Computersicherheit ist in der heutigen Zeit nicht nur wegen den sich häufenden Medienberichten über gelungene Einbruchsversuche ein vieldiskutiertes Thema. Eine Folge davon ist ein deutlicher Anstieg der Nachfrage an Sicherheitsprodukten, zu denen auch Intrusion Detection Systeme zählen. Übereinstimmend wird geschätzt, daß sich durch deren Verwendung ein höheres Niveau der Systemsicherheit erreichen läßt. 1999 wurden in 37% aller Unternehmen, für die Sicherheit von Bedeutung ist, ID-Produkte benutzt (Vorjahr 29%) [18].
Das Sicherheitsniveau dieser Produkte hängt unter anderem wesentlich von der Effizienz des Zusammenwirkens mit anderen Produkten wie z.B. Firewalls ab. Dieses Zusammenwirken ist bisher teilweise noch nicht vorhanden bzw. noch nicht optimiert. In der vorliegenden Diplomarbeit wird nun ein Ansatz vorgestellt, der durch die aktive Verknüpfung der Komponenten Firewall und IDS die Effizienz beider Systeme steigern und zusätzliche Möglichkeiten erschließen soll. Da diese Kopplung Implikationen auf Design und auszuwählende Mechanismen des zu integrierenden IDS hat, wird hier ein Modell vorgestellt, welches für diesen Zweck optimiert wurde. Die vorliegende Arbeit enthält weiterhin eine detaillierte Beschreibung der exemplarischen Implementierung dieses Modells sowie die
Präsentation und Bewertung erster Einsatzerfahrungen.
Inhaltsverzeichnis
1. SICHERHEIT IN COMPUTERSYSTEMEN
1.1 SICHERHEITSLÜCKEN
1.2 GRUNDSÄTZLICHE VORGEHENSWEISE EINES EINDRINGLINGS
1.3 ANGRIFFSARTEN
1.4 GEGENMAßNAHMEN
2. INTRUSION DETECTION SYSTEME
2.1 IDS-EIGENSCHAFTEN
2.2 KLASSIFIZIERUNG VON INTRUSION DETECTION SYSTEMEN
2.3 ARBEITSWEISE EINES IDS
2.3.1 Datenselektion
2.3.2 Datenanalyse
2.3.3 IDS-Sprachen
2.4 KOMBINATION VON FIREWALL UND IDS
3. ENTWURF EINES FIREWALL-IDS
3.1 THEORETISCHE MODELLE
3.1.1 Das ECA-Modell
3.1.2 Ein generisches Intrusion Detection Modell
3.2 GRUNDLEGENDE IDS-ENTWURFSKONZEPTE
3.2.1 Modellauswahl
3.2.2 Typ des zu entwerfenden Systems
3.2.2 Leistungsmerkmale des zu entwerfenden Systems
3.2.3 Auswahl des Angriffserkennungsmechanismus
3.2.4 Auswahl der Datenbereitstellung
3.2.5 Integration der Analysemethoden
3.2.6 Konzeption der Endlichen Automaten für die Mustererkennung
3.2.7 Entwurf der IDS-Sprache
3.3 IDS-SPEZIFISCHE KONKRETISIERUNG DES ECA-MODELLS
3.4 INTEGRATION DES IDS IN DIE VDMFA-FIREWALL
3.4.1 Firewall-Architektur: Überblick
3.2.2 Integration des IDS
3.2.3 IDS/Firewall-Kommunikationsinfrastruktur
3.2.4 IDS/Firewall-Konfiguration
3.5 FIREWALL-SPEZIFISCHE KONKRETISIERUNG DES ECA-MODELLS
4 PROTOTYPISCHE IMPLEMENTIERUNG DES IDS
4.1 ÜBERBLICK
4.1.1 IDS-Architektur
4.1.2 Die IDS-Regelsprache
4.2 FUNKTIONSPRINZIPIEN
4.2.1 Interpretation der IDS-Sprache
4.2.2. Die Analyzer-Klassenhierarchie
4.2.2 Realisierung der Finite State Machinen
4.2.4 Die Caches
4.2.5 Mögliche Verwendung eines Loaders im Aktionsteil von IDS-Regeln
4.2.6 Aktionsmodule
4.2.7 Das Normalwert-Modul
4.3 DOKUMENTATION DER EINZELNEN KLASSEN/MODULE
4.3.1 IDSMod
4.3.2 Analyzer
4.3.3 Compare
4.3.4 CacheAnalyzer
4.3.5 PacketCache
4.3.6 LogCache
4.3.7 FlowCache
4.3.8 StandardMod
5 TEST
5.1 VERSUCHSBESCHREIBUNG
5.2 ERGEBNISSE
6 AUSBLICK
Zielsetzung & Themen
Ziel der Arbeit ist es, einen Ansatz zur aktiven Verknüpfung von Firewalls und Intrusion Detection Systemen (IDS) zu entwickeln, um die Effizienz der Sicherheitssysteme zu steigern und eine ganzheitliche Überwachung zu ermöglichen. Dabei wird ein Modell entworfen, das auf dem Event-Condition-Action-Prinzip basiert und in eine bestehende Firewall-Architektur integriert wird.
- Entwurf eines Intrusion Detection Modells auf Basis des ECA-Ansatzes
- Entwicklung einer flexiblen und erweiterbaren IDS-Regelsprache
- Integration von Anomalienerkennung und Mustererkennung (Finite State Machines)
- Prototypische Implementierung in einer Java-basierten Firewall-Umgebung
- Evaluierung durch praktische Versuche zur Erkennung von Portscans
Auszug aus dem Buch
3.1.1 Das ECA-Modell
Das Event-Condition-Action Modell (ECA) stammt ursprünglich aus dem Bereich der aktiven Datenbanken [1]. Es wird dort z.B. für die Behebung von Datenqualitätsproblemen in heterogenen Datenbanken benutzt, d.h. störende oder auffällige Daten werden durch eine automatische Prüfung ermittelt und im Anschluß daran entsprechend vordefinierte Maßnahmen eingeleitet. Ein ECA-System ist im wesentlichen in der Lage, „definierbare Situationen in der Datenbank ... zu erkennen und als Folge davon bestimmte Reaktionen auszulösen“ [2].
Zunächst einmal gilt es, die drei Komponenten Event, Condition und Action des Modells hinreichend zu definieren. Dabei werden die zu definierenden Begriffe allgemein und unabhängig vom Kontext eines IDS betrachtet:
EVENT = „Relevantes“ Ereignis, das entweder periodisch oder einmalig auftreten kann
1. Externe Events:
Eingehen externer Signale über Schnittstellen, wie z.B.
- Operationen des Benutzers, die durch die Benutzerschnittstelle übermittelt werden
- Eintreffen von Nachrichten/Daten anderer Systeme, die mit dem betrachteten System kommunizieren. Bei mehreren miteinander interagierenden oder gar kooperierenden Systemen ist ein Nachrichtenaustausch über geeignete Kommunikationsschnittstellen erforderlich.
Zusammenfassung der Kapitel
1. SICHERHEIT IN COMPUTERSYSTEMEN: Dieses Kapitel erläutert grundlegende Sicherheitslücken, Angriffsarten und existierende Gegenmaßnahmen, um den Kontext für die Arbeit zu setzen.
2. INTRUSION DETECTION SYSTEME: Hier werden die theoretischen Grundlagen, Eigenschaften und Klassifizierungsmerkmale von Intrusion Detection Systemen sowie die verschiedenen Analyseansätze beschrieben.
3. ENTWURF EINES FIREWALL-IDS: Dieses Kapitel detailliert den Entwurfsprozess eines IDS für Firewalls, unter Verwendung des ECA-Modells und der Integration in eine bestehende VDMFA-Firewall-Architektur.
4 PROTOTYPISCHE IMPLEMENTIERUNG DES IDS: Hier wird die praktische Realisierung des IDS in Java beschrieben, einschließlich der Regelsprache, der Analyzer-Klassenhierarchie und der einzelnen Module.
5 TEST: Dieses Kapitel dokumentiert die Testphase der Implementierung anhand eines Portscans und bewertet die erzielten Ergebnisse.
6 AUSBLICK: Hier werden mögliche zukünftige Erweiterungen und eine abschließende Bewertung des Firewall-IDS-Ansatzes diskutiert.
Schlüsselwörter
Intrusion Detection System, Firewall, ECA-Modell, Computersicherheit, Netzwerksicherheit, Mustererkennung, Anomalienerkennung, Regelsprache, Finite State Machine, Java, VDMFA, Paketfilter, Angriffserkennung, Systemüberwachung, Prototyp
Häufig gestellte Fragen
Worum geht es in dieser Diplomarbeit grundsätzlich?
Die Arbeit befasst sich mit der Konzeption und Implementierung eines Intrusion Detection Systems (IDS), das direkt in eine Firewall integriert wird, um die Netzwerksicherheit durch eine engere Kopplung beider Komponenten zu verbessern.
Was sind die zentralen Themenfelder?
Die zentralen Themen sind das Event-Condition-Action (ECA) Modell, die Entwicklung von Intrusion Detection Regeln, die Analyse von Netzwerkdaten und die modulare Softwareentwicklung in einer Java-Umgebung.
Was ist das primäre Ziel der Forschungsarbeit?
Das primäre Ziel ist es, durch die aktive Verknüpfung von Firewall und IDS die Erkennungsrate von Angriffen zu steigern und ein effizientes, in ein bestehendes Produkt integrierbares Sicherheitssystem zu schaffen.
Welche wissenschaftliche Methode wird für die Erkennung verwendet?
Die Arbeit nutzt eine Kombination aus statistischer Anomalienerkennung (Statistical Anomaly Detection) und Mustererkennung (Pattern Matching), letztere implementiert über Endliche Automaten (Finite State Machines).
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil umfasst den theoretischen Entwurf eines ECA-basierten Modells, die spezifische Integration in die VDMFA-Firewall, die Entwicklung einer eigenen IDS-Regelsprache sowie die detaillierte architektonische Implementierung der Analyseklassen.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Neben Begriffen wie Intrusion Detection, Firewall und Sicherheit sind ECA-Modell, Regelsprache und FSM (Finite State Machine) für diese Arbeit prägend.
Wie werden die Angriffe konkret erkannt?
Angriffe werden durch Regeln erkannt, die den Netzwerkverkehr überwachen. Wenn bestimmte Zustände in den Daten oder im Systemverhalten (z.B. hohe Anzahl von SYN-Paketen) eintreten, löst das IDS entsprechende vordefinierte Reaktionen aus.
Was ist das Ergebnis der Arbeit?
Das Ergebnis ist ein funktionsfähiger Prototyp, der in einer Testumgebung erfolgreich zur Erkennung eines Portscans eingesetzt und verifiziert wurde, wobei die Vorzüge der Integration in ein einzelnes Produkt bestätigt wurden.
- Quote paper
- Marc Tresse (Author), 1999, Erstellung eines Intrusion Detection Systems für eine Firewall, Munich, GRIN Verlag, https://www.grin.com/document/185334
