Praktikum IT-Sicherheit

Transkript

1 IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Vorbereitung Intrusion Detection II Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in einen Computer oder ein Netzwerk. Intrusion Detection Systeme sind Softwarelösungen, die eben ein solches Eindringen frühzeitig erkennen und den Administrator darüber informieren sollen. In diesem Dokument erfahren Sie, wie Sie sich inhaltlich vorbereiten müssen, um den Versuch erfolgreich durchführen und das Lernziel erreichen zu können. B.Sc. AI, WI M.Sc. AI M.Sc. EB

2 Einleitung In diesem Kapitel finden Sie Informationen zum Thema Intrusion Detection und eine Einführung in das Network Intrusion Detection System Snort. Intrusion Detection Der Begriff Intrusion bezeichnet im Bereich der Informatik, das unerlaubte Eindringen eines Angreifers in einen Computer oder ein Netzwerk. Intrusion Detection Systeme sind Softwarelösungen, die eben ein solches Eindringen frühzeitig erkennen und den Administrator darüber informieren sollen. Zur Erkennung von Angriffen auf die IT-Infrastruktur werden zwei Methoden unterschieden. Die Missbrauchserkennung, bei der Muster auch Signaturen genannt - bekannter Angriffe mit dem überwachten Paketstrom verglichen werden, hat sich seit Mitte der Neunziger Jahre für eine hohe Erkennungsrate bewährt. Die neuere Methode der Anomalieerkennung versucht Angriffe anhand von Nutzungsmodellen und Statistiken identifizieren zu können. Da beide Techniken ihre Stärken und Schwächen besitzen, kommt bei den heute eingesetzten Intrusion Detection Systemen (IDS) fast immer eine Kombination beider Methoden zum Einsatz. Snort Network Intrusion Detection System Das Network Intrusion Detection System (NIDS) Snort genießt im Opensource Bereich weite Verbreitung. Snort besitzt eine Detection Engine, die für den Vergleich von Signaturen zum Einsatz kommt. Ein modularer Aufbau erlaubt jedoch die Vorschaltung sogenannter Preprozessoren, die eine Normalisierung des Datenverkehrs, die Zusammensetzung fragmentierter Pakete (Reassembling) und Anomalieerkennung zulassen. Mit Hilfe von Snort sollen in der vorliegenden Versuchseinheit verschiedene Methoden der Anomalieerkennung und die damit zu erkennenden Angriffe demonstriert werden. Snort Konfiguration Die Konfigurationsdateien von Snort finden Sie in der virtuellen Maschine IDS im Verzeichnis /etc/snort. Die wichtigste Datei, die Sie an dieser Stelle vorfinden ist snort.conf, in der die Konfiguration des zu überwachenden Netzwerkes, der aktivierten Preprozessoren und der zu ladenden Regeldateien stattfindet. Die Konfigurationsdatei gliedert sich in 5 Bereiche, die jeweils in den Kommentaren der Datei näher beschrieben sind. Für die Arbeit im Zuge des Versuches sind die Bereiche 3 (Konfiguration der Preprozessoren) und 6 (Konfiguration der Regeln) von Relevanz. Sie können erkennen, dass die Regeln, die sich selbst in Dateien des Unterverzeichnisses rules befinden, mit Hilfe von include Statements eingebunden werden. Format einer Snort Regel Öffnen Sie eine der Regeldateien (z.b. /etc/snort/rules/local.rules) und machen Sie sich mit dem Format der Regeln vertraut. Jede Regel besteht aus einem Header und den in Klammern stehenden Optionen. Beispielhaft ist hier eine sehr einfache Regel zum erkennen des MyRomeo-Wurmes dargestellt, der sich per verbreitet. In der Betreffzeile einer kommen dabei verschiedene Phrasen (u.a. der Text I Love You ) zum Einsatz, die ein IDS erkennen kann. alert tcp any 110 -> any any (msg: Virus Possible MyRomeo Worm ; flow:established; content: I Love You ; nocase; classtype:misc-activity; sid:732; rev:6;) 2

3 Die Bedeutung der einzelnen Schlüsselworte sind in der nachfolgenden Tabelle beschrieben. Weitere Parameter, die in Regeln Verwendung finden, können Sie dem Snort Benutzerhandbuch entnehmen. Schlüsselwort alert Bedeutung Auszuführende Aktion, falls die Regel zutrifft tcp Protokoll der Verbindung (z.b. IP, ICMP, TCP, UDP,...) any IP Adresse der Quelle (in diesem Fall jede beliebige) 110 Portnummer der Quelle (in diesem Fall POP3) any any msg: flow: content: nocase classtype: pcre: distance: sid: rev: IP Adresse des Ziels (in diesem Fall jede beliebige) Portnummer des Ziels (in diesem Fall jede beliebige) Ein Titel für die Regel, der auch in der Logdatei auftaucht Optionen zum Datenfluss (in diesem Fall wird die Regel nur dann angewendet, wenn vorher ein Verbindungsaufbau durch einen 3-Wege-Handshake stattgefunden hat) Die eigentliche Signatur, nach der innerhalb der überprüften Daten gesucht wird Die Überprüfung des unter content genannten String findet unabhängig von Gorß- oder Kleinschreibung statt Eine Klasse zur Kategorisierung des Angriffs Erlaubt die Verwendung regulärer Ausdrücke innerhalb des Suchmusters Bezeichnet den relativen Abstand zweier Suchmuster voneinander Eine eindeutige ID der Regel Eine Revisionsnummer der Regel Format von Snort Alarmmeldungen Snort bietet eine Reihe verschiedener Ausgabeplugins für Alarmmeldungen. Die Aufgaben dieser Versuchseinheit beschränken sich jedoch auf das Standard-Ausgabeplugin, das Alarmmeldungen in einem Textformat, in der Datei /var/log/snort/alarms, speichert. Für jeden erkannten Angriff erzeugt Snort einen Informationsblock, der Auskunft über Art, Herkunft und Ziel des Angriffs bietet. Für einen Administrator ist es wichtig, diese Meldungen korrekt interpretieren zu können. Beispielhaft ist hier der Logeintrag des CodeRed II Wurmes dargestellt. [**] [1:1256:8] WEB-IIS CodeRed v2 root.exe access [**] [Classification: Web Application Attack] [Priority: 1] 07/24-09:24: :5448 -> :80 TCP TTL:64 TOS:0x0 ID:6459 IpLen:20 DgmLen:423 DF ***AP*** Seq: 0xC84DEC24 Ack: 0x5348DD9E Win: 0xB7 TcpLen: 32 TCP Options (3) => NOP NOP TS: [Xref => Die erste Zeile beginnt mit einer eindeutigen ID und enthält den Namen der Alarmmeldung. Sollte die Meldung durch einen Preprozessor erzeugt worden sein, so wird dieser ebenfalls genannt. In Zeile zwei folgt ein Hinweis auf Art und Priorität des Alarms. Zeile drei zeigt den exakten Zeitpunkt 3

4 des Alarmes, sowie die Quelle und das Ziel des erkannten Angriffs. In Zeile vier befinden sich Informationen des IP-Headers, während die Zeilen fünf und sechs Informationen des TCP-Headers enthalten. Die letzte Zeile enthält einen Verweis auf weitere Informationen. Schlüsselwort Im Beispiel Bedeutung Identifikation [1:1256:8] Eindeutige Kennung des Alarms. Titel WEB-IIS Code... Titel der Alarmmeldung. Klassifikation [Classification:...] Klassifikation des Alarms, um diesen in Kategorien einordnen zu können. Priorität [Priority: 1] Die Priorität des Alarms. Zeitstempel 07/24-09:24... Der exakte Zeitpunkt des Alarms. Quelle :5448 Quelladresse und -port des erkannten Angriffs. Ziel :80 Zieladresse und -port des erkannten Angriffs. IP-Header TCP TTL:64... Informationen des IP-Headers. (Hier: Typ des Transportprotokolls, Time-To-Live, Type-of-Service, Länge des IP-Headers, u.a.) TCP-Header ***AP*** Seq:... Informationen des Transportprotokolls. (Hier: TCP-Flags, Sequenz- und Acknowledgenummer, Größe des Sendefensters, Länge des TCP-Headers) TCP-Header TCP Options... Informationen über die Optionen des TCP-Headers. Xref [Xref =>... ] Ein Verweis zu weiteren Informationen über den Alarm. 4

5 Versuchsablauf In diesem Kapitel finden Sie Informationen und Hilfestellungen zu den Aufgaben, die es im Verlauf der Versuchseinheit zu bearbeiten gilt. Aufgabe 1 Missbrauchserkennung Die Missbrauchserkennung identifiziert Angriffe durch den Vergleich des überwachten Paketstroms mit Mustern, auch Signaturen genannt. Die Muster aller Angriffe, die durch diese Methode erkannt werden sollen, müssen in Regeln formuliert und durch das IDS geladen werden. Die Regeldateien von Snort finden Sie im Verzeichnis /etc/snort/rules. Zu Beginn der Übung sollen gezielt Regeln angesprochen und Alarmmeldungen generiert werden. Einige einfach strukturierte Snort-Regeln finden Sie in der Datei /etc/snort/rules/local.rules. Versuchen Sie diese mit dem Programm gspoof, das die Erstellung einzelner TCP-Pakete mit beliebigem Inhalt erlaubt, gezielt anzusprechen. In der Abbildung sehen Sie ein Beispiel, mit dem die erste der Regeln angesprochen werden kann. Aufgabe 2 Erkennen von Portscanning Bei Portscanning handelt es sich um eine Methode des Informationsgewinns, die ein Angreifer nutzen kann, um mögliche Ziele und deren Schwachstellen auszukundschaften. Um zu erkennen, 5

6 welche Endgeräte erreichbar sind, sendet ein Angreifer zunächst einen ICMP-Ping an jede Adresse des Zielnetzwerkes. Anschließend führt er an den gefundenen Endgeräten einen Portscan durch. Portscanning lässt sich durch Signaturen nicht beschreiben, da es sich in den meisten Fällen um gültige IP-Pakete handelt. Ein IDS kann jedoch mit Hilfe statistischer Methoden die Durchführung eines Portscans erkennen. Im Falle des Snort IDS ist für diese Erkennung der Preprozessor sfportscann zuständig, dessen Konfiguration Sie in Abschnitt 3 der Snort Konfigurationsdatei finden. Aufgabe 3 Erkennen eines Stick Angriffs In dieser Aufgabe soll ein Stick Angriff durchgeführt werden. Es handelt sich dabei um eine Attacke, die sich gegen das IDS selbst richtet. Ein Angreifer, dem die Regeln eines IDS bekannt sind, kann gezielt Pakete an dieses senden, die jeweils an diese Regeln angepasst sind. Dadurch ist es möglich, eine Flut von Alarmmeldungen zu erzeugen, in der ein tatsächlicher Angriff untergeht. Wichtig ist dabei, ein breites Spektrum von Regeln anzusprechen, um die Möglichkeit einer Filterung unbrauchbar zu machen. Damit ein Stick Angriff effektiv durchgeführt werden kann, müssen möglichst viele Pakete in geringer Zeit geschickt werden. Auf einen TCP-Verbindungsaufbau durch den Drei-Wege- Handshake wird daher meisst verzichtet. Dies bedeutet jedoch, dass es sich um eine Protokollanomalie handelt, da das Senden von TCP-Paketen ohne eine zuvor aufgebaute Verbindung nicht dem Standard entspricht. Solche Annomalien können durch Signaturen nicht beschrieben werden, jedoch ist es möglich den Status von Verbindungen zu verfolgen um die Anomalie zu erkennen. Im Falle des Snort IDS ist der Preprozessor stream5 für das Verfolgen des Verbindungsstatus zuständig, dessen Einstellungen Sie im Abschnitt 3 der Snort-Konfigurationsdatei finden. Das Kommandozeilenprogramm snot, das auf dem PC des Angreifers installiert ist, ermöglicht die Durchführung eines Stick Angriffs. Wenn Sie snot ohne Optionen starten, erhalten Sie eine kurze Hilfeausgabe. Eine mögliche Verwendung des Programms könnte so aussehen. angreifer: ~# snot -s <Quell-IP> -d <Ziel-IP> -r <Regeldatei> -n <Paketanzahl> Hinweis: Wenn Sie zu viele Pakete senden, kann es vorkommen, dass Snort abstürzt und neu gestartet werden muss. Sie sollten daher jeweils nur ca Pakete auf einmal senden. Aufgabe 4 Encoding Anomalien Encoding Angriffe nutzen die Möglichkeit unterschiedlicher Zeichencodierungen, zum Einschleusen von Schadcode oder Umgehen von Sicherheitsmechanismen. Das 8-Bit Unicode Transformation Format (UTF-8), das zur Darstellung von Unicode Zeichen verwendet wird, lässt eine Codierung von Schriftzeichen in variabler Länge in der Praxis zwischen einem umd vier Byte zu. Dadurch ist es etwa möglich, das Backslash-Zeichen in der 1-Byte Darstellung (5C), der 2-Byte Darstellung (C19C) oder gar mit drei Byte (E0819C) zu codieren. Zur Vermeidung der ungewollten Mehrfachcodierung des gleichen Zeichens, enthält der Standard einen Zusatz, der besagt, dass nur die kürzest-mögliche Form der Codierung zulässig ist. Eine Schwachstelle im Microsoft Internet Information Services (IIS) 5.0 Webserver erlaubte jedoch auch die Verwendung überlanger UTF-8 Zeichen in URLs. Gleichzeitig führt der Webserver die Sicherheitsabfragen zum Erkennen von Directory Traversal, also dem Verlassen des Basisverzeichnisses, vor der Decodierung von UTF-8 Zeichen durch. Ein in UTF-8 codiertes Directory Traversal wurde somit nicht nochmals geprüft und konnte durchgeführt werden. In dieser Aufgabe soll der Zugriff auf den Windows Kommandozeileninterpreter cmd.exe durch die Ausnutzung dieser Schwachstelle demonstriert werden. Damit der Angriff durch ein IDS erkannt wird, benötigt dieses eine Unicode-Tabelle, mit deren Hilfe es in der Lage ist, ungültige Unicode- Zeichen zu erkennen und zu normalisieren. 6