Intrusion Detection Basics



Ähnliche Dokumente
Praktikum IT-Sicherheit

Network Intrusion Detection

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Verwendung des IDS Backup Systems unter Windows 2000

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Installationshinweise für Serverbetrieb von Medio- Programmen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Grundlagen Firewall und NAT

Fragen und Antworten. Kabel Internet

Printserver und die Einrichtung von TCP/IP oder LPR Ports

Sicherheit in Netzen- Tiny-Fragment

Installation Linux agorum core Version 6.4.5

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Verbreitete Angriffe

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Datenspuren. Doris Aschenbrenner, Joachim Baumeister, Aleksander Paravac. Nerd2Nerd e.v.

ICMP Internet Control Message Protocol. Michael Ziegler

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

Terminabgleich mit Mobiltelefonen

Installation Linux agorum core Version 6.4.8

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Formular»Fragenkatalog BIM-Server«

Anleitung zur Nutzung des SharePort Utility

Installationsanleitung WibuKey Treiber

Professionelle Seminare im Bereich MS-Office

GDI - Lohn & Gehalt Umstieg auf Firebird 2.5

Benutzer und Rechte Teil 1

INSTALLATIONSANLEITUNG der Version 2.1 (Jänner 2014)

Wie richten Sie Ihr Web Paket bei Netpage24 ein

DOSNET SMURF ATTACK EVIL TWIN

mit ssh auf Router connecten

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Virtual Private Network

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

SolarWinds Engineer s Toolset

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Andy s Hybrides Netzwerk

Voraussetzungen zur Nutzung aller LANiS Funktionalitäten

ANLEITUNG NETZEWERK INSTALATION

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Übung: Netzwerkmanagement mit SNMP

Tutorial -

Anbindung des eibport an das Internet

Update / Inbetriebnahme domovea Server. Update/Inbetriebnahme domovea Server Technische Änderungen vorbehalten


LANiS Mailversender ( Version 1.2 September 2006)

Installation / Aktualisierung von Druckertreibern unter Windows 7

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Step by Step Webserver unter Windows Server von Christian Bartl

kreativgeschoss.de Webhosting Accounts verwalten

BitDefender Client Security Kurzanleitung

2. ERSTELLEN VON APPS MIT DEM ADT PLUGIN VON ECLIPSE

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

AbaWeb Treuhand. Hüsser Gmür + Partner AG 30. Oktober 2008

Vorstellung - "Personal Remote Desktop" für (fast) alle Hardwareplattformen und Betriebssysteme

Sichere Freigabe und Kommunikation

7. TCP-IP Modell als Rollenspiel

Download unter:

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Wie Sie mit Mastern arbeiten

DURCH VIDA ERZEUGTE PROTOKOLLDATEIEN 1 EINFÜHRUNG

Installieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner.

SolarWinds Engineer s Toolset

Die Bundes-Zentrale für politische Bildung stellt sich vor

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics

Lubuntu als Ersatz für Windows

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Praktikum IT-Sicherheit

Praktikum IT- Sicherheit

Flash, Network und Facebook. Steven Mohr

Seminar: Konzepte von Betriebssytem- Komponenten

Unified Communication Client Installation Guide

CONVEMA DFÜ-Einrichtung unter Windows XP

Was meinen die Leute eigentlich mit: Grexit?

Kontrollfragen: Internet

Workshop: Eigenes Image ohne VMware-Programme erstellen

Einkaufen im Internet. Lektion 5 in Themen neu 3, nach Übung 10. Benutzen Sie die Homepage von:

INHALT. 2. Zentrale Verwaltung von NT-, und 2003-Domänen. 3. Schnelle und sichere Fernsteuerung von Servern und Arbeitsstationen

Übung - Konfigurieren einer Windows-XP-Firewall

Verschlüsselung von Daten mit TrueCrypt

Installation und Inbetriebnahme von SolidWorks

Installation EPLAN Electric P8 Version Bit Stand: 07/2014

Wine - Windows unter Linux

Installationsanleitung

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Rillsoft Project - Installation der Software

Benutzung der LS-Miniscanner

Netzwerkversion PVG.view

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Backup der Progress Datenbank

Transkript:

Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort

Ziele von Angriffen (Auswahl) Sport: Der Angreifer sucht eine Herausforderung. Lästig aber oft harmlos. Vandalismus: Der Angreifer will Zerstörung anrichten. Sonderform von Sport 8-( Diebstahl von Ressourcen (z.b. ftp). Diebstahl / Spionage. Störung des Geschäftsbetriebes. Image-Schaden für den Angegriffenen.

Konkrete Formen von Angriffen (D)DoS: (Distributed) Denial of Service Übernahme von Rechnern durch Erlangen von Superuser-Rechten -> meist unauffällig. Abhören / Stehlen von Inhalten, Passworten, Kreditkartennummern usw. Defacement: Verändern z.b. von Webseiten Fernsteuern, TCP-Hijacking

Vorgehensweise Intrusion Lernen: Network Mapping, Hardware, Betriebssysteme (wie verhindern?) Adressen- und Portscans (wie verhindern?) Eindringen über einen angreifbaren, offenen Port in einen Rechner mit unsicherem Betriebssystem (wie verhindern?) Verseuchen des Systems Erlangen der Superuser-Rechte und Übernahme der Kontrolle über das System

Was passiert auf dem System? Installation von Programmen, die: Bestehende Programme ersetzen, deren Verhalten verändern, fernsteuerbar sind, Daten ausspionieren und weiterleiten. Erkennbar daran, dass Programme und andere Files sich verändert haben. Wie kann man das überwachen: tripwire Stichwort: root kits

Was passiert im Netzwerk? Netzwerks-Scan, Port-Scan Verfälschte IP-Adressen Unvollständiger Verbindungsaufbau Veränderte Pakete (ICMP mit Daten!) Pakete werden unterwegs verändert Performance-Einbrüche Merkwürdige Datentransfers

Spoofing, Fälschung Adressen (Source, Destination) Portnummern, Flags Mac-zu-IP-Adressen-Zuordnung (ARP- Spoofing) Wie schafft man Abhilfe?

Fragmentierung IP-Pakete werden fragmentiert, wenn sie Netzwerksabschnitte durchlaufen, die das erfordern. Bösartigen Inhalt kann man auf mehrere Fragmente verteilen. Fragmente werden einfach weggelassen. Sehr kleine Fragmente: Der TCP-Header wird zerlegt und nicht mehr erkannt.

Beispiele DoS-Attacken Brute Force : Von einem oder mehreren Rechnern an viele andere Rechner Anfragen mit gespoofter Source-Adresse (des Opfers!) schicken -> was passiert? Fragmentiertes ICMP ohne End-Fragment -> was passiert? SYN-Flooding: Wieso ist das ein Problem?

Bekannte Angriffe smurf: Reflektor mit Source-Spoofing Tribe Flood Network: Master steuert geknackte Hosts für DoS-Attacke WinFreeze: ICMP Redirect auf sich selbst (geht nur bei Windows NT4) LOKI: ICMP als Tunnel zur Client/Server Fernsteuerung (Host muss gehackt sein)

Die elegante Variante MITNICK-Attacke: SYN-Flooding mit TCP- Hijacking... Durch SYN-Flooding wird der Zielhost blockiert: 3-way-Handshake unvollständig. Das blockierte System wird durch Spoofing ersetzt, weil es nicht mehr reagiert. Der Angreifer hat somit eine Vertrauensbeziehung zwischen zwei Teilnehmern gekapert und kontrolliert sie.

Die Praxis der Überwachung tcpdump erzeugt tonnenweise Informationen, die man erstmal analysieren muss. Beispiel: http Header-Analyse (einfach) iptraf muss beobachtet werden personalintensiv (besonders nachts :-) Abhilfe schafft snort, das automatisch das Netzwerk überwacht. snort bietet laut LANline sogar mehr als kommerzielle Systeme!

Exkurs: Hex -> ASCII #include <stdio.h> main(){ int wert; while( scanf("%2x", &wert)!= EOF ){ printf ( "%c", wert ); } }

tcpdump benutzen (Beispiel) Schreibt normalerweise nur Header Aufruf: tcpdump... -s <number_of_bytes_per_packet> -i <interface> -x (oder je nach Version -X) dst host 192.109.16.6 and dst port http Hex-Packetdump nach ASCII konvertieren

Mehr Infos... http://cebu.mozcom.com/riker/iptraf/index.html http://www.snort.org Stephen Northcutt, Judy Novak: IDS: Intrusion Detection-Systeme (Verlag mitp Bonn 2001) Joseph Brunner: Linux Security (Verlag Addison Wesley 2002)

Aufgaben IDS Experimentieren Sie mit den Tools wie iptraf, tcpdump, ethereal Analysieren Sie snort und seine Konfigurations-Möglichkeiten Lesen Sie über IDS in den Quellen nach, insbesondere auch im Internet Wo müsste snort installiert werden?

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback