Intrusion Detection Systeme

Ähnliche Dokumente
Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection and Prevention

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

IDS Intrusion Detection Systems

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Network Intrusion Detection

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Seminararbeit zu: Seminar Grundlagen methodischen Arbeitens SS Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr.

Intrusion Detection Basics

Intrusion Detection Systems

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Intrusion Detection & Response

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Was Wer Wie Wo tut? Intrusion Detection

Radware revolutioniert den DDOS Schutz. Markus Spahn: (Sales Manager)

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Seminar aus Informatik

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

Sicherheit in Netzen- Tiny-Fragment

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Resolver! DNS: Liefert Resolver cached Antwort (mit Flag Time To Life, TTL)

Sicherheit im Internet

Seminar: Konzepte von Betriebssytem- Komponenten

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Internetprotokoll TCP / IP

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Integriertes Management von Sicherheitsvorfällen

4.3 Einbruchsentdeckung Intrusion Detection

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

SolarWinds Engineer s Toolset

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen Johannes Mäulen OSSEC 1 / 21

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS)

Daniel Schieber Technical Consultant

Internet & Sicherheit

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Desktop Personal Firewall und Virenscanner

IDS/IPS Intrusion Detection System/Intrusion Prevention System

Scan-Techniken Ein Überblick

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

Sicherheit allgemein

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Sinn und Unsinn von Desktop-Firewalls

Wozu sind Firewalls und VPN gut?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

TCP/UDP. Transport Layer

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Masterarbeit über IPv6 Security: Xing:

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

GSM: IDS Optimierung. Inhalt. Einleitung

Scientia est potentia. Intrusion Detection (und Response) am Beispiel Snort

Netzsicherheit 18: Firewalls, Intrusion Detection Systeme, Malware-Detektion

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Cisco Connected Grid Lösung konkreter

SolarWinds Engineer s Toolset

büro der zukunft Informationen zur Sicherheit der höll-fleetmanagement Software

Entwicklung von Angriffskomplexität und Angriffsziele Integrationsgrenzen heutiger IDS SNMPv3 IDS Modell der IETF

IPv6 Intrusion Detection mit Snort-Plugin. Martin Schütte

ICMP Internet Control Message Protocol. Michael Ziegler

Mobility Support by HIP

DOSNET SMURF ATTACK EVIL TWIN

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Exploiting und Trojanisieren

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Praktikum IT-Sicherheit

Sicherheitsaspekte im Internet

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

APTs: Sind gezielte Angriffe normal? Jürgen Eckel Helene Hochrieser

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

Transkript:

Intrusion Detection Systeme Janzer, Kaindl, Schönleitner June 23, 2017 Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 1 / 49

Übersicht 1 Definition IDS / IPS 2 Angriffsarten 3 Honeypot 4 Komponenten eines IDS 5 Erkennungsarten 6 Missbrauchserkennung / Anomalieerkennung 7 Vergleich Firewalls und IDS 8 Was passiert nach der Erkennung? 9 Host, Network und Hybrid IDS 10 Intrusion Detection Message Exchange Format 11 Snort Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 2 / 49

Definition IDS Was ist IDS? Soll Computersysteme und oder Netze überwachen und Angriffe erkennen Ist ein passives System Keine Reaktion auf Angriffe Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 3 / 49

IPS Was ist IPS? Intrusion Prevention System Ist ein aktives System Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 4 / 49

Angriffsarten Rechteausweisungsattacken Dirty Cow User to Super-User Non-User to User Arten Buffer Overflow Man-in-the-Middle Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 5 / 49

Angriffsarten DoS DDoS Denial of Service (DoS) und Distributed Denial of Service (DDoS) Server mit großer Anzahl an Anfragen belasten Smurf-Attacke: Pings an Boradcastadresse Mailbombe: Viele Mails an SMTP-Server Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 6 / 49

Honeypot Soll Angreifer oder Feind vom eigentlichen Ziel ablenken Täuscht interessante Daten vor alle Angriffe werden Protokolliert und lösen Alarm aus Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 7 / 49

Verschiedene Arten von Honeypots Tarpits Täuscht großes Netzwerk vor Verbreitungsgeschwindigkeit von Würmern zu verringern Datenbank-Honeypots SQL-Injection-Attacken Angreifer denkt er wäre in der echten Datenbank Honeylinks Ansätze zum Entlarven von potenziellen Angreifern auf Web-Anwendungen Honeylinks sind nur im Quellcode zu finden Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 8 / 49

Typen von Honeypots Low-Interaction emuliert einen oder mehrere Dienste wird zur Gewinnung statischer Daten eingesetzt High-Interaction sind vollständige Server, die Dienste anbieten manuell ausgeführte Angriffe zu beobachten und protokollieren Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 9 / 49

Komponenten eines IDS Hauptkomponenten Sensoren Datenbank verschieden Anzeige-, sortier- und Regelkomponenten Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 10 / 49

Erkennungsarten Erkennungsarten und Datensammlung Audit Daten Missbrauchserkennung (engl. Misuse Detection) Anomalieerkennung Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 11 / 49

Audit Daten Was sind Auditdaten Daten aus regelmäßiger Aufzeichnung von Informationen über Zustände des Systems automatisches Protokollieren Problem: Entstehung großer Datenmengen Lösung: nur kritische bzw. signifikante Zustände aufzeichnen Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 12 / 49

Missbrauchserkennung Datensammlung bei Missbrauchserkennung Analyse-Engine Informationsauswertung und Erzeugung von Ereignissen erstellen von Signaturen mithilfe von Regeln atomare und mehrteilige Regeln bereitstellen der Signaturen in Knowledge-Base (Datenbankkomponente) Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 13 / 49

Erkennungszustände True Positive: IDS erkennt Ereignis als Attacke + Ereignis ist Attacke True Negative: IDS erkennt Ereignis als harmlos + Ereignis ist harmlos False Positive: IDS erkennt Ereignis als Attacke + Ereignis ist harmlose False Negative: IDS erkennt Ereignis als harmlos + Ereignis ist Attacke Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 14 / 49

Missbrauchserkennung Analysekomponente sucht nach Sicherheitsverletzungen eingehende Daten werden mithilfe Pattern-Matchings mit Signaturen in der Knowledge-Base verglichen Bei einer Übereinstimmung wird eine Erkennung ausgelöst Figure 1: Missbrauchserkennung Quelle: hackthis.co.uk Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 15 / 49

Missbrauchserkennung Was ist eine Signatur? Veränderung im Packetheader (falsch gesetzte Flags / Verletzung von Standards) benutzen reservierter IP-Adressen... erzeugt über Regeln Action: alert, log, pass Protocols: UDP, TCP, ICMP Figure 2: IDS Rule Quelle: http://cs.calstatela.edu Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 16 / 49

Missbrauchserkennung Vorteile: niedrige False-Positive Rate einfacher Aufbau Nachteile: Dauerhafte Updates und Wartung der Knowledge Base neuartige Angriffe werden nicht erkannt Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 17 / 49

Anomalieerkennung Arten statische Anomalieerkennung logische Anomalieerkennung Grundidee der Anomalieerkennung Entedecken von Benutzern die unter falschem Account agieren mehrere Profile für alle Benutzer, Gruppen und Ressourcen Aktualisierung dieser Profile in bestimmten Abständen Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 18 / 49

Anomalieerkennung statische Anomalieerkennung erstellen eines normalen Verhaltens(Referenz) durch statische Kenngrößen Lernphase Normalwerte werden vom System bestimmt erkennen von Abweichung des Nutzerverhaltens zum Normalverhalten Figure 3: Anomalyerkennung Quelle: http://cs.calstatela.edu Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 19 / 49

Anomalieerkennung Entstehung des Normalverhaltens bei statischer Anomalieerkennung durch Aufzeichnung von: Systemparameter CPU- und Speicherauslastung Seitenwechselrate aktive Ports schlechte Wahl von Parametern wirkt sich nachteilig auf Erkennung aus Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 20 / 49

statische Anomalieerkennung gängigsten Modelle zur Erkennung von Anomalien auslösen des Alarms nach bestimmter Schwellwertüberschreitung einer Variable auslösen des Alarms bestimmt durch Mittelwert und Standardabweichung falscher Zeitpunkt eines auftretenden Ereignisses Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 21 / 49

statische Anomalieerkennung Vorteile: erkennen neuer Angriffstechniken lernen eines Benutzerverhaltens Nachteile: ausnutzen des Lernverhaltens durch Angreifer möglich hoher Rechenaufwand Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 22 / 49

Anomalieerkennung logische Anomalieerkennung zeitliche und logische Abfolge von Ereignissen wichtig bestimmte Ereignisfolgen werden als typisch angesehen keine Lernphase Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 23 / 49

logische Anomalieerkennung erzeugen des Normalverhaltens Normalverhalten wird über Regeln definiert Nach eintreffendem Ereignis wird ein passendes nächstes Ereignis erwartet Entstehung einer Ereignisfolge E1 E2 ( E3 = 80, E4 = 15, E5 = 5 ) Nachteil: Ereignise ohne Regel als Angriff bewerten viele Fehlalarme als harmlos bewerten potentiell unentdeckte Angriffe Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 24 / 49

logische Anomalieerkennung Vorteile: passt sich neuen Angriffen automatisch an keine Ausnutzung der Lernphase mehr möglich speichern geringer Datenmengen Nachteile: hohe Fehlalarmquote Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 25 / 49

Nach der Erkennung Was passiert nach der Erkennung eine Mail an den System- bzw. Security-Administrator mit der Art des Angriffs. ein lokaler Alarm Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 26 / 49

Nach der Erkennung Response Die Reaktion kann ausschließlich vom Administrator ausgelöst werden. Rekonfiguration der Firewall oder der Router um die Angreifer IP abzublocken Herunterfahren von Diensten um Ports zu schließen. In ganz schwerwiegenden Fällen kann der Router komplett heruntergefahren werden. Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 27 / 49

Host IDS Muss auf jedem zu überwachendem PC installiert sein Muss das Betriebssystem unterstützen mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 28 / 49

Host IDS Beispiel Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 29 / 49

Host IDS Erkennbare Angriffe Root-Rechte für (externe) Wartungstechniker: Hintertür für späteren Zugriff, fehlende Schließung des Zugangs Modifizierung kritischer Daten (Personalakten, Berichte) oder Websites Versuch durch Mitarbeiter, Zugriff auf vertrauliche Information zu erlangen Installation von trojanischen Pferden Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 30 / 49

Host IDS - Technologien Protokollanalyse Überwachung und Analyse der Protokolle Wird auch Web-Servern verwendet Integritätstest Konstante Prüfung des Systems/der Daten auf Integrität Häufig nur Vergleich von Eigenschaften und Prüfsummen Echtzeitanalyse Aufwändigste Variante eines IDS Analysiert alle System- und Dateizugriffe in Echtzeit Greift auf Betriebssystemebene ein (z. B. als Kernel-Modul) Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 31 / 49

Host IDS Vor- und Nachteile Vorteile Sehr spezifische Aussagen über den Angriff Kann ein System umfassend überwachen Nachteile Kann durch einen DoS-Angriff ausgehebelt werden Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 32 / 49

Network IDS Warum benötigt man Network IDS? steigende Vernetzung des Internets TCP/IP- Protokolle genutzt Client hinterlässt Spuren Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 33 / 49

Network IDS Erkennung eines Eindringlings: Netzsensoren überwachen Netzverkehr Sniffer erkennen Angriffsmuster Können auch direkt am Host installiert werden (host-basiert) Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 34 / 49

Network IDS Quelle: hackthis.co.uk Figure 4: NIDS Visualisierung Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 35 / 49

Network IDS Erkennbare Angriffe DoS-Angriffe mit Bufferoverflows Ungültige Pakete, die nicht dem Protokoll entsprechen Zugriff auf vertrauliche Daten (z. B. /etc/passwd) (Scan auf verdächtige Strings) Diebstahl von Informationen, die unverschlüsselt übertragen werden Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 36 / 49

Network IDS Vor- und Nachteile Vorteile Ein Sensor kann ein ganzes Netz überwachen Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet Nachteile Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch) Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 37 / 49

Hybrid IDS Eigenschaften der Hybrid-Variante Management Hostbasierte Sensoren (HIDS) Netzbasierte Sensoren (NIDS) Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 38 / 49

Hostsensoren betrieben auf zu überwachendem System spezieller als Netztbasierte Sensoren (Applikationsspezifisch) Figure 5: Hostsensor Quelle: bildungsbibel.dek Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 39 / 49

Netzwerksensoren überwachen alle Pakete schneller als Hostsensoren Quelle: bildungsbibel.de Figure 6: Netzwerksensor Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 40 / 49

Hybrid IDS Figure 7: Vereinigung der Varianten Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 41 / 49

IDMEF Intrusion Detection Message Exchange Format Austausch von Information zwischen unabhängigen Systemen ursprünglich nur zwischen Sensor und Manager objekt-orientiertes Format RFC4765 beschreibt Format genauer: XML Unterschied alert und heartbeat Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 42 / 49

IDMEF Quelle: secef.net Figure 8: IDMEF-Schema Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 43 / 49

Vergleich IDS und Firewall Wesentliche Unterschiede: Firewall sucht Auswärts nach Bedrohungen und blockt diese dann Firewall signalisiert keine Angriffe innerhalb des Netzwerks IDS signalisiert nur Alarm siehe IPS Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 44 / 49

Snort Was ist Snort? Martin Roesch freies Network Intrusion Detection / Prevention System (Open Source) Echtzeit Datenanalyse und Packetlogging in Internet Protokoll Netzwerken Quelle: Wikipedia Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 45 / 49

Snort Wie funktioniert Snort? snort liest gesamten Netzwerk-Datenverkehr vergleich Datenpaketen mit charakteristischen Mustern von Angriffen aus Datenbank Aho-Corasick-Algorithmus einige tausend Signaturen vorhanden Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 46 / 49

Snort Aho-Corasick-Algorithmus benutzt für Pattern Matching Suche von Zeichenfolgen mithilfe einer Art Wörterbuchvergleich aufbau einer Baumstruktur Um Attacke zu identifizieren: endliche Anzahl von bekannten Mustern werden mit Eingabetext verglichen endlicher Zustandsautomat Quelle: semanticscholar.org Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 47 / 49

Snort Praktisches Beispiel Mithilfe von Snort mitschneiden des Datenverkehrs benutzen eines vordefinierten Regelfiles speichern der von Snort generierten Log-Daten in Datenbank visualisieren und auswerten der Datenbank mithilfe von BASE Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 48 / 49

Snort Praktisches Beispiel: BASE BASE = Basic Analysis and Security Engine bietet web-front-end für die analyse von Snort Ausgaben Janzer, Kaindl, Schönleitner Kryptographie June 23, 2017 49 / 49

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback