilfenahme eines oder mehren Sicherheitslöchern, die schrittweise die für den Angreifer verfügbaren Privilegien erweitern. Dabei kann der Angreifer die zweite Exploitstufe auch auf automatisierte oder manuelle Reaktionen, die durch die erste Exploitstufe ausgelöst wurden, aufbauen. Gerade bei reaktiven ID Systemen, also Systemen die bei Erkennen eines Angriffs eine Gegenmaßnahme starten, muss dies bedacht werden (siehe dazu Kapitel 3.2.4). Backdoor: Der Angreifer hat zu diesem Zeitpunkt unautorisierten Zugriff erlangt. Das Hauptziel ist nun, die durch den Angriff entstandenen Spuren zu verwischen und die erlangten Privilegien dauerhaft zu erhalten. Protokolldateien können z.b. entfernt oder geändert werden, so dass Hinweise auf einen erfolgreichen Angriff nicht mehr ausgelesen werden können. Um erneut, ohne den Angriff wiederholen zu müssen, Zugriff auf das System zu erlangen, werden die angebotenen Systemdienste durch trojanisierte Versionen ersetzt. Diese verhalten sich augenscheinlich wie gewohnt, bieten dem wissenden Angreifer jedoch die Möglichkeit, durch eine nicht offensichtliche Zugriffssequenz die erlangten Systemprivilegien wiederherzustellen. Um weitere Exploitversuche von anderen Angreifern zu vermeiden, kann in diesem Schritt auch die ausgenutzte Sicherheitslücke geschlossen werden. Ein bemerkenswert sicheres Indiz für eine erfolgreiche Intrusion ist ironischerweise das spontane Verschwinden von Sicherheitslöchern in der Systemkonfiguration. Ausnutzung: Der Eindringling nutzt die erlangten Privilegien aus. Dies kann das weitere Aus-spähen von Benutzern, Daten oder Computersystemen sein oder ein Missbrauch der erlangten Systemressourcen. Angreifer können auf verschiedene Arten Zugriff auf Ressourcen erhalten:

10 Projektarbeit INTRUSION DETECTION 10 Programmfehler: Praktisch jede heutzutage eingesetzte Software agiert in manchen Fällen fehlerhaft. Durch gezieltes Konstruieren einer solchen Situation kann eine Applikation in die Situation gebracht werden, dem Angreifer Zugriff auf sonst nicht erreichbare Ressourcen zu gewähren. Konfigurationsfehler: In vielen Fällen werden Programmpakete mit Voreinstellungen ausgeliefert, die dem Administrator die Benutzung erleichtern sollen. Leider bedeutet dies in vielen Fällen auch, dass solche Einstellungen es einem Angreifer erleichtern, die Kontrolle über das System zu erlangen. Durch unsichere Programmvorgaben können auch nicht benötigte oder gar gefährliche Dienste aktiviert sein, ohne dass der Administrator diese explizit aktiviert hat. Die vom Administrator eingesetzten Autorisierungsanforderungen können unzureichend sein, wie beispielsweise sehr einfach zu erratende Passwörter, die Zugriff auf die Administrationsebene absichern sollten. Komplexe Programme bieten häufig die Möglichkeit, zur Fehlersuche zusätzliche sicherheitsrelevante Hürden zu deaktivieren. Der Administrator kann vergessen, diese Hürden für den Produktivbetrieb wieder zu aktivieren. Häufig werden vernetzte Computersysteme nach Vertrauensprinzipien konfiguriert, d.h. ein Rechner gewährt einer kleinen Anzahl weiterer Systeme Zugriff auf Systemressourcen. Ein Angreifer kann diesen Umstand ausnutzen und bei erfolgreichem Angriff auf eine Komponente eines Computernetzwerkes auch auf andere Komponente leicht Zugriff erlangen. Passwörter: Ein Angreifer kann durch Probieren ein Passwort, das den Zugriff auf das System schützen soll, erraten oder auf anderen Wegen Kenntnis davon erlangen. Teil des Sicherheitskonzeptes sollte die Schulung der Mitarbeiter zur Vermeidung des Social Engineering, also der Kenntnisnahme von Passwörtern oder für den Angriff notwendiges Hintergrundwissen durch gezieltes Ausfragen der Benutzer oder Systemadministratoren sein. 2.3 Häufige Attacken im UNI-LAN Reconnaissance Attacks Bei den Reconnaissance Attacks ist das Ziel die Erkundung des Netzwerkes und der daran angeschlossenen Computersysteme. Es werden Informationen über die eingesetzte Netzwerkstruktur, die eingesetzten Betriebssysteme und installieren Programme gesammelt. Solche Angriffe haben also lediglich den Zweck, eine Vulnerabilitätsanalyse der untersuchten Systeme durchzuführen. Üblicherweise werden dazu Werkzeuge eingesetzt, die eine große Anzahl von Informationen automatisiert sammeln und auswerten können. Bekannte Werkzeuge zum Erkunden von Netzwerken sind nmap[28] und Nessus[29], allerdings existieren für viele spezifische Sicherheitslücken in weit verbreiteten Programmen sehr spezielle Scanner, die mit großer Geschwindigkeit ganze Netzwerke nach verwundbaren Programminstallationen durchsuchen. Diese Werkzeuge werden häufig durch Skripte mit automatisierten Intrusion Attacks verbunden.

11 Projektarbeit INTRUSION DETECTION Denial Of Service Attacks Bei einem Denial Of Service Angriff wird das Zielsystem oder die Verfügbarkeit eines Services ausgeschaltet. Dies kann zum einen durch Ausnutzen einer Verwundbarkeit in den eingesetzten Programmen, die zum Absturz des Programms oder gar des gesamten Rechners führen, und zum anderen durch blinde Überlastung eines Dienstes mit sinnlosen und zeitaufwendig zu bearbeitenden Anfragen sein. Eine populäre Variante der DoS Angriffe sind die Distributed Denial of Service Attacks (DDoS, [30]). Diese ist besonders im Umfeld des Uni-Netzwerkes sehr beliebt, da hier häufig performante Netzanbindungen zum Internet geboten werden die keinen Datenverkehrslimitierungen unterliegen. Verwundbarkeiten in den eingesetzten aktiven Netzwerkkomponenten können dazu führen, dass das UNI-LAN als Multiplikator für einen DDoS Angriff missbraucht wird. Die Funktionsweise solcher Angriffe (siehe Abbildung 2) Abbildung 2: Struktur eines DDoS Angriffs basiert auf der Verwendung einer großen Anzahl von kompromittierten Systemen, auf denen ein DDoS-Agent installiert wurde. Dieser Agent lässt sich von einem Angreifer (dem Client, eventuell maskiert durch weiteren Handler-Systeme) fernsteuern und gegen ein gemeinsames Ziel (Target) richten. Angriffe dieser Art werden immer populärer, da es keine effektive Möglichkeit gibt, sich gegen eine große Übermacht von Agenten zu schützen. Durch die automatisierte Installation von Agenten, wie beispielsweise geschehen im Februar 2004 durch den Wurm W32/MyDoom[31], die sich mittels selbsttätig weiterverbreiten, können eine große Anzahl von Agenten gegen populäre Websites gerichtet werden. Viele der Internetwürmer stellen bei einer lokalen Installation aufgrund ihrer Verbreitungsversuche ein mehr oder weniger großes Denial Of Service Problem dar. Der Wurm SQL-Slammer[32] hat im Januar 2003 als Nebeneffekt seiner Verbreitungsversuche für mehrere Stunden große Teile des universitären und kommerziellen Internets lahm gelegt.

12 Projektarbeit INTRUSION DETECTION Intrusion Attacks Die Intrusion Attacks sind Angriffe zur Erhöhung der Privilegien eines Angreifers auf einem Computersystem oder gar der Inbesitznahme eines fremden Computers, um dessen Ressourcen zu missbrauchen. In dem UNI-LAN Umfeld werden Angriffe häufig dazu durchgeführt, auf den kompromittierten Systemen Programme einzurichten, die das illegale Verteilen von Programmen, Filmen oder Musikdateien ermöglichen. Das Ziel des Angriffs ist dabei nicht unbedingt der Zugriff auf geschützte Informationen, die auf dem System gespeichert sind, sondern lediglich die Ausnutzung der Rechenzeit und Netzwerkressourcen, die dieses System zur Verfügung hat. 2.4 Möglichkeiten der Intrusion Detection Im Folgenden werden Ansatzmöglichkeiten für das Erkennen von Angriffen vorgestellt. Prinzipiell kann ein IDS an verschiedenen Punkten der Rechnerkommunikation angesetzt werden: an einem strategisch interessanten Punkt zwischen Rechnern (Netzwerkbasierte IDS) oder auf eine der Rechnerhosts selbst (Hostbasierte IDS). Eine Übersicht über die historische Entwicklung auf dem Gebiet der Intrusion Detection ist in [27] zu finden Hostbasierte IDS Hostbasierte Intrusion Detection war bereits verbreitet, als Computer noch nicht im großen Maßstab vernetzt waren. Bereits um 1980 war es üblich, Logdateien in regelmäßigen Abständen nach sicherheitsrelevanten Einträgen automatisiert zu durchsuchen und den Systemadministrator über solche Ereignisse zu informieren. Heutzutage sind Hostbasierte IDS in ihrer Funktionalität weiter fortgeschritten. Die Erkennungsmöglichkeiten sind vielfältig: Analyse der Systemlogdateien in Echtzeit, Kontrolle wichtiger Systemkonfigurationsdateien und Programme auf unerwartete Modifikation und der Zugriff auf unbenutzte UDP/TCP Ports kann protokolliert werden. Hostbasierte IDS, die jedoch nur Logdateien und Integritätstests durchführen, können allerdings nur zeitverzögert reagieren und nicht vorbeugend Angriffe erkennen und abwehren. Viele Produkte gehen daher dazu über, sich in die Funktionen des Betriebssystems einzuhängen und so Zugriffe auf Dateien selbst zu protokollieren und eventuell sogar vorbeugend zu unterbinden, falls sie ein ungewöhnliches Zugriffsmuster aufweisen. Damit kann ein Hostbasiertes IDS auch bisher unbekannte Exploits zuverlässig erkennen und eventuell sogar abwehren. Weitere Vorteile von Hostbasierten IDS sind: Keine zusätzliche Hardware: Hostbasierte IDS sind ein reines Softwareprodukt, das auf dem zu überwachenden Rechner selbst installiert wird. Der Ressourcen- und Wartungsbedarf ist vergleichsweise gering, da kein eigener Rechner benötigt wird.

13 Projektarbeit INTRUSION DETECTION 13 Zuverlässigkeit: Hostbasierte IDS verwenden Aufzeichnungen der auf dem System stattgefundenen Ereignisse und können daher sehr zuverlässig zwischen erfolgreichen Angriffen und erfolglosen Angriffsversuchen unterscheiden. Im Gegensatz dazu haben Netzwerkbasierte IDS häufig große Schwierigkeiten, harmlose Netzwerkaktivität zu ignorieren. Überwachung des Systems: Ein Hostbasiertes IDS kann Ereignisse, die keinen Netzwerkverkehr auslösen, erkennen und darauf reagieren. Dies kann zum Beispiel das Einrichten eines neuen Benutzeraccounts auf einem Mehrbenutzersystem sein, oder Zugriffe auf die Systemkonsole, die normalerweise dem Systemadministrator vorbehalten sind. Auch sind lokale Zugriffe auf lokal gespeicherte Dateien nur mit Hostbasierten IDS zu überwachen, da sie keinen Netzwerkverkehr erzeugen. Überwachung von verschlüsseltem Datenverkehr: Ein Netzwerkbasiertes IDS kann verschlüsselten Netzwerkverkehr prinzipiell nicht überwachen. Hier kann nur ein Hostbasiertes oder ein Network Node IDS (siehe Kapitel 2.4.2) eine Analyse durchführen. Überwachung in verteilten, geswitchten Netzwerken: Hostbasierte IDS erkennen Angriffe, unabhängig von ihrem Ursprung. Dagegen ist ein Netzwerkbasiertes IDS häufig auf einen Kompromiss angewiesen: Ist die Installation zu nah an einem Host, dann können nur wenige Hosts überwacht werden. Ist sie dagegen weiter von dem Host entfernt, dann werden nicht alle Angriffe erkannt, da sie an dem vom NIDS überwachten Segment vorbei geschehen Network Node IDS Ein Network Node IDS (NNIDS), auch Stack-basiertes IDS genannt, ist eine Mischform aus Hostbasierten und Netzwerkbasierten IDS. Es residiert auf dem zu überwachenden Host, interagiert aber mit der TCP/IP Implementierung auf dem Host und überwacht so den Netzwerkverkehr auf dem Weg durch die ISO/OSI Ebenen. Ein Network Node IDS kann daher Angriffe erkennen, bevor er auf die verwundbare Applikation trifft, und damit auch präventiv in die Verarbeitung von Netzwerkverkehr eingreifen. Ein NNIDS kann damit auch verschlüsselten Datenverkehr analysieren und auch ausgehenden Datenverkehr überprüfen, bevor er den Host eigentlich verlässt. Zur Korrelation der Events sollte ein NNIDS auch Ereignisse an einen zentral installiertes IDS weiterleiten können Netzwerkbasierte IDS Ein Netzwerkbasiertes IDS analysiert den Netzwerkverkehr der Rechner im lokalen Segment über eine Netzwerkkarte. Im Gegensatz zu dem Network Node IDS empfängt es dabei nicht nur die Pakete, die für den Rechner selbst bestimmt sind, sondern den Netzwerkverkehr, der an die anderen Rechner im gleichen Segment oder im Netz gerichtet sind. Bei einem geswitchten Netzwerk muss dazu das Spiegeln von Ports, also das Weiterleiten von Netzwerkverkehr an den IDS-Port, konfiguriert werden.

14 Projektarbeit INTRUSION DETECTION 14 Netzwerkbasierte IDS bieten durch ihre Möglichkeit, an zentraler Stelle den Netzwerkverkehr abzuhören und somit den Netzwerkverkehr einer großen Anzahl von Rechnern gleichzeitig in Echtzeit zu analysieren und koordiniert zu reagieren viele Vorteile, die mit Hostbasierten IDS alleine nicht zu erreichen sind: Kostenvorteil: Netzwerkbasierte IDS können an einer zentralen Stelle eingesetzt werden und damit gleich mehrere unterschiedliche Rechner und aktive Netzwerkkomponenten überwachen. Da ein Netzwerkbasiertes IDS weniger Wartungsaufwand benötigt als die Installation von Hostbasierten IDS auf hunderten oder gar tausenden von Rechnern, ist der Einsatz eines NIDS wesentlich kosteneffizienter für große Netzwerke. Betriebssystem-Unabhängigkeit: Ein NIDS ist von dem Betriebssystem der zu überwachenden Rechner unabhängig. Dies ist ein Vorteil bei stark heterogenen Umgebungen bzw. dem Einsatz von exotischen Betriebssystemen, für die kein adäquates Hostbasiertes IDS zur Verfügung steht. Ebenso können Angriffe auf aktive Netzwerkkomponenten oder Appliances, die keine freie Installation von Programmen zulassen, analysiert und gegebenenfalls unterbunden werden. Analyse des Paketstroms: Ein NIDS kann auch Angriffe und Scans auf unbenutzte IPs erkennen und zu einem Angriff zuordnen. Ebenso können Angriffe, die durch einen Paketfilter ausgefiltert werden, bevor sie eine Netzwerkkomponente erreichen, noch analysiert werden. Rein Hostbasierte IDS können keine Angriffe gegen Fehler oder Verwundbarkeiten des TCP/IP Stacks des verwendeten Betriebssystems erkennen, oder solche DoS Angriffe, die zum sofortigen Absturz des Rechners führen. Mit einem NIDS können Angriffe, wie z.b. die Land Attacke gefälschtes[2], bei der ein gefälschtes Paket mit der gleichen Absende- wie Empfängeradresse an einen verwundbaren Rechner geschickt werden, erkannt werden. Ein NIDS kann auch nicht erfolgreiche Erkundungsversuche, wie z.b. die Suche nach installierten Backdoors, erkennen. Ein Hostbasiertes IDS erkennt solche Zugriffe nicht, da, wenn sie nicht auf ein nicht lauschendes Programm treffen, bereits zuvor von der TCP/IP-Stack Implementierung des Betriebssystems verworfen werden. Beweissicherung: Ein NIDS kann Netzwerkverkehr aufzeichnen und für spätere Analysen zwischenspeichern. Bei einem Hostbasierten IDS ist dem Host selbst, eine erfolgreichen Einbruch vorausgesetzt, nicht mehr zu trauen, da der Angreifer die Logdateien manipuliert haben könnte. Ein NIDS ist unabhängig von dem angegriffenen Host und die Aufzeichnung können daher auch zur Identifikation des Angreifers verwendet werden. Echtzeit-Reaktion auf Angriffe: Ein NIDS analysiert den Paketstrom in Echtzeit, und kann somit teilweise bekannte Angriffe erkennen und abblocken, bevor sie erfolgreich einen Rechner kompromittiere können. Ein NIDS könnte als Intrusion Prevention-Maßnahme dem angegriffenen Host ein gefälschtes FIN-TCP Paket schicken, um eine aufgebaute TCP Verbindung zu beenden, bevor über sie Schaden angerichtet werden kann. Überwachung von Sicherheitsmaßnahmen: Ein NIDS kann überwachen, dass die Sicherheitskonzepte des lokalen Netzwerkes eingehalten werden. Ein NIDS kann

15 Projektarbeit INTRUSION DETECTION 15 verifizieren, dass die Firewall korrekt funktioniert und beispielsweise der durchgelassene Netzwerkverkehr, wie gefordert, ausschließlich verschlüsselt ist. Erfolgsanalyse: Ein NIDS, platziert vor der Firewall des LANs kann zur Auswertung des von dem Paketfilter abgelehnten Netzwerkverkehrs eingesetzt werden, um z.b. eine statistische Auswertung der abgewehrten (möglichen) Angriffe zu erhalten oder eine Erfolgskontrolle der eingesetzten Sicherheitsmaßnahmen durchführen zu können. 2.5 Common Intrusion Detection Framework Zur Verbesserung der Interoperabilität zwischen verschiedenen Produkten und Komponenten zur Intrusion Detection wurde eine Architektur für Intrusion Detection Systeme standardisiert. Nach dem Common Intrusion Detection Framework (CIDF, [26]) besteht jedes IDS aus vier Komponenten, so genannten Boxen (siehe Abbildung 3): Gegenmaßnahmen auslösen C Box Analyse des Paketstroms Datenspeicherung E Box D Box Passive Protokollanalyse (TCP Reassemblierung) A Box Ethernet Abbildung 3: Common Intrusion Detection Framework[26] E-Boxes: Die Ereignisgeneratoren sind dafür verantwortlich, dass die eigentlichen Auditdaten, wie die unverarbeiteten Netzwerkpakete, die Systemlogdateien oder die Prüfsummen der zu überwachten Dateien (und ähnliches) lückenfrei und korrekt gesammelt werden. Die Daten werden in ein einheitliches Format umgewandelt und an die A-Box übermittelt und zur weiteren, tiefer gehenden Eventkorrelation an die D-Box übertragen. Die E-Box versucht dabei bereits, redundante oder irrelevante Informationen zu unterdrücken, um Speicherplatz zu sparen und die Informationsverarbeitung in der A-Box zu beschleunigen. A-Boxes: Die Analyseeinheit ist die zentrale Komponente eines Intrusion Detection Systems. Hier werden die von der E-Box eingehenden Daten auf Angriffsmuster oder Anomalien oder allgemeinere Verstöße gegen das etablierte Sicherheitskonzept überprüft. Findet eine Erkennung eines Verstoßes statt, so wird dieser Event zur Protokollierung an die D-Box übertragen. Existiert für den erkannten Event eine vom

16 Projektarbeit INTRUSION DETECTION 16 Administrator definierte Aktion, so wird durch die C-Box (Countermeasure Box, auch Intrusion Response Unit) eine Gegenaktion ausgelöst. Zur Analyse werden üblicherweise eine Verfahren zur Missbrauchserkennung und Verfahren zur Anomalieerkennung eingesetzt. Eine einfache Umsetzung der Missbrauchserkennung ist die Signatur-basierte Analyse, bei der auf ein Auftreten eines bestimmten Musters in dem Datenstrom, der Signatur, analysiert wird. Bei der Anomalieerkennung wird allgemeiner versucht, alle Abweichungen vom normalen Nutzungsverhalten zu erkennen (siehe auf Seite 21). C-Boxes: Die Countermeasure-Box reagiert auf die von den A-Boxes erkannten Events. Die durchgeführten Reaktionen können entweder passiv sein, d.h. durch Benachrichtigung des Administrators, oder aktiv, also dem erkannten Angriff automatisiert entgegenwirkend sein. Die Benachrichtigung des Administrators kann über viele verschiedene Wege durchgeführt werden, durch Versand von , WinPopups, SNMP-Traps oder SMS/Pager Meldungen. Eine aktive Reaktion auf ein Event kann auch das aktive Einholen von weiteren Informationen sein, wie z.b. eines Portscans des Angreifers, des Sammelns der eingeloggten Benutzer, aktuellen Systemlogeinträgen oder der Feststellung des verwendeten Betriebssystems oder der eingesetzten Programme. Aktive Reaktionen sollten nur vorsichtig angewandt werden, da der Angreifer diese automatisierten Reaktionen des Intrusion Detection Systems zu seinen Gunsten ausnutzen kann. Eine Fälschung der IP Quelladresse der Pakete kann die eigentliche Herkunft des Angreifers verschleiern und die Reaktionen auf ein drittes, unbeteiligtes System lenken, das so nun selbst Opfer von Angriffen wird. Auch rein defensive Reaktionen, wie die automatische Umkonfiguration eines Paketfilters am Internet- Übergabepunkt, können mit IP-Fälschung missbraucht werden, um betriebskritische Kommunikationen zu unterbinden. D-Boxes: Die Datenhaltung dient zum einen als Grundlage für den gemeinsame Datenaustausch und zum anderen der Dokumentation der erkannten Ereignisse, um eine Nachvollziehbarkeit der Abläufe für den Administrator sicherzustellen. Eine zentrale und mit umfassenden Metainformationen versehene Datensammlung bietet gute Möglichkeiten zur weiteren Eventkorrelation (siehe 2.6). 2.6 Event Korrelation Begriffserläuterung Der gleiche Angriff wird bei Verwendung von mehr als einem Sensor durch das Intrusion Detection System mehr als einmal aufgezeichnet. Ein Problem dabei ist, dass die Aufzeichnung der Events nicht völlig zeitgleich stattfindet oder in verschiedenen Darstellungen aufgezeichnet werden. Eine Auswertung, die basierend auf Ereignissen von mehreren Sensoren gleicher Art oder mehreren Sensoren unterschiedlicher Arten, mehrere Events zu einem Angriff zuordnet, bezeichnet man als Korrelation. Die Korrelation von sensorübergreifenden oder längerfristigen Ereignissen muss in der Regel intuitiv von dem Personal durchgeführt werden. Verschiedene kommerzielle IDS

17 Projektarbeit INTRUSION DETECTION 17 Produkte, wie beispielsweise Enterasys Dragon ( siehe Kapitel 4.4 auf Seite 35), unterstützen die Analyse in Form von Auswertungslogiken und chronologischen Reports. Ein Ansatz zur automatisierten Korrelation ist in [24] zu finden. Zur effektiven Korrelation von Events müssen möglichst umfangreiche Zusatzinformationen zu den Events gespeichert werden, wie beispielsweise Logdateien, Kopien der modifizierten Dateien oder eine Aufzeichnung des ausgetauschten Datenverkehrs, da zunächst unverdächtig erscheinende Einzelereignisse bei einer langfristigen Analyse nachträglich an Bedeutung gewinnen können (z.b. Portscans die sehr langsam oder verteilt durch viele verschiedene Rechner durchgeführt werden). Diese umfangreiche Speicherung von Zusatzinformationen zu den festgestellten Events stellt Fragen an den Datenschutz, die geklärt werden müssen. Die Speicherung von Ereignisdaten können in pseudoanonymisierter Form die Bestimmungen des Datenschutz umgehen, allerdings ist dann die Forensik von Ereignissen stark in Frage gestellt. Die Anonymisierung der Events wird jedoch von den verfügbaren Netzwerkbasierten IDS Produkten nicht unterstützt. Eine Betrachtung der Datenschutzanforderungen ist eher Teil des Sicherheitskonzeptes Agenten-basiertes IDS Agenten-basierte ID Systeme stellen einen Ansatz für verteiltes, Hostbasierte Intrusion Detection dar, die einen Hohen Aufwand für Eventkorrelation benötigen. Auf den überwachten Computersystemen laufen mehrere eigenständige, einfache Programme, die Agenten, die von einem Transceiver überwacht werden. Ein Agent ist ein möglichst einfaches und robustes Programm, das einzelne Kommandos, Benutzerprogramme, Benutzerdaten oder System-Logdateien überwacht. Der Transceiver startet und stoppt die Agenten nach Bedarf und korreliert die Meldungen der Agenten und übergibt die Ergebnisse an einen zentralen Monitor. Der Monitor vereinigt die gesammelten Daten von mehren Hosts, wodurch auch Angriffe zu einem Event korreliert werden können, die von mehreren Hosts verteilt ausgelöst werden. Ein Vorteil des Agenten-basierten IDS gegenüber einem eher monolithischen Hostbasierten IDS ist, dass die Vielzahl der möglichen Agenten es dem Angreifer schwer machen, sie alle zu finden und auszuschalten. Auch führt der Ausfall eines einzelnen Agenten nur zu einer Verschlechterung der Eventkorrelation, nicht zu einem Totalausfall. Bekannte Beispiele für Agenten-basierte IDS sind Autonomous Agents for Intrusion Detection (AAFID[23]) und Event Monitoring Enabling Responses to Anomalous Live Disturbances (EMERALD [25]). 2.7 Honeypots Ein Problem bei der Erkennung von Angriffen gegen vernetzte Rechner im Produktivbetrieb ist, dass es bei der in der Praxis üblichen Komplexität der vernetzten Computersysteme sehr schwer ist, verdächtige Aktivitäten zuverlässig in einem großen Strom von normalem Aktivitäten zu erkennen.

18 Projektarbeit INTRUSION DETECTION 18 Bei einem Honeypot handelt es sich um einen Rechner, der ohne einen sonstigen Zweck, teilweise mit absichtlich konfigurierten Sicherheitslücken, unter besonderer Überwachung an ein Netzwerk angeschlossen ist. Jeder Netzwerkverkehr von oder zu diesem Rechner ist also verdächtig, und kann ein Anzeichen eines bevorstehenden oder eines bereits erfolgreich durchgeführtem Angriff sein Einsatzziele Honeypots sind eine wichtige Möglichkeit für die Intrusion Detection, denn sie bieten die Möglichkeit, echte Angriffe auf ein System unter Laborbedingungen zu beobachten und zu dokumentieren. Dies ist ein großer Vorteil gegenüber der Überwachung von Produktivsystemen mit ID Systemen, da dort häufig bereits der Produktivbetrieb eine große Menge an auszuwertenden Daten und IDS-Ereignissen liefert. Die Analyse eines erfolgreichen Angriffs, die Forensik einer Intrusion, lässt Rückschlüsse auf die vom Angreifer eingesetzten Werkzeuge, die ausgenutzte Sicherheitslücke und das Angriffsmuster zu. Diese Reaktion auf eine Intrusion ist bei einem Honeypot viel detaillierter und sorgfältiger durchführbar, als dies bei einem Produktivsystem möglich ist. Die Intrusion eines Produktivsystems wird möglicherweise nicht sofort bemerkt, so dass reguläre Benutzerinteraktion schon Spuren des Angreifers verfälscht oder unbrauchbar gemacht haben. Die Ausfallzeit eines Produktivsystems muss bei mangelnder Redundanz auch minimiert werden, was die Zeit, die für Forensik aufgewendet werden kann, beschränkt. Die Folge ist, dass das eingesetzte Sicherheitskonzept nicht ausreichend angepasst wird, um den gleichen oder ähnlichen Attacken vorzubeugen. Ziele für den Einsatz von Honeypots sind: Tool-Sniffing: Sammeln von unter Angreifern aktuell üblichen Werkzeugen und Backdoors. Es ist schwer, auf anderem Wege diese zu erhalten, da sie nicht öffentlich verteilt und häufig erst dann allgemeiner bekannt sind, wenn sie veraltet und nicht mehr bei aktuellen tatsächlichen Angriffen eingesetzt werden. Entdeckung unbekannter Sicherheitslücken: Eine Intrusion auf einem Honeypot Rechner kann durch eine bisher nicht veröffentlichte (und daher auch eine die noch nicht behoben wurde) Sicherheitslücke durchgeführt werden. Diese Sicherheitslücke kann bedingt durch ein dem Systemadministrator unbekannten Konfigurationsfehler entstanden sein oder auf ein generischem Fehler der eingesetzten Programme beruhen. Unbekannte, generische Exploits von üblicherweise eingesetzten Programmen, sogenannte 0-day Exploits3 sind sehr selten und werden meist von einem Angreifer nicht blind gegen vernetzte Rechner angewendet, sondern gezielt gegen in der Öffentlichkeit stehende Server gerichtet. Ein rein passiver Honeypot ist daher nicht attraktiv genug für die Entdeckung von 0-day Exploits, kann jedoch als sehr effektive Methode zur Erkennung von Sicherheitslücken in der spezifisch eingesetzten Konfiguration und der lokalen Sicherheitspolitik sein. Statistische Auswertung von Angreifer-Aktivitäten: Honeypots mit vielen bekannten Sicherheitslücken werden zur Auswertung eingesetzt, welche blinden Angriffs-

19 Projektarbeit INTRUSION DETECTION 19 versuche zur Zeit in Mode sind. Dies kann wertvolle Hinweise für die Verbesserung des eingesetzten Sicherheitskonzeptes geben. Populäre und allgemein erfolgreiche Exploits eigenen sich als Mechanismus für Würmer und Viren, so dass der Behebung dieser Schwachstellen besondere Aufmerksamkeit geschenkt werden muss. Ein Problem beim Einsatz eines Honeypots ist es, dass sein Betrieb nutzlos ist, wenn er nicht erfolgreich angegriffen wird. Erfolglose Angriffe auf ein Honeypot sind nur von geringem Wert, erhöhen jedoch die Aktivität in dem Netzwerk und können das Interesse des Angreifers auf andere Rechner im Produktivbetrieb ablenken. Dagegen birgt ein erfolgreicher Angriff auf ein Honeypot die Gefahr, dass die erlangten Privilegien missbraucht werden können und so ein zusätzliches Risiko für die Netzwerksicherheit darstellen. Ein weiterer Nachteil ist, dass Honeypots nicht vor Angriffen durch Insider schützen können - denn Insider wissen von der Existenz des Honeypots und werden ihre Angriffe auf das Produktivsystem konzentrieren. Aber auch gegen Angriffe von außen kann ein Honeypot keinen Schutz liefern - es ist möglich, dass ein Angriff zuerst erfolgreich auf ein Produktivsystem ausgeübt wird und erst deutlich später oder gar nicht auf den Honeypot. Die Überwachung eines Honeypots ist mit hohem manuellen, personellen Aufwand verbunden, die es in der Praxis häufig nicht erlaubt, ausreichend große Honeypot-Farmen aufzubauen und zu warten. Honeypots sind auch ein rechtliches Problem, denn sowohl ihr Einsatz als auch der Schaden, der durch Missbrauch angerichtet werden kann, ist nicht rechtlich abgesichert Honeypot Varianten Abbildung 4: Deception Toolkit[21] Honeypots existieren in unterschiedlichen Varianten: Virtuelle Honeypots: Diese Honeypots bestehen aus einer speziellen Software, die die Existenz eines normalen Rechners für einen Angreifer nur vorgaukelt. Diese Programme sind sehr individuell konfigurierbar, um einen Angreifer möglichst

20 Projektarbeit INTRUSION DETECTION 20 plausibel das Vorhandensein eines verwundbaren üblichen Netzwerkdienstes oder gar eines kompletten Rechners mit einem Standardbetriebssystem vorzutäuschen. Dieser Ansatz wird von dem Deception Toolkit[20] (siehe Figur 4 auf der vorherigen Seite), Symantec ManTrap[22] und HoneyD[4] verfolgt. Der Vorteil eines solchen Setups ist, dass ein Angriff niemals gelingen kann: Denn eine eigentliche Sicherheitslücke, die von einem Angreifer ausgenutzt werden könnte, existiert gar nicht. Stattdessen kann der Administrator des Systems gefahrlos alle Angriffsversuche mitprotokollieren und auswerten. Auch kann solche Software meist eine extrem große Anzahl Rechner und unterschiedliche Rechnerkonfigurationen mit geringem Aufwand vortäuschen. Der Nachteil ist, dass die Präzision eines solch vorgetäuschten Servers meist sehr begrenzt ist und nur unerfahrene Angreifer, Würmer oder automatisierte Werkzeuge auf diese Honeypots hereinfallen. Virtuelle Rechnerhoneypots: Diese Honeypots bestehen aus einem Standardbetriebssystem mit üblicher Programmumgebung, die jedoch nicht auf realer Hardware installiert wurde sondern nur in einer Hardware-Emulationsumgebung auf einem Hostsystem läuft. Der Vorteil eines solchen Setups ist, dass sehr viele unterschiedliche Umgebungen und Honeypotkonfigurationen mit minimalem Hardware- Aufwand an ein Netzwerk angeschlossen werden können. Auch ist die Kontrollierbarkeit eines solchen Honeypots sehr gut, da es einfach ist, Veränderungen an dem Image des virtuellen Rechners leicht festgestellt werden können. Ein Nachteil ist, dass nur unerfahrene Angreifer auf solche Honeypots hereinfallen, da die emulierte Hardware sehr leicht durch allgemein übliche Systemdiagnoseprogramme erkannt werden kann. Ein als Honeypot erkannter Honeypot ist allerdings nutzlos: Kein Angreifer wird für die Untersuchung interessante Tätigkeiten auf einem solchen System starten. Honeypots hinter einem IDS: Hier handelt es sich um einen echten Rechner mit einer realen Betriebssystem- und Programminstallation. Zur Steigerung der Attraktivität für einen Angreifer kann ein solcher Rechner noch große Mengen gefälschter Dokumente über die konfigurierten Netzwerkdienste anbieten. Jegliche Netzwerkaktivitäten des Rechners werden jedoch durch ein IDS mitprotokolliert. Zur Minimierung der Reaktionszeiten bei einem erfolgten Angriff wird meist ein sich normalerweise völlig transparent verhaltender Paketfilter vor geschaltet, der bei ungewöhnlicher Netzwerkaktivität des Honeypots diesen automatisch von Netz trennt und den Administrator benachrichtigt.

21 Projektarbeit INTRUSION DETECTION 21 3 Netzwerkbasierte IDS Für den Einsatz im UNI-LAN, einer heterogenen Netzwerkumgebung mit dezentralisierter Rechneradministration und organisatorisch voneinander unabhängigen Instituten, sind nur Netzwerkbasierte Intrusion Detection Systeme zur Überwachung der allgemeinen Netzwerksicherheit einsetzbar. Für das Regionale Hochschulrechenzentrum Kaiserslautern, das diese Projektarbeit betreut, ist es aus organisatorischen und politischen Gründen nicht möglich, Hostbasierte ID Systeme in großem Umfang einzusetzen. 3.1 Varianten Zur Erkennung von Attacken in einem Computernetzwerk können Netzwerkbasierte Intrusion Detection Systeme zwei unterschiedliche Herangehensweisen verwenden: Anomalie-basierte und Signatur-basierte Intrusion Detection Systeme Anomalie-basierte NIDS Ein Anomalie-basiertes Netzwerkbasiertes Intrusion Detection System versucht, Angriffe durch Abweichung einer Situation von dem Normalzustand zu erkennen. Dazu werden interessante Parameter des normalen Netzverkehrs periodisch gemessen und mit einem abgespeicherten Profil verglichen. Dieses Profil kann von einem Administrator gepflegt werden oder in einer Lernphase von dem System automatisiert erzeugt worden sein. Die Granularität des Profils beeinflusst erheblich die Fehlerraten und die Erkennungsgenauigkeit des Systems. Die Anomalie-basierte NIDS kann auf verschiedenen Prinzipien aufbauen: statistische Analyse: In diesem Fall basiert die Angriffserkennung auf der Annahme, dass sich missbräuchliche Nutzung signifikant von normaler Nutzung unterscheidet. Als Vergleichsprofil werden statistische Kennwerte, wie zum Beispiel Erwartungswert und Varianz, bei normaler Benutzung verwendet. Für ein Netzwerkbasiertes IDS kann dies beispielsweise ein Profil des normalen Netzwerkverkehrs in Bezug auf benutze Protokolle, benutzte Ports, Anzahl Verbindungen bzw. transferierten Volumen für jedes Endsystem darstellen. Bei einem Hostbasierten IDS kann das Normprofil der statistischen Analyse Zugriffsmuster auf lokale Dateien oder laufende Prozesse und angemeldete umfassen. Die Profile werden in größeren Zeitabständen dem aktuellen Gegebenheiten angepasst. Tritt eine plötzliche starke Veränderung ein, so wird von einer Anomalie ausgegangen. protokollbasierte Analyse: Bei der protokollbasierten Analyse wird der Netzwerkverkehr auf Korrektheit bezüglich der zugrunde liegenden Protokollspezifikation überprüft. Die Erkennung von Angriffen basiert auf der Annahme, dass bei Angriffen häufig von den spezifizierten Protokollen abgewichen wird oder von Extremfällen in der Spezifikation, die normalerweise nur sehr selten auftreten, gezielt ausgenutzt werden.

22 Projektarbeit INTRUSION DETECTION 22 Diese Analysemethode weist eine hohe Performance auf, da sie generisch eine Vielzahl von Angriffen erkennen kann, ohne wie bei einer Signatur-basierten NIDS den Netzwerkverkehr gegen große Mengen von Signaturen testen zu müssen. Dagegen ist die Analyse für Angriffe, die nicht auf Fehlern in der Protokollebene beruhen, wirkungslos. honeypotbasierte Analyse: Virtuelle Honeypots (siehe 2.7.2) können zur Anomalie- Erkennung eingesetzt werden, da sie Netzdienste simulieren, die von keiner normalen Nutzung benötigt werden. Jeder Zugriff auf diese virtuellen Honeypots stellt also eine Anomalie dar, die auf eine Angriff hindeuten kann. Neuronales Netz-basierte Analyse: Neuronale Netzwerke können Anomalien in einem Datenstrom mittels adaptiver Lerntechniken erkennen. Hierzu muss das System mittels eines Datenstroms eines angriffsfreien und den Datenströmen eines angriffsverseuchten Netzes auf die Erkennung der Anomalien trainiert werden. Ein Problem dieses Ansatzes ist es, dass ein Neuronales Netzwerk nicht die Ursache einer Anomalie angeben kann, sondern es lediglich auf Vorhandensein einer Anomalie trainiert werden kann. Eine Lösung in der Praxis dieses Problems ist, dass Neuronale Netze nur für einen ganz bestimmten Angriffstyp, wie z.b. das Erkennen von SYN-Floodings, trainiert werden. Dadurch ist beim Feuern einer Anomalie deren Grund feststellbar. Durch den Einsatz mehrer Neuronaler Netze lassen sich so verschiedene Klassifikationen von Anomalien unterscheiden. Anomalie-basierte NIDS sind also dazu geeignet, noch bisher unbekannte Angriffe zu erkennen. Sie basieren auf der Annahme, dass unterhalb eines gewählten Grenzwertes eine normale Nutzung vorliegt, während jede missbräuchliche Nutzung diesen Grenzwert überschreitet. Ein großes Problem stellt die passende Wahl dieses Grenzwertes da. Fällt diese zu hoch aus, so treten die unerwünschten False Negatives, also das Nicht-erkennen von stattgefunden Angriffen auf. Man tendiert daher dazu, einen zu niedrigen Grenzwert zu wählen. Allerdings führt dieser Ansatz in der Praxis zu einer hohen Anzahl von False Positives behaftet, so dass die manuelle Analyse der generierten Alerts mit großem Zeitaufwand verbunden ist. Aus diesem Grund ist ein rein Anomalie-basiertes NIDS nicht als marktverfügbares Produkt erhältlich und fast ausschließlich im wissenschaftlichen Bereich als Zusatzkomponente im Einsatz Signatur-basierte NIDS Als Signatur wird ein typisches Muster im Netzwerkverkehr bezeichnet, das auf einen Angriff hindeutet. Eine solche Signatur kann im einfachsten Fall eine Zeichenfolge in einem Datenstrom sein bis hin zu komplexen Verhaltensmustern im Datenverkehr. Ein Signaturbasierte NIDS löst einen Event aus, wenn eine solche Signatur im Netzwerkverkehr erkannt wird. Die verfügbaren Signatur-basierten NIDS unterscheiden sich in der Mächtigkeit der Skriptsprache, mit der die Signaturen definiert werden und der Qualität der Protokolldecodierer, die Mehrdeutigkeiten in den höheren Protokollebenen auf ein standardisiertes Format umformen, so dass eine Signatur möglichst viele Modifikationen und Varianten des Angriffs erkennen kann. Schwache oder nicht vorhandene Protokoll-Decodierer für ein Protokoll führen dazu, dass die Signatur entsprechend unscharf sein muss, um

23 Projektarbeit INTRUSION DETECTION 23 Varianten des Angriffs zu erkennen. Hierdurch erhöhen sich jedoch die Rate der False positives, die zu einem höheren personellen Aufwand bei der Analyse der IDS-Meldungen führen. Dennoch ist der Aufwand deutlich geringer als bei einem Anomalie-basierten NIDS. Dies erklärt wohl auch, warum fast alle marktverfügbaren NIDS Produkte entweder rein Signatur-basiert oder Signatur-basiert in Kombination mit Protokolldekodieren arbeiten. Ohne Protokolldecodierer ist es leicht möglich, eine Signaturerkennung zu umgehen, da beispielsweise fragmentierte IP Pakete nicht die gleiche Signatur matchen wie nichtfragmentierte Pakete. 3.2 Sicherheitsprobleme Netzwerkbasierter IDS Da Netzwerkbasierte ID Systeme eine sehr kosten-effiziente und leicht managebare IDS Lösung darstellt, ist sie weit verbreitet. Gerade bei Netzwerkbasierten IDS ist der Anteil der sogenannten False Positives das häufigste Problem. Jedoch, wie bei jedem System, das die Sicherheit des Netzes und der Rechner überwachen soll, sind die False Negatives, also die nicht erkannten Angriffe der entscheidende Aspekt, um die Zuverlässigkeit und die Sicherheit eines IDS zu beurteilen. Die Funktion eines Netzwerkbasierten IDS basiert auf der Annahme, dass das Verhalten der überwachten System aus dem ausgetauschten Netzwerkverkehr abgeleitet werden kann. Diese Annahme ist ungenau. Ein Angreifer, der von dem Vorhandensein eines IDS ausgeht, kann seinen Angriff so gestalten, dass der Angriff von einem wie auch immer gearteten Netzwerkbasierten IDS nicht erkannt werden kann. Dies kann nach zwei Prinzipien geschehen: Der Angriff ist so gestaltet, dass die Informationen, die das Netzwerkbasierte IDS mitlesen kann nicht ausreichen um den Angriff zu rekonstruieren. Dies kann z.b. daran liegen, dass dem NIDS Informationen über das Endsystem fehlen. Enthält ein IP Paket beispielsweise eine falsche Checksumme, so wird das NIDS dieses Paket normalerweise nicht beachten. Ein Fehler im Betriebssystem des Endsystems kann jedoch dazu führen, dass dies trotzdem das Paket akzeptiert. Selbst wenn das NIDS von dem Fehler wüsste, gibt es andere Bedingungen, die von einem NIDS nicht alleine durch Verfolgen des Netzwerkverkehrs vorausgesagt werden können. Das Endsystem kann beispielsweise aufgrund einer temporären Überlastung ein Paket verwerfen, das von dem NIDS akzeptiert wurde. Auch kann die Programmkonfiguration des Endsystems die Verarbeitung des einkommenden Netzwerkverkehrs beeinflussen. All diese Informationen stehen einem NIDS nicht zur Verfügung, so dass es nur aufgrund bestimmter Annahmen Vorhersagen über das Verhalten des Endsystems aufgrund des ausgetauschten Netzwerkverkehrs durchführen kann. Der Angriff ist so gestaltet, dass die Menge an Daten, die mit-geschnitten und analysiert werden müssen, um den Angriff zu erkennen, so groß gestaltet ist, dass sie die Verarbeitungskapazität des Netzwerkbasierten IDS überschreitet. Dieser Angriff ist verhältnismäßig einfach durchzuführen, da ein Netzwerkbasiertes IDS prinzipbedingt deutlich empfindlicher auf Überlastung reagiert als ein einzelnes Endsystem,