Intrusion Detection Systeme

Transkript

1 Intrusion Detection Systeme Janzer, Kaindl, Schönleitner June 23, 2017 Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

2 Übersicht 1 Definition IDS / IPS 2 Angriffsarten 3 Honeypot 4 Komponenten eines IDS 5 Erkennungsarten 6 Missbrauchserkennung / Anomalieerkennung 7 Vergleich Firewalls und IDS 8 Was passiert nach der Erkennung? 9 Host, Network und Hybrid IDS 10 Intrusion Detection Message Exchange Format 11 Snort Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

3 Definition IDS Was ist IDS? Soll Computersysteme und oder Netze überwachen und Angriffe erkennen Ist ein passives System Keine Reaktion auf Angriffe Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

4 IPS Was ist IPS? Intrusion Prevention System Ist ein aktives System Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

5 Angriffsarten Rechteausweisungsattacken Dirty Cow User to Super-User Non-User to User Arten Buffer Overflow Man-in-the-Middle Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

6 Angriffsarten DoS DDoS Denial of Service (DoS) und Distributed Denial of Service (DDoS) Server mit großer Anzahl an Anfragen belasten Smurf-Attacke: Pings an Boradcastadresse Mailbombe: Viele Mails an SMTP-Server Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

7 Honeypot Soll Angreifer oder Feind vom eigentlichen Ziel ablenken Täuscht interessante Daten vor alle Angriffe werden Protokolliert und lösen Alarm aus Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

8 Verschiedene Arten von Honeypots Tarpits Täuscht großes Netzwerk vor Verbreitungsgeschwindigkeit von Würmern zu verringern Datenbank-Honeypots SQL-Injection-Attacken Angreifer denkt er wäre in der echten Datenbank Honeylinks Ansätze zum Entlarven von potenziellen Angreifern auf Web-Anwendungen Honeylinks sind nur im Quellcode zu finden Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

9 Typen von Honeypots Low-Interaction emuliert einen oder mehrere Dienste wird zur Gewinnung statischer Daten eingesetzt High-Interaction sind vollständige Server, die Dienste anbieten manuell ausgeführte Angriffe zu beobachten und protokollieren Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

10 Komponenten eines IDS Hauptkomponenten Sensoren Datenbank verschieden Anzeige-, sortier- und Regelkomponenten Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

11 Erkennungsarten Erkennungsarten und Datensammlung Audit Daten Missbrauchserkennung (engl. Misuse Detection) Anomalieerkennung Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

12 Audit Daten Was sind Auditdaten Daten aus regelmäßiger Aufzeichnung von Informationen über Zustände des Systems automatisches Protokollieren Problem: Entstehung großer Datenmengen Lösung: nur kritische bzw. signifikante Zustände aufzeichnen Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

13 Missbrauchserkennung Datensammlung bei Missbrauchserkennung Analyse-Engine Informationsauswertung und Erzeugung von Ereignissen erstellen von Signaturen mithilfe von Regeln atomare und mehrteilige Regeln bereitstellen der Signaturen in Knowledge-Base (Datenbankkomponente) Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

14 Erkennungszustände True Positive: IDS erkennt Ereignis als Attacke + Ereignis ist Attacke True Negative: IDS erkennt Ereignis als harmlos + Ereignis ist harmlos False Positive: IDS erkennt Ereignis als Attacke + Ereignis ist harmlose False Negative: IDS erkennt Ereignis als harmlos + Ereignis ist Attacke Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

15 Missbrauchserkennung Analysekomponente sucht nach Sicherheitsverletzungen eingehende Daten werden mithilfe Pattern-Matchings mit Signaturen in der Knowledge-Base verglichen Bei einer Übereinstimmung wird eine Erkennung ausgelöst Figure 1: Missbrauchserkennung Quelle: hackthis.co.uk Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

16 Missbrauchserkennung Was ist eine Signatur? Veränderung im Packetheader (falsch gesetzte Flags / Verletzung von Standards) benutzen reservierter IP-Adressen... erzeugt über Regeln Action: alert, log, pass Protocols: UDP, TCP, ICMP Figure 2: IDS Rule Quelle: Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

17 Missbrauchserkennung Vorteile: niedrige False-Positive Rate einfacher Aufbau Nachteile: Dauerhafte Updates und Wartung der Knowledge Base neuartige Angriffe werden nicht erkannt Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

18 Anomalieerkennung Arten statische Anomalieerkennung logische Anomalieerkennung Grundidee der Anomalieerkennung Entedecken von Benutzern die unter falschem Account agieren mehrere Profile für alle Benutzer, Gruppen und Ressourcen Aktualisierung dieser Profile in bestimmten Abständen Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

19 Anomalieerkennung statische Anomalieerkennung erstellen eines normalen Verhaltens(Referenz) durch statische Kenngrößen Lernphase Normalwerte werden vom System bestimmt erkennen von Abweichung des Nutzerverhaltens zum Normalverhalten Figure 3: Anomalyerkennung Quelle: Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

20 Anomalieerkennung Entstehung des Normalverhaltens bei statischer Anomalieerkennung durch Aufzeichnung von: Systemparameter CPU- und Speicherauslastung Seitenwechselrate aktive Ports schlechte Wahl von Parametern wirkt sich nachteilig auf Erkennung aus Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

21 statische Anomalieerkennung gängigsten Modelle zur Erkennung von Anomalien auslösen des Alarms nach bestimmter Schwellwertüberschreitung einer Variable auslösen des Alarms bestimmt durch Mittelwert und Standardabweichung falscher Zeitpunkt eines auftretenden Ereignisses Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

22 statische Anomalieerkennung Vorteile: erkennen neuer Angriffstechniken lernen eines Benutzerverhaltens Nachteile: ausnutzen des Lernverhaltens durch Angreifer möglich hoher Rechenaufwand Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

23 Anomalieerkennung logische Anomalieerkennung zeitliche und logische Abfolge von Ereignissen wichtig bestimmte Ereignisfolgen werden als typisch angesehen keine Lernphase Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

24 logische Anomalieerkennung erzeugen des Normalverhaltens Normalverhalten wird über Regeln definiert Nach eintreffendem Ereignis wird ein passendes nächstes Ereignis erwartet Entstehung einer Ereignisfolge E1 E2 ( E3 = 80, E4 = 15, E5 = 5 ) Nachteil: Ereignise ohne Regel als Angriff bewerten viele Fehlalarme als harmlos bewerten potentiell unentdeckte Angriffe Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

25 logische Anomalieerkennung Vorteile: passt sich neuen Angriffen automatisch an keine Ausnutzung der Lernphase mehr möglich speichern geringer Datenmengen Nachteile: hohe Fehlalarmquote Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

26 Nach der Erkennung Was passiert nach der Erkennung eine Mail an den System- bzw. Security-Administrator mit der Art des Angriffs. ein lokaler Alarm Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

27 Nach der Erkennung Response Die Reaktion kann ausschließlich vom Administrator ausgelöst werden. Rekonfiguration der Firewall oder der Router um die Angreifer IP abzublocken Herunterfahren von Diensten um Ports zu schließen. In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden. Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

28 Host IDS Muss auf jedem zu überwachendem PC installiert sein Muss das Betriebssystem unterstützen mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

29 Host IDS Beispiel Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

30 Host IDS Erkennbare Angriffe Root-Rechte für (externe) Wartungstechniker: Hintertür für späteren Zugriff, fehlende Schließung des Zugangs Modifizierung kritischer Daten (Personalakten, Berichte) oder Websites Versuch durch Mitarbeiter, Zugriff auf vertrauliche Information zu erlangen Installation von trojanischen Pferden Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

31 Host IDS - Technologien Protokollanalyse Überwachung und Analyse der Protokolle Wird auch Web-Servern verwendet Integritätstest Konstante Prüfung des Systems/der Daten auf Integrität Häufig nur Vergleich von Eigenschaften und Prüfsummen Echtzeitanalyse Aufwändigste Variante eines IDS Analysiert alle System- und Dateizugriffe in Echtzeit Greift auf Betriebssystemebene ein (z. B. als Kernel-Modul) Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

32 Host IDS Vor- und Nachteile Vorteile Sehr spezifische Aussagen über den Angriff Kann ein System umfassend überwachen Nachteile Kann durch einen DoS-Angriff ausgehebelt werden Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

33 Network IDS Warum benötigt man Network IDS? steigende Vernetzung des Internets TCP/IP- Protokolle genutzt Client hinterlässt Spuren Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

34 Network IDS Erkennung eines Eindringlings: Netzsensoren überwachen Netzverkehr Sniffer erkennen Angriffsmuster Können auch direkt am Host installiert werden (host-basiert) Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

35 Network IDS Quelle: hackthis.co.uk Figure 4: NIDS Visualisierung Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

36 Network IDS Erkennbare Angriffe DoS-Angriffe mit Bufferoverflows Ungültige Pakete, die nicht dem Protokoll entsprechen Zugriff auf vertrauliche Daten (z. B. /etc/passwd) (Scan auf verdächtige Strings) Diebstahl von Informationen, die unverschlüsselt übertragen werden Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

37 Network IDS Vor- und Nachteile Vorteile Ein Sensor kann ein ganzes Netz überwachen Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet Nachteile Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch) Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

38 Hybrid IDS Eigenschaften der Hybrid-Variante Management Hostbasierte Sensoren (HIDS) Netzbasierte Sensoren (NIDS) Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

39 Hostsensoren betrieben auf zu überwachendem System spezieller als Netztbasierte Sensoren (Applikationsspezifisch) Figure 5: Hostsensor Quelle: bildungsbibel.dek Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

40 Netzwerksensoren überwachen alle Pakete schneller als Hostsensoren Quelle: bildungsbibel.de Figure 6: Netzwerksensor Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

41 Hybrid IDS Figure 7: Vereinigung der Varianten Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

42 IDMEF Intrusion Detection Message Exchange Format Austausch von Information zwischen unabhängigen Systemen ursprünglich nur zwischen Sensor und Manager objekt-orientiertes Format RFC4765 beschreibt Format genauer: XML Unterschied alert und heartbeat Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

43 IDMEF Quelle: secef.net Figure 8: IDMEF-Schema Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

44 Vergleich IDS und Firewall Wesentliche Unterschiede: Firewall sucht Auswärts nach Bedrohungen und blockt diese dann Firewall signalisiert keine Angriffe innerhalb des Netzwerks IDS signalisiert nur Alarm siehe IPS Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

45 Snort Was ist Snort? Martin Roesch freies Network Intrusion Detection / Prevention System (Open Source) Echtzeit Datenanalyse und Packetlogging in Internet Protokoll Netzwerken Quelle: Wikipedia Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

46 Snort Wie funktioniert Snort? snort liest gesamten Netzwerk-Datenverkehr vergleich Datenpaketen mit charakteristischen Mustern von Angriffen aus Datenbank Aho-Corasick-Algorithmus einige tausend Signaturen vorhanden Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

47 Snort Aho-Corasick-Algorithmus benutzt für Pattern Matching Suche von Zeichenfolgen mithilfe einer Art Wörterbuchvergleich aufbau einer Baumstruktur Um Attacke zu identifizieren: endliche Anzahl von bekannten Mustern werden mit Eingabetext verglichen endlicher Zustandsautomat Quelle: semanticscholar.org Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

48 Snort Praktisches Beispiel Mithilfe von Snort mitschneiden des Datenverkehrs benutzen eines vordefinierten Regelfiles speichern der von Snort generierten Log-Daten in Datenbank visualisieren und auswerten der Datenbank mithilfe von BASE Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49

49 Snort Praktisches Beispiel: BASE BASE = Basic Analysis and Security Engine bietet web-front-end für die analyse von Snort Ausgaben Janzer, Kaindl, Schönleitner Kryptographie June 23, / 49