Heutzutage sieht sich ein lokales Netzwerk mit Verbindung zum Internet,
einer Vielzahl von Gefahren ausgesetzt. Firewalls bieten zwar eine gute
erste Sicherung dieses Netzes, eine garantierte einhundertprozentige
Sicherheit wird es aber nie geben. Software- und Konfigurationsfehler in
der Firewall bieten Schwachstellen nach außen hin, während auch von
innen durch die Netzwerkclients Gefahrquellen existieren. Insofern ist,
gerade für Firmennetze in denen sensible Daten genutzt und gespeichert
werden, eine zusätzliche Sicherung erforderlich. Ein Intrusion Detection
System (im Folgenden kurz IDS genannt) hat die Aufgabe diese Lücke zu
füllen, indem es Angriffsversuche aufdeckt und in Form von so genannten
Alarmen meldet.
Die Problematik die im Zusammenhang mit IDS entsteht, liegt in dem
Auftreten von Fehlalarmen. Dabei wird unterschieden zwischen positiven
und negativen Fehlalarmen. Ein positiver Fehlalarm ist eine Meldung des
IDS, ohne dass dafür ein wirklicher Angriffversuch vorliegt. Im Gegensatz
dazu erzeugt ein negativer Fehlalarm trotz Angriffsaktivitäten keine
Meldung des IDS.
In dieser Seminararbeit möchte ich in den Kapiteln 2 und 3 zunächst auf
die Funktionsweise von IDS im Allgemeinen eingehen, d. h. losgelöst von
bestimmten Implementationen. In den Kapiteln 4 und 5 werde ich einige
Angriffsverfahren erläutern und beispielhaft auf die Erkennung durch IDS
eingehen. Ebenfalls anschneiden möchte ich das Thema Intrusion
Prevetion Systeme in Kapitel 6, da es ähnliche Zielsetzungen verfolgt und
in ganzheitliche Sicherheitskonzepte ebenfalls mit eingeplant werden
sollte. Abschließen werde ich die Arbeit mit einem eigenen Fazit in Kapitel
7. Größere Abbildungen habe ich zur besseren Lesbarkeit in einem
eigenen Abbildungsverzeichnis im Anhang eingefügt. Auch wird an
einigen Stellen auf Begriffserklärungen im Index verwiesen.
Inhaltsverzeichnis
1. Einführung
2. Grober Umriss der Technologie
3. Aufbau von IDS
a) Grundsätzlicher Aufbau
b) Sensoren - Datensammlung
c) Agenten - Datenanalyse
d) Manager – Rückmeldung
4. Angriffsmöglichkeiten gegen ein Netzwerk
5. Erkennen und Interpretieren von Angriffen
6. Intrusion Prevention Systeme
7. Fazit
8. Anhang
a) Index
Zielsetzung & Themen
Die vorliegende Arbeit verfolgt das Ziel, die Funktionsweise von Intrusion Detection Systemen (IDS) theoretisch zu durchdringen, die verschiedenen technologischen Komponenten zu erläutern und die Herausforderungen bei der Erkennung und Interpretation von Angriffen auf IT-Netzwerke darzustellen.
- Grundlagen und technischer Aufbau von IDS
- Differenzierung zwischen netzwerk- und hostbasierten Sensoren
- Methoden der Datenanalyse durch Agenten (Signatur- vs. Anomalieverfahren)
- Aufgaben und Funktionalitäten des IDS-Managers
- Angriffsszenarien und deren Erkennung in der Praxis
- Abgrenzung von Intrusion Prevention Systemen (IPS)
Auszug aus dem Buch
Sensoren - Datensammlung
Sensoren sind auf der ersten Stufe des IDS für die Datensammlung verantwortlich. Ihre Funktion ist das Empfangen von Daten und Weiterleiten an den entsprechenden Agenten. Im Folgenden muss zwischen zwei Arten von Sensoren unterschieden werden:
Netzwerk-basierte Sensoren – Diese Art Sensor wird derzeit am häufigsten verwendet und kann ein Programm oder ein Netzwerkgerät sein, das Daten an einem Netzwerkknoten mit empfängt. Sensoren können dabei so konfiguriert sein, nur bestimmte Pakete (z. B. nur ftp-Verkehr) weiterzuleiten, so dass die Gesamtlast auch über mehrere Sensoren an einem Netzwerkknoten verteilt werden kann. Das zu diesem Zweck meistgenutzte Programm ist tcpdump. Es filtert den überwachten Datenverkehr und empfängt die relevanten Pakete. Zum Unterscheiden und Entkapseln der Pakete benutzt tcpdump die systemunabhängige Paketbibliothek libcap. Von besonderer Bedeutung zur Paketauswertung sind dabei Paketzeitpunkt, Quell- und Zieladresse sowie die Portnummern, TCP-Flags, Sequenznummern und Paketgrößen (siehe Abbildungsverzeichnis - Abbildung 2).
Die einzige noch offene Frage ist, wie der Sensor die Pakete erhält, die durch den beobachteten Netzwerkknoten transferiert werden. Während sich bei einem Hub diese Frage nicht stellt, da alle Pakete an alle Teilnehmer (ähnlich eines Broadcasts) versendet werden, sind bei einem Switch besondere Vorkehrungen notwendig. Dazu werden in der Regel so genannte Monitoring Ports genutzt, die vom Switch zu diesem Zweck als besondere Funktionalität zur Verfügung gestellt werden müssen. Über diese Ports wird dann der gesamte Netzwerkverkehr des Switchs an den Sensor weitergeleitet.
Um Sensoren vor den „Augen“ eines Angreifers zu schützen, werden diese oftmals im Stealth Mode* betrieben.
Die Platzierung der Sensoren kann theoretisch an jeder Position des Netzwerkes Sinn machen. Zwei Positionen haben sich in der Praxis allerdings als besonders sinnvoll herausgesellt:
Zusammenfassung der Kapitel
1. Einführung: Das Kapitel erläutert die Notwendigkeit von Intrusion Detection Systemen als ergänzende Sicherheitsmaßnahme zu Firewalls innerhalb lokaler Firmennetzwerke.
2. Grober Umriss der Technologie: Hier werden Definition, Sinn und Zweck von IDS sowie das grundlegende Verfahren der Datensammlung und -analyse zur Identifikation potenzieller Angriffe beschrieben.
3. Aufbau von IDS: Dieses Kapitel detailliert die dreischichtige Struktur bestehend aus Sensoren, Agenten und Managern sowie deren jeweilige spezifische Aufgaben im Gesamtverbund.
4. Angriffsmöglichkeiten gegen ein Netzwerk: Es werden typische Vorgehensweisen von Angreifern analysiert, unterteilt in die Informationsbeschaffung über das System und den eigentlichen Angriff.
5. Erkennen und Interpretieren von Angriffen: Anhand praktischer Beispiele wie Syn-Flooding oder Trojanern wird gezeigt, wie IDS-Meldungen zu interpretieren sind und wo die Grenzen zur Fehlalarmierung liegen.
6. Intrusion Prevention Systeme: Die Arbeit grenzt IDS von IPS ab und beleuchtet den aktiven Ansatz der Angriffsverhinderung sowie dessen Vor- und Nachteile.
7. Fazit: Der Autor resümiert die Bedeutung von IDS in der modernen IT-Welt und betont die Notwendigkeit menschlicher Expertise bei der Analyse der gelieferten Daten.
8. Anhang: Enthält ein Glossar wichtiger Fachbegriffe, ein Abbildungsverzeichnis und das Literaturverzeichnis der Arbeit.
Schlüsselwörter
Intrusion Detection System, IDS, Netzwerksicherheit, Sensoren, Agenten, Firewall, Fehlalarme, Signaturverfahren, Anomalieerkennung, Intrusion Prevention System, IPS, Netzwerkanalyse, IT-Sicherheit, Hacker, Datenkorrelation
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt Intrusion Detection Systeme (IDS) als technologische Lösung zur Erkennung von Angriffsversuchen in lokalen Netzwerken.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf dem Aufbau der IDS-Architektur, der Sensortechnik, den Analyse-Algorithmen sowie der praktischen Interpretation von Angriffsversuchen.
Was ist das primäre Ziel der Arbeit?
Das Ziel ist es, den Sinn und Zweck von IDS zu erläutern, die Funktionsweise der einzelnen Komponenten zu definieren und den Umgang mit Alarmergebnissen zu verdeutlichen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer theoretischen Funktionsanalyse und der erläuternden Aufarbeitung von Angriffsszenarien sowie deren technischer Erfassung.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die technologische Basis (Schichtenmodell), die Erläuterung von Angriffsmustern und die Abgrenzung zu Intrusion Prevention Systemen (IPS).
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den prägenden Begriffen zählen IDS, Netzwerksicherheit, Fehlalarme, Signaturverfahren, Anomalieerkennung und der Schutz vor unbefugten Zugriffen.
Wie unterscheiden sich IDS und IPS in ihrer Funktionsweise?
Ein IDS arbeitet primär passiv und meldet Angriffe, während ein IPS aktiv reagiert und beispielsweise durch Blockierung von IP-Adressen Gegenmaßnahmen einleitet.
Was ist das Hauptproblem bei der Verwendung von IDS?
Die größte Herausforderung ist das Auftreten von Fehlalarmen, bei denen entweder harmlose Aktivitäten als Angriff gewertet werden oder echte Angriffe unentdeckt bleiben.
Welche Rolle spielt der Systemadministrator bei IDS?
Der Administrator ist entscheidend, da er die vom IDS generierten Daten interpretieren, zwischen Fehl- und echten Alarmen unterscheiden und entsprechende Maßnahmen einleiten muss.
Was bedeutet "Stealth Mode" bei einem IDS-Sensor?
Der Stealth Mode bezeichnet einen Betriebsmodus, bei dem der Sensor im Netzwerk "unsichtbar" ist, da er keine IP-Adresse besitzt, was ihn vor direkten Angriffen schützt.
- Citation du texte
- Bachelor Matthias Mehmke (Auteur), 2005, Intrusion Detection Systeme, Munich, GRIN Verlag, https://www.grin.com/document/151531
