Intrusion Detection Fach: Anwendung Rechnernetze

Fachbereich IKS Intrusion Detection Fach: Anwendung Rechnernetze Sven Diesendorf INF02

Inhaltverzeichnis 1 Einführung 1 1.1 Intrusion 1 1.2 Intrusion Detection 1 1.3 Firewall und Intrusion Detection System 2 1.3.1 Firewall 2 1.3.2 Intrusion Detection System 2 2 Technik 4 2.1 Aufbau und Funktionsweise von Intrusion Detection System 4 2.1.1 Network Engine 4 2.1.2 Agent 5 2.1.3 Management 5 2.1.4 Auswertekonzepte 5 2.2 Host Intrusion Detection System 7 2.2.1 HIDS 7 2.2.2 Erkennbare Angriffe 7 2.2.3 Technologien 7 2.3 Network Intrusion Detection System 9 2.3.1 NIDS 9 2.3.2 Erkennbare Angriffe 9 2.3.3 Technologien 10 2.4 Honeypot 12 2.4.1 Honeypot 12 2.4.2 Tiny Honeypot 12 2.4.3 Honeypot-Varianten 12 2.4.4 Vorteile und Nachteile eines Honeypots 13 2.4.5 Honeypot und das Gesetzt 13 2.5 Kosten 15 3 Praxis 16 3.1 Einfaches Host Intrusion Detection System 16 3.2 Einfaches Network Intrusion Detection System 21 4 Zusammenfassung 25 5 Literaturverzeichnis 26 i

1 Einführung 1.1 Intrusion Mit Intrusion Detection beschäftigt sich die Intrusion Detection Sub Group (IDGS) des National Security Telecommunications Advisory Council (NSTAC). Am Anfang stellt sich die Frage was ist eine Intrusion, wie definiert man diese. Man könnte Intrusion wie folgt erklären: Eine Intrusion ist ein unerlaubter Zugriff auf oder Aktivität in einem Informationssystem [SPENN03, S. 24]. Weiten man diese Definition aus, kann man sagen, dass jede unerlaubte und unautorisierte Handlung auf einem Informationssystem als Intrusion bezeichnet werden kann. Als Handlung zählen Hackerangriffe, Missbräuche durch die Anwender oder auch ein anomales Verhalten des Systems. Um die Fälle zu Unterscheiden, wählt man die Begriffe Einbruch, Missbrauch und Anomalie. Einbruch stellt dabei die Angriffe/Einbrüche von außen dar, Missbrauch stellt die Angriffe/Einrüche von inner dar und Anomalie bezeichnet einen außergewöhnlichen Zustand des Systems, was Hinweise auf einen Angriff darstellt. Wann erfolgt eigentlich ein Angriff auf das Netzwerk? Es beginnt alles eigentlich mit einem Portscan. Dabei kann man hier schlecht sagen, ob es sich um einen Angriff handelt oder nicht, da das heutige Internet mit Portscans durch automatische Werkzeuge übersäht ist. Es kann sich aber schon als erste Anzeichen für einen Angriff handeln, da der Angreifer zuerst Informationen über das System sammeln will. Deswegen sollte man zusätzliche Fragen stellen: Von wem wird der Portscan durchgeführt? Warum wird der Portscan durchgeführt? Sind diese Informationen bekannt, kann man dann dieses Ereignis in Einbruch oder Missbrauch unterscheiden. 1.2 Intrusion Detection Eine Intrusion Detection hat drei Kategorien: Angriffs-/Einbruchserkennung Intrusion Detection Missbrauchserkennung Missuse Detection Anomalieerkennung - Anomaly Detection Intrusion Detection kann man als eine Intrusion, die versucht wurde, gerade erfolgt oder in der Vergangenheit erfolgte, erklären. Angriffs-/Einbruchserkennung Diese Kategorie versucht einen Angriff von außen zu erkennen. Es könnte zum Beispiel ein Einbruch auf einen Webserver sein. Missbrauchserkennung Diese Kategorie versucht einen Angriff von innen durch die Insider zu erkennen. Es kann sich hier zum Beispiel um einen Benutzer handeln, der auf bestimmte gesperrte Dienste versucht zuzugreifen oder bestimmte Dienste auf seinem System installiert. Anomalie-Erkennung Diese Kategorie versucht Zustände auf einem System zu erkennen die normalerweise ungewöhnlich sind. Hierbei kann es sich zum Beispiel um Benutzer handeln, die über zehn Versuche für ihre Anmeldung benötigen oder plötzlicher Versand der Netzwerkpakete über einen nie genutzten Protokoll. 1

1.3 Firewall und Intrusion Detection System 1.3.1 Firewall Eine Firewall stellt ein trennendes Glied zwischen zwei Netzen dar. Sie verhindert den ungehinderten Austausch zwischen den Rechnern in beide Netze. Und erlaubt nur bestimmte Informationen auszutauschen. Dabei wird darauf geachtet, dass es keine zweite Verbindung besteht, die die Firewall umgeht. Wenn diese Verbindung besteht, kann dann der Austausch auch ohne die überwachende Schutzfunktion der Firewall erfolgen. Die verschiedenen Funktionen einer Firewall liegen in den Schichten 2 bis 7. Untenstehende Abbildung veranschaulicht die Einbettung von Firewalls ins OSI-Referenzmodell. Abb. 1.1: Firewall im OSI-Referenzmodell Eine Firewall ist in der Lage die Kommunikation einzuschränken und bestimmte Inhalte nur in eine Richtung erlauben. Das geschieht jedoch nur im Rahmen der Richtlinien der Firewall. Wird zum Beispiel der JavaScript-Code erlaubt, kann hier nicht unterschieden werden ob es sich um gutartigen oder bösartigen Code handelt. Ein weiteres Problem sind die Sicherheitslücken, hier werden die Angriffe nicht erkannt und sogar zugelassen, da es nicht unterschieden werden kann ob es sich um einen normalen Zugriff oder einen Angriff handelt. Eine Firewall kann den Verkehr nur analysieren und einschränken. Probiert der Angestellte zum Beispiel neue Hacking-Werkzeuge aus der Computerbild, so kann die Firewall diese nicht erkennen. Versucht dieser Angestellter Angriffe nach außen zu richten, wird die Firewall diese auch nicht erkennen. Da eine Firewall, die Verbindung nach bestimmten Regeln nach außen zulässt und nach innen blockiert. Um die Defizite einer Firewall auszugleichen benötigt man Intrusion Detection Systeme. Da eine Firewall allein nicht ausreichenden Schutz bieten kann. Hier leistet ein Intrusion Detection System eine unterstützende Funktion. 1.3.2 Intrusion Detection System Kategorien Man teilt die Intrusion Detection Systeme (IDS) in zwei Kategorien auf: - Host Intrusion Detection System (HIDS) - Network Intrusion Detection System (NIDS) 2

Ziele Man stellt bestimmte Anforderungen an das IDS. Das IDS muss Angriffe und Einbrüche erkennen und die Systeme bei der Verteidigung unterstützen. Dabei sind die Allgemeinen Ziele des IDS: - bereitgestellte Dienste müssen verfügbar sein - bereitgestellte Daten müssen verfügbar und nachvollziehbar sein - bei einem Angriff muss die Unterstützung bei der Reaktion vorhanden sein - Fehlertoleranz - Geringer Administrationsaufwand und selbstständige Lauffähigkeit - Erzeugung minimalen Overheads - Leichte Installation in das vorhandene System - Intelligenz, die das Umgehen verhindert Funktionalitäten Damit diese Ziele erreicht werden, werden folgende Funktionalitäten vorausgesetzt: - Nachvollziehbarkeit der Daten, die das IDS nutzt. Das IDS muss die Herkunft der Daten überprüfen. - Die Analyse der Daten muss nachvollziehbar sein, eine erneute Analyse der Rohdaten muss dasselbe Ergebnis bringen. - Die Analyse der Daten muss sämtliche mögliche Angriffe und Einbrüche erkennen. - Erzeugte Ergebnisse müssen durch das IDS einen Rückschluss auf die Rohdaten erlauben. - Die Alarmierungsschwelle muss in dem IDS konfigurierbar sein. Es sollte möglich sein, Prioritäten zu vergeben und den Alarm nach den Prioritäten auszulösen - Die Speicherung der Daten und des Berichts muss in einem anerkannten Format erfolgen. Das IDS muss auch die Rohdaten ein einem derartigem Format einlesen können. - Die Vertraulichkeit der Daten muss durch Funktionen des IDS garantiert sein. Zum Beispiel die automatische Anonymisierung und automatische Löschung von personenbezogenen Daten nach der Nutzung. - Ein IDS sollte eine automatische Reaktion auf einen Angriff unterstützen. Der Angreifer darf diese Unterstützung nicht für einen Denial of Service ausnutzen. Die Anforderungen sollten sowohl für ein HIDS als auch für ein NIDS gelten. Aufwand und Kosten Die Kosten für den Aufwand und für die Installation und Pflege eines IDS-Systems sind nur schwer abzuschätzen. 3

2 Technik 2.1 Aufbau und Funktionsweise eines Intrusion Detection Systems Intrusion Detection Systeme bestehen aus meistens drei Hauptkomponenten: - Network Engine - Agent - Management 2.1.1 Network Engine Die Network Engine analysiert die Datenpakete in Echtzeit, sendet Alarmmeldungen und trifft automatisch Gegenmaßnahmen. Sie besteht aus 5 Einheiten: Response Modul Angriffsdetektor Benutzer Filter Kernel-Software Packet Capture Hardware Netzwerkadapter Netzwerk Abb. 2.1: Network Engine Netzwerkadapter Der Netzwerkadapter läuft im Promiscuous Mode, das heißt der gesamte Verkehr, an dem der Netzwerkadapter angeschlossen ist, wird aufgenommen und an die Network Engine weitergeleitet. Zusätzlich besteht die Möglichkeit, die Network Engine auch im Transparent Mode(keine TCP/IP-Protokoll Stacks) arbeiten zu lassen Packet Capture Im Packet Capture Modul werden die Datenpakete vom Netzwerk für den Transport zum Auswertemodul in der Network Engine organisiert. Filter Auf der Netzwerk- und Transportschicht Layer 3 und 4 im OSI-Modell können Protokolle wie TCP, UDP oder ICMP gefiltert werden, wie zum Beispiel Quell-IP-Adressen/Ports und Ziel-IP-Adressen/Ports. Um die Last zu verteilen, ist es empfehlenswert zwei Network Engines zu betreiben. 4

Angriffsdetektor Der Angriffsdetektor untersucht den Datenstrom nach bekannten Angriffsmustern. Dabei werden die Datenpakete mit den Angriffsmustern aus der Signaturdatenbank verglichen. Response Modul Wenn ein Angriff erkannt wird, können dann verschiedene Gegenmaßnahmen eingeleitet werden: - Überwachung aktiver Sessions - Speicherung von Sessions - Führung von Log-Dateien - Blockieren von Verbindungen Für die Alarmierung stehen verschiedene verschiedene Dienste zur Verfügung: - Alarmmeldung an die Management Konsole - E-Mail - SMS, Pager oder benutzerdefinierte Programme 2.1.2 Agent Der Agent hat die Aufgabe alle Systemaktivitäten eines Rechnersystems zu überwachen. Dabei werden alle vom Betriebssystem oder einzelnen Anwendungen erzeuge Dateien nach möglichen Angriffen und Anomalien untersucht. Es können zusätzlich systemrelevante überwacht werden, wie zum Beispiel Log-Dateien, CPU-Auslastung usw., bei Entdeckung kann auch hier ein Alarm gesendet werden. Es können Benutzer-logons und logoffs überwacht werden um einen nicht genehmigten Zugang zu verhindern. Es können auch die Aktivitäten des Administrators überwacht werden, sowie wichtige Dateien. Wodurch die Manipulation dieser verhindert werden kann. Anomalieerkennung hat die Aufgabe, unmittelbare Folgen eines Angriffs zu erkennen und das System vor unbekannten Angriffen zu schützen. 2.1.3 Management Das IDS-Management administriert und konfiguriert die Network Engine und den Agent, sowie die Aktualisierung des Systems(Updates) läuft über das IDS-Management. Die Kommunikation erfolgt verschlüsselt entweder symmetrisch mit 128 Bit oder asymmetrisch mit 1024 Bit. Das IDS-Management fängt alle Events, die von dem Agent oder der Network Engine gesendet wurden. Über das IDS-Management werden Berichte und Statistiken erstellt, welche dann zum anpassen der Sicherheitsregeln genutzt werden können. 2.1.4 Auswertekonzepte Auch hier gibt es drei Konzepte zum Auswerten sicherheitsrelevanten Meldungen. Am Ende werden die Konzepte miteinander verglichen. Bekannte Sicherheitsrelevante Aktionen erkennen In diesem Auswertungskonzept werden alle bekannten und die hypothetisch mögliche Ereignisse in einer Wissensbasis festgehalten. Anhand von Protokolldaten oder Log-Dateien, werden diese dann von einem Expertensystem ausgewertet und entsprechend behandelt. 5

Beispiele: - fehlerhafte Authentikation eines Benutzers - auf einem SMTP-Proxy wird der befehl debug verwendet - auf einem Telnet-Proxy wird ein Hopping-Angriff versucht - auf einem FTP-Proxy wird der Befehl del verwendet, obwohl dieser verboten wurde - ein nicht erlaubter Port wird verwendet - eine nicht erlaubte Verbindung zu einem geschützten Rechner Sicherheitsstrategie bei der Bewertung von Ereignissen Hier kann es zu einem Problem werden, wenn es entschieden werden soll, was als eine Sicherheitsverletzung gewertet werden darf und was nur ein Zufall war. Deswegen werden bestimmte Strategien angelegt, die solche Fehlalarmierungen verringern sollten. Beispiel: Bei einer Anmeldung auf ein FTP können Fehler passieren, deswegen könnte man folgende Strategie festlegen: - einmaliger Fehler des Benutzers wird als Versehen gewertet - passiert dieser Fehler zweimal, wird das als Zufall gewertet - und sollte es dann dreimal innerhalb eines kurzen Zeitraumes passieren, wird ein Alarm ausgelöst, da das als ein Angriff gewertet werden kann Anomalienerkennung In diesem Auswertungskonzept sollen die Abweichungen vom normalen Betrieb erkannt werden. Das Konzept basiert auf der Annahme, dass Sicherheitsverletzungen anhand gravierender Verhaltensabweichungen erkannt werden können. Die Verhaltensabweichungen werden auf einzelne Benutzer, Programme, bestimmte Dienste oder Kommunikationsabläufe bezogen. Die Grundlage eines Anomaliekonzepts bildet jedoch die Beschreibung eines normalen regulären Verhaltens. Dieses Verhalten wird in Referenzprofilen abgespeichert, die als charakteristische Verhaltensmuster dienen. Beispiele für Anomalien: - Hohe Fehlerrate bei der Identifikation und Authentikation - Art und Umfang der Inanspruchnahme von Diensten die FTP, Telnet - Überdurchschnittlich lange Arbeitszeit der Benutzer - Außergewöhnliche Zeiten und Wochentage bei der Kommunikation mit dem System - Hohes und häufiges Auftreten von sicherheitsrelevanten Ereignissen - Verstoße gegen die Regeln - Angriffsversuche - Fehlverhalten von Hard- und Software Vergleich der Auswertekonzepte Bei den ersten zwei Auswertekonzepten, bekommt man klare Aussagen, welche Angriffe stattgefunden haben und wie sie abgewehrt wurden. Bei den dritten Auswertekonzept können durch Auswertung der Protokolldateien neue Sicherheitsverletzungen gefunden werden, die normalerweise nicht als Angriff erkannt wären. Der Nachteil ist, dass hier auch die Fehlalarme generiert werden. Deswegen ist es sicherlich am besten geeignet, alle drei Konzepte einzusetzen. 6

2.2 Host Intrusion Detection System 2.2.1 HIDS Ein Host Intrusion Detection System (HIDS) ist ein System, welches die Daten auf dem lokalen Rechner analysiert. Diese Daten werden vom Betriebssystem oder von den Anwendungen erzeugt. Das können Protokolle sein, die vom Betriebssystem oder von den Anwendungen bereitgestellt wurden oder von der IDS zusätzlich erzeugte Ereignisprotokolle. HIDS in besonderer Form stellen die Systeme dar, die auch die Integrität des Systems prüfen. Die Systeme werden auch als System Integrity Verifier (SIV) oder File Integrity Assessment (FIA) bezeichnet. HIDS sind in der Lage, einen Missbrauch des Systems durch Insider zu erkennen. Hier würde eine Firewall überfordert sein. Durch die Überwachung des Systems durch HIDS werden solche Fälle erkannt. Außerdem können HIDS auch Angriffe von außen erkennen. Der Nachteil von HIDS ist die recht umständliche und komplizierte Überwachung einer großen Anzahl von Rechnern. Da es sich um ein Host-basierendes System, muss das HIDS auf jedem Rechner installiert werden. Dadurch wird die Verwaltung und Administration recht aufwändig, man sich aber Abhilfe bei der Installation mit Agenten und Management-Zentrale schaffen. 2.2.2 Erkennbare Angriffe Hier sind ein paar klassische Angriffe: - bestimmte Personen, wie Wartungstechniker oder externe Berater, erhalten für die Dauer des Aufenthalts einen Zugang zum Rechnersystem, den sie benutzen müssen. Dieser Zugang ist dann mit höheren Rechten ausgestattet. Dadurch können sie den gesamten Rechner administrieren. Dabei kann die Person dann entweder eine Hintertür öffnen oder es wird vergessen den Zugang nach Beendigung der Arbeit zu deaktivieren. - Alte Konten von ehemaligen Mitarbeiter oder Administratoren werden häufig nicht gelöscht, so dass diese Personen nach Wochen oder Monaten sich immer noch anmelden können. Besonders brisant wird es, wenn die Person bei der Konkurrenz ist. - Bei einem Wechsel zu einem Konkurrenzunternehmen wird oft versucht von den Mitarbeitern oder Administratoren eine Hintertür für einen späteren Zugriff eingerichtet um an die Unternehmensgeheimnisse ranzukommen. - Angestellte modifizieren kritische Daten in Berichten oder Personalakten, so dass die Integrität sämtlicher Daten in Frage gestellt wird. - Angestellte versuchen auch Zugriff auf Personalakten oder andere vertrauliche Informationen zu erhalten um diese dann gegen sie zu verwenden. - Wenn eine unbekannte Person Administrationsbefehle verwendet, stellt das einen Angriff dar. - Installation von Trojanischen Pferden sollte auch von HIDS erkannt werden. Diese Angriffe sollte ein HIDS erkennen und die dafür zuständigen Personen alarmieren oder sogar selber eingreifen. 2.2.3 Technologien Durch die Vielfältigkeit der HIDS werden verschiedene Ziele verfolgt. So dass unterschiedliche Technologien eingesetzt werden. Kommerzielle HIDS setzen meistens mehrere Technologien ein, Open Source-Projekte konzentrieren sich meistens auf eine Technologie. 7

Hier werden die wichtigsten Technologien aufgelistet, die ein HIDS unterstützen soll: Protokollanalyse Protokollanalyse ist eine einfache und die ursprüngliche Form der Intrusion Detection. Hier werden die Protokolle vom Betriebssystem und den Anwendungen ausgewertet. Viele HIDS erlauben eine Positiv-Liste, dabei ist jedoch die wahrscheinlich Meldungen zu übersehen groß. Deswegen ist es besser eine Negativ-Liste zu definieren. Dabei werden alle Meldungen, die mit der Negativ-Liste übereinstimmen übersehen. Die unbekannten Meldungen führen zu einem Alarm. Intelligente HIDS können diese Meldungen weiterverarbeiten. Dadurch wird dem Administrator das Lesen von hunderten oder tausenden Protokollzeilen erspart und er erhält die Meldungen übersichtlich aufgelistet. Integritätstest Die meisten HIDS versuchen durch die konstante Integrität des Systems und seiner Daten Angriffe zu erkennen. Dabei wird nach der Installation ein Schnappschuss des frisch installierten Systems erstellt und das HIDS vergleich dann das System mit diesem Schnappschuss. Dabei werden häufig, um Speicherplatz zu sparen, nur die Eigenschaften und die Checksumme verglichen. Dieses Verfahren nennt man SIV oder FIA. Echtzeitanalyse HIDS können auch eine Echtzeitanalyse sämtlicher System- und Dateizugriffe überwachen. Das ist die aufwändigste Variante von HIDS, da das HIDS hier auf der Betriebssystemebene arbeitet und auf diese zugreift. Es besteht dann die Möglichkeit Zugriff auf bestimmte Privilegien und Dateien zu überwachen und zu verweigern. Dabei kann vom HIDS erkannt werden, ob die IP-Adresse des Rechners oder die Firewall modifiziert wurde. Diese Eingriffe werden in Echtzeit gemeldet und können auch durch das HIDS unterbunden werden. Der größte Nachteil von allen HIDS, sind die Falschmeldungen. Es gibt zwei Möglichkeiten der Falschmeldungen: - falsch-positiv: Bei einer Alarmierung handelt es sich um einen Fehlalarm, wenn es keine wirkliche Meldung darstellt. Häufen sich diese Fehlalarme, werden sie nicht wahrgenommen und es könnten dann die richtigen Alarme nicht wahrgenommen werden. - falsch-negativ: Es fehlt eine Alarmierung durch das IDS. Die fehlenden Meldungen stellen dabei eine größere Gefahr dar, da hier das IDS anscheinend nicht richtig konfiguriert wurde. Und ein Administrator verlässt in einem gewissen Maß auf das IDS. Falschmeldungen können durch sorgfältige Konfiguration und ein aufmerksames Studium des IDS reduziert werden. 8

2.3 Network Intrusion Detection System 2.3.1 NIDS Ein Network Intrusion Detection System (NIDS) bezieht seine Daten aus dem Netzwerk. Dabei werden die Netzwerkpakete gescannt, die das NIDS von einem Netzwerk-Sniffer erhält. Einige Systeme untersuchen jedoch nur die Protokolle von Routern und Switches. Diese Systeme sind deutlich im Nachteil zu einem NIDS mit eigenem Netzwerk-Sniffer. NIDS sind bestens dafür geeignet um Angriffe und Einbrüche von außen zu erkennen. Sie können aber auch Insider erkennen, die die Rechner intern angreifen. Häufig kann ein NIDS erkennen, dass ein Angreifer von außen sich bereits im Netzwerk befinden und dort versucht andere Rechner anzugreifen. Der große Vorteil zu HIDS ist, dass die Installation und die Administration eines NIDS deutlich weniger Aufwand aufweist. Oft reicht es aus einen NIDS-Sensor pro Netzwerk zu installieren und diese dann zentral zu überwachen und verwalten. 2.3.2 Erkennbare Angriffe Denial of Service mit Bufferoverflows Hier werden Pakete mit sehr charakteristischen Merkmalen verwendet. Ungültige Pakete Ungültige Pakete verwenden von Tear Drop, Bonk oder Ping of Death verwendet. Diese Pakete dürfen laut der Protokollspezifikation nicht existieren und sind somit künstlich erzeugt worden. Angriffe auf der Applikationsschicht Viele Applikationen sind lediglich in der Lage, bei einer korrekten Anwendung des Applikationsprotokolls vorhersagbar zu reagieren. Angreifer nutzen das aus und verändern das Applikationsprotokoll. Danach können sie auf die erwünschten Funktionen zugreifen. Zugriff auf vertrauliche Daten Viele Angriffe haben das Ziel, vertrauliche Daten auszuspionieren, um dann auf weitere Daten zuzugreifen. Ein NIDS kann Pakete, nach bestimmten Mustern, wie z.b. unter UNIX /etc/passwd/, untersuchen. Informationsdiebstahl Ein weiteres Ziel der Angriffe ist es, Informationen auszuspionieren. Werden diese unverschlüsselt übertragen, kann ein NIDS diese Informationen anhand von Schlüsselwörtern erkennen. Angriffe gegen die Firewall oder das NIDS Aber auch die Firewall und das NIDS bleiben nicht unverschont. Die Angriffe können jedoch von fortschrittlichen NIDS erkannt werden. Vorraussetzung dafür, ist die Erkennung von Angriffen, die mit fragmentierten Paketen stattfinden. Außerdem muss die NIDS Angriffe mit modifizierten TCP-Paketen erkennen, die die Zustandsüberwachung abfragen. Distributed Denial of Service (ddos) Ein NIDS bietet keinen Schutz vor einem ddos, ist jedoch aber häufig in der Lage diesen zu erkennen oder den Verdacht zu bestätigen. 9

Spoofing-Angriffe Häufig fälschen die Angreifer die Herkunft der MAC-, IP- oder DNS-Ebene. Ein NIDS sollte diese Angriffe erkennen. Portscans Ein Portscan muss immer von einem NIDS erkannt werden, vor allem wenn es sich um die langsamen und intelligenten Portscans handelt, die nur einen oder mehrere Ports pro Stunde oder pro Tag prüfen. Alle aufgeführten Angriffe sollten von einer NIDS erkannt werden und die dafür zuständige Person alarmiert werden oder einen Gegenmaßnahme eingeleitet werden. Die Konfiguration eines NIDS ist sehr aufwändig, genauso wie die Pflege einzelner NIDS. Da hier ständig neue Angriffe eingepflegt werden müssen, damit die NIDS diese erkennt. Die automatische Reaktion kann sich jedoch als problematisch erweisen, da der Angreifer diese ausnutzen kann, indem er einen gezielten Angriff auf den DNS-Server oder E-Mail- Server vortäuscht und somit einen DoS verursacht. 2.3.3 Technologien Genauso wie die HIDS verfügen auch die NIDS über viele Technologien, hier werden die wichtigsten aufgelistet: Signatur-Erkennung Jedes NIDS besitzt eine große Datenbank mit bekannten Angriffen. Das NIDS vergleicht nun alle Pakete mit der Datenbank und löst bei einem positiven Treffer einen Alarm aus. Zustandsorientierte Signatur-Erkennung Die Zustandsorientierte Signatur-Erkennung betrachtet nur die Pakete, die in einer aufgebaut Verbindung auch übertragen werden. Alle anderen Pakete werden vom NIDS verworfen. Das NIDS pflegt dabei eine Tabelle mit bekannten Verbindungen. Protokolldekodierung Ein NIDS ist in der Lage, bevor ein Signaturvergleich kommt, den Inhalt des Datenstroms zu normalisieren. Dadurch werden Angriffe auf Websites mit unterschiedlichen Kodierungen, wie Unicode, ASCII und Base 64 erkannt. Statistische Anomalie-Analyse Viele Portscans und Angriffe können nicht mit einer Signatur erkannt werden. Ein Portscan hat meist keine besondere Signatur, sondern ist nur durch die Häufigkeit zu erkennen. Und unbekannte Angriffe können nicht erkannt werden, da sie nicht in der Datenbank existieren. Deswegen kann eine statistische Analyse des Netzwerks solche Angriffe erkennen, wenn es außergewöhnliche Pakete sind. Heuristische Analysen Ein einfacher 1:1 Vergleich ist meist langsam, deswegen können hier heuristische Methoden eine Abhilfe schaffen. Diese beschleunigen die Analyse ohne dass die Genauigkeit und die Trefferanalyse darunter leiden. Ein solcher Algorithmus ist z.b. Bayer-Moore. 10

Reaktion Die Reaktion eines NIDS auf einen Angriff kann von einer einfachen Protokollierung reichen, bis hin zu einer Sperrung aller Verbindungen des angreifenden Rechners. Dazwischen stehen mehrere Möglichkeiten zur Alarmierung der zuständigen Person, wie Pager, SMS, E-Mail. Durch den Einsatz verschiedener Technologien, ergänzen sich diese in ihrer Funktionalität. Moderne kommerzielle und freie NIDS unterstützen meist alle oder viele von diesen Technologien. Die Unterschiede liegen in der Implementierung und der Umsetzung. Auch ein NIDS hat die Probleme mit den falsch-positiven und falsch-negativen Meldungen. Hier kann nur eine sorgfältige Administration und Pflege des Systems Abhilfe schaffen. 11

2.4 Honeypot 2.4.1 Honeypot Ein Honeypot stellt ein Sicherheitsinstrument dar, dessen Sinn ist es die Untersuchung der Angriffe und Einbrüche durch Cracker. Ein Honeypot stellt keine Verteidigung des Systems dar, sondern es wird gehofft, dass in diesen Rechner eingebrochen wird. Ein Honeypot stellt eine Ablenkung für den Angreifer dar, damit dieser nicht die wichtigen und kritischen Rechner des Netzwerks angreift. Mit einem Honeypot ist es auch möglich die Angriffe durch Insider abzulenken. Das heißt, wenn der Angreifer sich bereits im Netzwerk befindet, kann die Firewall nicht mehr weiter helfen. Als Angreifer können folgende Personen sein: es ist ein unzufriedener Mitarbeiter es könnte ein Kundendienstmitarbeiter sein, der z.b. seinen Laptop an die Netzwerkdose angeschlossen hat oder der Angreifer hat mithilfe eines Mitarbeiters in bewusster oder unbewusster Form einen Trojaner im Netzwerk installiert Somit kann der Honeypot den Angreifer ablenken und Zeit für die Erkennung der Quelle des Angriffs lassen. Während der Angreifer auf dem Honeypot wütet. Eine sehr große Hilfe leistet der Honeypot bei der Reaktion auf ein Einbruch dar. Ein Honeypot-System stellt eine sehr nützliche Hilfe bei der Analyse und Auswertung der Ergebnisse dar und man kann wertvolle Erkenntnisse gewinnen, die dann später für die Sicherung des Systems dienen werden. So können möglicherweise Hintertüren und modifizierte Dateien gefunden werden, die ohne einen Honeypot vielleicht nicht gefunden wären. Das erhöht die Sicherheit des Netzwerkes. Somit sind die Honeypots eine lohnende Investition. 2.4.2 Tiny Honeypot Ein Tiny-Honeypot stellt eine entschärfte Variante eine Honeypots dar. Hier werden Simulationen von Diensten auf jedem Port erlaubt. Dazu werden kleine Perl-Programme verwendet, die die Anfrage entgegennehmen und dann bestimmten Dienst auf dem Port simulieren. Wichtig ist nun, wenn z.b. eine Verbindung auf den Port 1433 zugreift, muss diese an den Tiny Honeypot weiter geleitet werden. Die Weiterleitung ermöglicht die Netfilter-Architektur. Diese erlaubt die Änderung des Zielport eines Paketes auf den nicht verwendeten Port 6635. Vorraussetzung dafür ist dass der Tiny Honeypot die Ports der regulären Dienste des Rechners kennen um diese nicht fehl zu leiten. 2.4.3 Honeypot-Varianten Es gibt zwei Varianten von Honeypots die sich in ihren Aufgaben unterscheiden. Zum einem Produktions- und zum andrem Forschungssysteme. Produktionssystem: Die Produktions-Honeypots dienen der Sicherheit des Unternehmens, ihre Ziele und Aufgaben sind in erster Linie Erkennung und Verfolgung der Angriffe und Einbrüche. Forschungssystem: Forschungs-Honeypots dienen zur Erkenntnis über das Verhalten von Crackern und neue Angriffe. 12

2.4.4 Vorteile und Nachteile eines Honeypots Vorteile: - Datensammlung Die Daten, die auf dem System gesammelt werden, sind höchst interessant, da jeder Zugriff auf den Honeypott einen potenziellen Angriff darstellt. - Ressourcen Durch ein größeres Verkehrsaufkommen können die Sicherheitssysteme nicht mithalten und dadurch gehen unter Umständen kritische Pakete verloren, die bei der späteren Auswertung vielleicht relevant sind. Ein Honeypot entlastet sozusagen das Verkehrsaufkommen. Nachteile: - Singularität Ist der Honeypot nur eine Maschine in den Weiten des Internets, kann ein Angreifer sie unter umständen nicht finden und somit verfehlt der Honeypot seine Wirkung. - Erhöhtes Risiko Ist der Angriff auf den Honeypot erfolgreich, kann es passieren, dass der Angreifer dann weitere Angriffe gegen das Netzwerk startet. 2.4.5 Honeypot und das Gesetz Der Einsatz von Honeypots ist in Deutschland nicht unproblematisch, da in Deutschland die Beihilfe zu einer Straftat auch unter Strafe steht. Folgende Straftaten stellt ein Honeypot dar bzw. es werden folgende Gesetze aktiv: StGB 26 Anstiftung StGB 27 Beihilfe Einfache Honeypots, die ein Betriebssystem simulieren, können nicht unbedingt als Beihilfe zu einer Straftat dienen. Der Versuch ist aber strafbar. Die Installation eines Betriebssystems ist schon problematischer, wenn hier keine Sicherheitspatches eingespielt werden und dieses System dann vorsätzlich überwacht wird. Kann dass schon als Beihilfe zu einer Straftat angesehen werden. 13

2.5 Kosten Es gibt eine Vielzahl von kommerziellen und freien IDS. Die kommerziellen IDS werden jährlich im Internet durch die unabhängige The NSS Group verglichen. Hier werden ein paar IDS erwähnt um zu zeigen, was sie Kosten und was sie können. NetRanger/Cisco Secure IDS Dieses NIDS wird als Stand-Alone Appliance-Lösung von Cisco angeboten. Das IDS wird in verschiedenen Stufen angeboten, welche sich in den Leistungsfähigkeiten unterscheiden. - Ausbaustufen: - IDS-4210: 45 Mbit/s ca. 7000 Euro - IDS-4235: 200 Mbit/s ca. 11000 Euro - IDS-4235: 500 Mbit/s ca. 29000 Euro - Signaturanalyse: - Verdefinierte Signaturen: >300 - Erkennung von benutzerdefinierten Zeichenketten möglich - Updates alle 60 Tage - Defragmentierung, Zustandsüberwachung, keine Protokolldekodierung - Reaktion: - TCP Reset möglich - Grafischer Client: - MS Windows NT - Solaris NFR HID Hier handelt es sich um ein Verteiltes HIDS. Zusätzlich bietet es Intrusion Management System an. - Preis: - StarterPack (Konsole und 10 Sensoren) ca. 13000 US-Dollar - Weitere Sensoren ca. 800 US-Dollar - Überwachung - Benutzerverhalten - Netzwerkverkehr des Rechners - Protokolldateien - Integritätstest mit tripwire - Reaktion - Abmeldung des Benutzers - Deaktivierung des Benutzerkontos - Aktivierung von Tripwire - Grafischer Client - MS Windows NT und 2000 14

Snort Snort ist ein freies Open Source NIDS. Durch die Entwicklung von mehreren Gruppen entstanden auch grafische Clients für das System. Und es wurde in der Version 1.8.6 von ISCAlabs zertifiziert. - Preis: - Open Source, keine Lizenzkosten - Als Appliance: Sourcefire NS 3000 für Gigabit-Netzwerke: 9,995 US-Dollar - Beitriebssysteme: - UNIX - MS Windows NT - Signaturanalyse: - Vordefinierte Signaturen: >1900 - Tägliche Updates verfügbar - Einfache Definition neuer Signaturen durch Benutzer - Defragmentierung, Protokolldekodierung, Zustandsüberwachung - Reaktion - TCP Reset, ICMP Unreachable - Konfiguration einer Firewall - Grafischer Client: - MS Windows NT/2000 - UNIX LIDS LIDS ist ein Open Source HIDS. LIDS überwacht sämtliche Zugriffe auf Ressourcen im Kernel und ist nur als Patch für Kernel 2.2 und 2.4 verfügbar. - Preis: - Open Source - Überwachung: - Benutzerverhalten - Portscans - Protokolldateien - Verhalten der einzelnen Prozesse - Kernelprozesse/Module - Reaktion: - Abmeldung des Benutzers - Verweigerung des Zugriffes - Grafischer Client: - Nein 15

3 Praxis 3.1 Einfaches Host Intrusion Detection System Die Implementierung eines einfachen Rechner-gestützten IDS soll hier erläutert werden. Dieses IDS soll die Integrität der Daten im Verzeichnis /etc überprüfen. Dazu wird man die Befehle find und diff brauchen. Man kann dieses System auch auf mehrere oder andere Verzeichnisse ausweiten und so mehr vom System überwachen. Vorgehensweise zur Erstellung eines HIDS und Integritätstest der Daten: Zunächst wird der Ist-Zustand des Systems mit Hilfe von find in einem Snapshot gespeichert. In der Datei baseline.2005-11-24 ist nun jeder Dateieintrag (find type f) des Verzeichnisses /etc mit seiner Inodenummer(-i), den Rechten, dem Besitzer, der Größe und dem Änderungsdatum(-l) abgespeichert. Dabei ruft der Befehl find für jede gefundene Datei den Befehl ls ail auf und übergibt ihm den Namen der gefundenen Datei {}. Nun kann man mit less den Inhalt von baseline.2005-11-24 betrachten: 16

Jetzt wird zu den Testzwecken ein neuer Benutzer im System angelegt. Das Anlegen eines neuen Benutzer modifiziert die Systemdaten und man kann somit eine Veränderung des Systems feststellen. Geht man davon aus, dass das Anlegen eines neuen Benutzers nicht vorgesehen war, kann man das als ein Angriff bewerten. Um zu wissen was nun verändert wurde, kann man in regelmäßigen Abständen mithilfe von diff das System vergleichen und die Änderungen in eine Textdatei abspeichern. Nachdem ich die Systemintegrität geprüft wurde, kann man im Verzeichnis /root eine Datei Namens and.txt finden. 17

Nachdem betrachten der Datei and.txt mit less kann man alle Änderungen seit dem erstellen des Snapshots finden. 18