Intrusion Detection Systeme


Seminararbeit, 2005
22 Seiten
Bachelor Matthias Mehmke (Autor)

Leseprobe

Inhaltsverzeichnis

1. Einführung

2. Grober Umriss der Technologie

3. Aufbau von IDS
a) Grundsätzlicher Aufbau
b) Sensoren - Datensammlung
c) Agenten - Datenanalyse
d) Manager – Rückmeldung

4. Angriffsmöglichkeiten gegen ein Netzwerk

5. Erkennen und Interpretieren von Angriffen

6. Intrusion Prevention Systeme

7. Fazit

8. Anhang
a) Index
b) Abbildungsverzeichnis
c) Literaturverzeichnis

1. Einführung

Heutzutage sieht sich ein lokales Netzwerk mit Verbindung zum Internet, einer Vielzahl von Gefahren ausgesetzt. Firewalls bieten zwar eine gute erste Sicherung dieses Netzes, eine garantierte einhundertprozentige Sicherheit wird es aber nie geben. Software- und Konfigurationsfehler in der Firewall bieten Schwachstellen nach außen hin, während auch von innen durch die Netzwerkclients Gefahrquellen existieren. Insofern ist, gerade für Firmennetze in denen sensible Daten genutzt und gespeichert werden, eine zusätzliche Sicherung erforderlich. Ein Intrusion Detection System (im Folgenden kurz IDS genannt) hat die Aufgabe diese Lücke zu füllen, indem es Angriffsversuche aufdeckt und in Form von so genannten Alarmen meldet.

Die Problematik die im Zusammenhang mit IDS entsteht, liegt in dem Auftreten von Fehlalarmen. Dabei wird unterschieden zwischen positiven und negativen Fehlalarmen. Ein positiver Fehlalarm ist eine Meldung des IDS, ohne dass dafür ein wirklicher Angriffversuch vorliegt. Im Gegensatz dazu erzeugt ein negativer Fehlalarm trotz Angriffsaktivitäten keine Meldung des IDS.

In dieser Seminararbeit möchte ich in den Kapiteln 2 und 3 zunächst auf die Funktionsweise von IDS im Allgemeinen eingehen, d. h. losgelöst von bestimmten Implementationen. In den Kapiteln 4 und 5 werde ich einige Angriffsverfahren erläutern und beispielhaft auf die Erkennung durch IDS eingehen. Ebenfalls anschneiden möchte ich das Thema Intrusion Prevetion Systeme in Kapitel 6, da es ähnliche Zielsetzungen verfolgt und in ganzheitliche Sicherheitskonzepte ebenfalls mit eingeplant werden sollte. Abschließen werde ich die Arbeit mit einem eigenen Fazit in Kapitel 7. Größere Abbildungen habe ich zur besseren Lesbarkeit in einem eigenen Abbildungsverzeichnis im Anhang eingefügt. Auch wird an einigen Stellen auf Begriffserklärungen im Index verwiesen.

2. Grober Umriss der Technologie

Die Bestimmung dieses Kapitels ist es, Sinn u. Zweck von Intrusion Detection Systeme zu erklären und einen ersten Überblick über die Technik zu geben.

Eine Intrusion (im Folgenden „Angriff“ genannt) kann [gemäß Heberlein, Levitt und Mukherjee, 1991] wie folgt beschrieben werden: „Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren“. Allgemeiner gefasst kann man unter einer Intrusion die absichtliche Verletzung der Sicherheitsmaßnahmen eines Systems verstehen. Das Ziel der Intrusion Detection ist es, diese Verletzungsversuche zu erkennen, sie für den die Systemsicherheit zuständigen Personen zu melden und mit geeigneten Informationen über den Angriff zu versorgen.

Das Verfahren zur Erkennung von Angriffen ist dabei das Sammeln aller Netzwerkdaten an einem oder mehreren Punkten des Netzwerkes und das Analysieren dieser, um damit feindliche Aktivitäten zu erkennen. Wird ein potentieller Angriff erkannt, so gibt das System Alarm, was in der Regel eine Benachrichtigung an den Systemadministrator (oder anderen verantwortlichen IT-Spezialisten) ist. Ich spreche an dieser Stelle von potentiellen Angriffen, da eine Meldung des IDS immer auch ein positiver Fehlalarm sein kann. Dies zu evaluieren ist zunächst die Aufgabe des Administrators.

Ein solches System zur Erkennung von Angriffen kann, je nach Sicherheitsbedürfnis, auch sehr komplex aufgebaut sein. Eine der einfachsten Umsetzungen kann Abbildung 1 des Abbildungsverzeichnisses entnommen werden. Auf die erweiterten Möglichkeiten eines IDS wird in den folgenden Kapiteln eingegangen.

3. Aufbau von IDS

a) Grundsätzlicher Aufbau

Die Umsetzung eines IDS hängt stark von den Sicherheitsbedürfnissen und der Struktur des zugrunde liegenden Netzwerks ab. Die im Folgenden beschriebenen Bestandteile finden sich dennoch in irgendeiner Weise in jeder Implementierung wieder. Dies kann in einer zentralen, dezentralen oder hybriden Umsetzung, anhand von Signaturen oder anderen Verfahren erfolgen.

Die drei Schichten1 eines IDS sind Sensoren, Agenten und Manager. Die Sensoren haben lediglich die Aufgabe, Datenpakete zu sammeln und diese an die Agenten weiterzuleiten. Sie können an verschiedenen Positionen im Netzwerk angebracht sein um Gefahren sowohl von außen wie auch innerhalb eines Netzwerkes zu erkennen. Die Agenten wiederum analysieren die ihnen von den Sensoren übergebenen Pakete und melden Aktivitäten, die auf Angreifer zurückzuführen sind, an den Manager weiter. Dieser reagiert dann entsprechend auf die Meldungen und gibt in der Regel Alarm. Auf Metaebene betrachtet werden somit von Schicht zu Schicht die Daten verdichtet bis letztendlich nur angreifende Aktivitäten sichtbar werden.

Neben dieser mehrstufigen IDS-Struktur gibt es auch die Möglichkeit ein einstufiges Peer-to-Peer IDS aufzubauen. Dazu werden Firewalls so konfiguriert, dass sie bei bestimmten Ereignissen (potentiellen Angriffen) mit anderen Firewalls kommunizieren, welche dann ihre Sicherheitsrestriktionen anpassen. Da diese Art IDS nur sehr begrenzte Möglichkeiten bietet und im professionellen Einsatz kaum genutzt wird, werde ich darauf nicht weiter eingehen.

Der mehrstufige Schichtaufbau liegt den meisten IDS-Implementierungen zugrunde und erlaubt eine äußerst flexible Umsetzung.

Die nun folgenden Kapitel befassen sich der Beschreibung der einzelnen Schichten und ihren Anwendungsmöglichkeiten.

b) Sensoren - Datensammlung

Sensoren sind auf der ersten Stufe des IDS für die Datensammlung verantwortlich. Ihre Funktion ist das Empfangen von Daten und Weiterleiten an den entsprechenden Agenten. Im Folgenden muss zwischen zwei Arten von Sensoren unterschieden werden:

Netzwerk-basierte Sensoren – Diese Art Sensor wird derzeit am häufigsten verwendet und kann ein Programm oder ein Netzwerkgerät sein, das Daten an einem Netzwerkknoten mit empfängt. Sensoren können dabei so konfiguriert sein, nur bestimmte Pakete (z. B. nur ftp- Verkehr) weiterzuleiten, so dass die Gesamtlast auch über mehrere Sensoren an einem Netzwerkknoten verteilt werden kann. Das zu diesem Zweck meistgenutzte Programm ist tcpdump. Es filtert den überwachten Datenverkehr und empfängt die relevanten Pakete. Zum Unterscheiden und Entkapseln der Pakete benutzt tcpdump die systemunabhängige Paketbibliothek libcap. Von besonderer Bedeutung zur Paketauswertung sind dabei Paketzeitpunkt, Quell- und Zieladresse sowie die Portnummern, TCP-Flags, Sequenznummern und Paketgrößen (siehe Abbildungsverzeichnis - Abbildung 2).

Die einzige noch offene Frage ist, wie der Sensor die Pakete erhält, die durch den beobachteten Netzwerkknoten transferiert werden. Während sich bei einem Hub diese Frage nicht stellt, da alle Pakete an alle Teilnehmer (ähnlich eines Broadcasts) versendet werden, sind bei einem Switch besondere Vorkehrungen notwendig. Dazu werden in der Regel so genannte Monitoring Ports genutzt, die vom Switch zu diesem Zweck als besondere Funktionalität zur Verfügung gestellt werden müssen. Über diese Ports wird dann der gesamte Netzwerkverkehr des Switchs an den Sensor weitergeleitet.

Um Sensoren vor den „Augen“ eines Angreifers zu schützen, werden diese oftmals im Stealth Mode* betrieben.

Die Platzierung der Sensoren kann theoretisch an jeder Position des Netzwerkes Sinn machen. Zwei Positionen haben sich in der Praxis allerdings als besonders sinnvoll herausgesellt:

Die Eine1 ist die Platzierung innerhalb des lokalen Netzes, also hinter der Firewall, welche die Abgrenzung zum öffentlichen Netz darstellt. Sensoren die innerhalb der Firewall platziert sind, dienen der Einbruchs erkennung und können

Hinweise auf Schwachstellen der Firewall aufzeigen.

Die andere gängige Methode2 ist das Platzieren vor der Firewall, in direktem Kontakt zu dem unsicheren öffentlichen Netz. Dadurch erhält der Sensor alle Daten die in Folge der bestehenden Internetverbindung auftreten. Er registriert, im Gegensatz zu einer internen Platzierung, auch erfolglose Angriffsversuche. Damit dienen seine Daten im Wesentlichen der Angriffs erkennung.

Host-basierte Sensoren – Diese Art Sensor ist ein Dienst, der sich auf einem zentralen Rechner befindet. Der Rechner erhält dabei aufgrund der Netzwerkinfrastruktur alle relevanten Pakete und ist direkter Angriffpunkt für potentielle Eindringlinge. Für das Sammeln der Daten werden hierbei keine Netzwerkpakete ausgewertet, sondern aufgrund der zentralen Position des Rechners, dessen Systemdaten. Dies kann durch verschiedene Verfahren erfolgen:

- Erstellen von Logfiles verschiedener Dienste und Anwendungen.
- Betriebsdaten des Rechners wie z.B. CPU-Auslastung, Speicherbelegung, etc. werden protokolliert.
- Bilden von Auditdaten auf Abstraktionsebene – Sie bilden den Chronologischen Ereignisstrom ab („Wer hat sich angemeldet“, …).

Der Vorteil dieser Sensoren ist, dass Auswirkungen von Angriffen besser sichtbar gemacht und nachvollzogen werden können. Allerdings strapaziert das die Rechenleistung dieses zentralen Netzwerkknotens stark.

Neben den beiden reinen netzwerk- bzw. hostbasierten Sensoren, werden in der Praxis meist Mischformen verwendet, die an die individuelle Infrastruktur des Netzwerkes angepasst ist. Es ist dabei auch möglich, netzwerkbasierte Sensoren mit mehreren hostbasierten Sensoren (an zentralen Netzpunkten) zu verknüpfen, um die Sicht auf das Netzwerk zu verbessern.

Des Weiteren gibt es noch seltener verwendete Verfahren (Application Based oder Stack Based Intrusion Detection), sowie Konstellationen im Zusammenhang mit demilitarisierten Zonen* oder in Kombination mit Honeypots*, die an dieser Stelle allerdings zu weit führen würden.

c) Agenten - Datenanalyse

Ein Agent ist eine Gruppe von Prozessen, die unabhängig arbeitet und die ihm von Sensoren als Input übergebenen Pakete analysiert. Wie dabei die Analyse erfolgt, ist den Implementierungen überlassen. Dadurch kann eine Analyse sehr detailliert erfolgen und sich auf alle Informationen eines Paketes beziehen oder stärker auf generischer Ebene die Menge der übertragenen Daten überwachen. Dieser Punkt zielt dabei auf die zwei wichtigsten Kriterien eines Agenten ab, nämlich Performance und Alarmierungsverhalten. Je genauer Pakete analysiert werden, desto mehr Performance wird für den Agenten benötigt und desto höher ist die Wahrscheinlichkeit für positive Fehlalarme. Im Gegensatz dazu kann eine ungenaue Analyse die Wahrscheinlichkeit für negative Fehlalarme erhöhen. Insofern muss von Netzwerklösung zu Netzwerklösung zwischen den Vor- und Nachteilen abgewogen werden.

Die Vorgehensweise der Agenten zur Analyse von Paketen lässt sich in zwei Verfahren unterteilen:

Signaturverfahren – Die absolute Mehrheit der Angriffe aus dem Internet wird entweder von automatischen Programmen verursacht oder (seltener) von Angreifern die auf so genannte Exploit-Scanner* zurückgreifen.

Solche Angriffe zeichnen sich durch bestimmte unverwechselbare Muster aus (auch Signaturen genannt), anhand derer sie identifiziert werden können. Bei der Signatur-basierten Paketanalyse werden Netzwerkdaten mit den Signaturen aller erfassten, öffentlich bekannten Angriffe verglichen und identifiziert. Das Verfahren ist dabei vergleichbar mit dem eines Virenscanners. Dabei werden Schädlinge ebenfalls anhand von Signaturen ausfindig gemacht. Wichtig bei dieser Art der Analyse sind stets aktuelle Angriffssignaturen den Agenten als Grundlage zur Verfügung zu Stellen. Der Vorteil dieses Verfahrens ist eine recht geringe Zahl positiver Fehlalarme. Allerdings besteht die Gefahr von negativen Fehlalarmen, sofern ein manueller Angriff durchgeführt wird oder die Signaturen nicht aktuell sind.

Anomalieverfahren – Die Grundlage dieses Verfahrens ist die Definition des Normalzustandes. Dazu legt der Systemadministrator fest welcher Netzwerkverkehr (Protokoll, Netzauslastung, Ports, etc.) von dem System als unbedenklich erkannt werden soll. Alles was nicht diesem Normalzustand entspricht, wird von dem Agenten als potentieller Angriff weitergemeldet. Das Erkennungsverfahren ist dabei selbst lernend, so dass sich der Normalzustand den Entwicklungen des Netzwerkes anpasst. Der Vorteil dieses Verfahrens ist, dass jede Anomalie beobachtet werden kann und somit die Wahrscheinlichkeit eines negativen Fehlalarmes sinkt. Dafür treten in der Regel vermehrt positive Fehlalarme auf.

Bei der Platzierung von Agenten im Netzwerk ist sowohl die Effizienz (kurze Datentransferwege zu den Sensoren), als auch deren Sicherheit zu beachten.

[...]


1 Abbildung: Endorf, Schultz, Mellander – „Intrusion Detection & Prevention“

1 Abbildung: Internet-Quelle; nicht-offizielles IDS-Tutorial

2 Abbildung: Internet-Quelle; nicht-offizielles IDS-Tutorial

Ende der Leseprobe aus 22 Seiten

Details

Titel
Intrusion Detection Systeme
Hochschule
Hochschule für Bankwirtschaft
Autor
Jahr
2005
Seiten
22
Katalognummer
V151531
ISBN (eBook)
9783640636549
Dateigröße
589 KB
Sprache
Deutsch
Schlagworte
Intrusion, Detection, Systeme
Arbeit zitieren
Bachelor Matthias Mehmke (Autor), 2005, Intrusion Detection Systeme, München, GRIN Verlag, https://www.grin.com/document/151531

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Intrusion Detection Systeme


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden