Intrusion Detection Systems (IDS)


Seminararbeit, 2004
15 Seiten, Note: 1.7

Leseprobe

Inhaltsverzeichnis

0. Einführung

1. Intrusion
1.1. Klassifizierung von Angriffen

2. Intrusion Detection
2.1. Datensammlung
2.2. Datenanalyse
2.3. Ergebnisdarstellung / Reaktion

3. Intrusion Detection Systems
3.1. Snort / ACID
3.2. DShield.org
3.3. Antivirensoftware

4. Zusammenfassung

Literaturverzeichnis

0. Einführung

In den Anfängen des Internets spielten Sicherheitsaspekte noch keine große Rolle. Erst mit zunehmender Verbreitung im kommerziellen Bereich wuchs das Bedürfnis nach sicherer Kommunikation. Stand anfangs noch der freie wissenschaftliche Informationsaustausch zwischen Universitäten im Vordergrund, so stellte sich bald heraus, dass Firmen oder Regierungsorganisationen andere Anforderungen an ein weltweites Netzwerk stellen, um es für ihre Bedürfnisse nutzen zu können.

Heutzutage verfügen die meisten Firmen, Bildungseinrichtungen und Organisation sowie auch viele Privatpersonen über Intranets, die mit dem Internet gekoppelt sind. Zugriff auf die Ressourcen des Intranets vor allem von außen, aber auch von innen, soll dabei nur autorisierten Personen oder Maschinen gestattet werden. Es gilt also, die Vertraulichkeit von Daten zu wahren.

Als effektiver Schutz gegen unautorisierten Zugang und Verletzung der Vertraulichkeit werden u.a. Krypto- und Authentisierungsverfahren sowie Firewallsysteme eingesetzt. Neben den Schutzmaßnahmen an sich ist es aber auch wichtig, diese zu überwachen, ihre Effektivität festzustellen und zu erkennen, wo sie Lücken aufweisen und umgangen werden können. Dieses ist die Aufgabe von Intrusion Detection Systems (im folgenden nur noch IDS genannt), die im Rahmen dieser Seminararbeit genauer betrachtet werden sollen. IDS sind ein relativ junger Bereich der IT-Technologie und werden erst seit Mitte der 90er Jahre intensiv entwickelt (s. auch Helden & Karsch (1997, S. 10ff.)).

In Kapitel 1 wird zunächst der Begriff Intrusion definiert. Kernfragen sind: Was ist überhaupt unautorisiertes Eindringen? Welche Arten von Angriffen gibt es?

Das darauf folgende Kapitel Intrusion Detection beschäftigt sich damit, wie ein IDS intern arbeitet, wie Angriffe festgestellt werden können. Zentrales Thema sind die unterschiedlichen Techniken, die dabei verwendet werden.

Kapitel 3 stellt im Anschluss vor, wie und wo Intrusion Detection Systems verwendet werden und geht dabei konkret auf einige interessante Implementierungen ein, bevor im letzten Kapitel ein Ausblick auf die weitere Entwicklung von IDS gegeben wird.

1. Intrusion

'Intrusion' bedeutet 'Eindringen' und zwar in einem gewaltsamen Kontext. Die Möglichkeiten, in ein fremdes Netzwerk einzudringen, sind vielfältig. Ein Einbruch kann sowohl von außen über das Internet als auch von innen (über kompromittierte Rechner, durch Mitarbeiter, über dedizierte Einwahlleitungen, WLAN, etc.) stattfinden. Ansatzpunkte für Angriffe können verschiedene Grundlagen haben. Im folgenden sollen zunächst typische Angriffe charak- terisiert werden.

1.1. Klassifizierung von Angriffen

Angriffe werden nach Helden & Karsch (1997, S. 13f.) in verschiedene Kategorien eingeteilt. Ein Kriterium ist dabei die Ausnutzung von Systemschwächen. Hier gibt es die folgende Klassifizierung, die an dieser Stelle ausführlich zitiert werden darf, da sie sehr treffend ist und Definitionscharakter hat:

Konfigurationsfehler: Hierunter fallen all die Fehler, die auf einer falschen Parameterauswahl beruhen. Insbesondere können dies auch Zugriffsrechte sein.

Implementierungsfehler: Bekannte Vertreter dieser Klasse sind durch Pufferüberläufe bedingte Fehler. Auch Fehler in der Implementierung des TCP/IP-Stacks fallen unter diese Klasse.

Designfehler im Kommunikationsprotokoll: In diesem Fall enthält das Kommunikationsprotokoll z.B. eine Authentisierungsschwäche, die einen sogenannten Spoofing-Angriff ermöglicht. Oftmals sehen die Protokolle für relevante Operationen überhaupt keine Authentisierung vor (z.B. ARP Spoofing).

Designfehler in der Dienstspezifikation: Diese Fehler sind analog zu den vorgenannten Designfehlern im Kommunikationsprotokoll, mit dem Unterschied, daß hier der Fehler im Design des auf das Kommunikationsprotokoll aufsetzenden Dienstes liegt. Ein Beispiel hierfür ist die Schwäche des DNS-Dienstes, welche ein DNS-Spoofing erlaubt.

Designfehler in der Anwendung: Dies sind Fehler, die nicht auf Fehler im Protokolldesign oder in der Implementierung zurückzuführen sind. Die Ursache für den Fehler ist oftmals eine Schwäche im Sicherheitsmechanismus der Anwendung, wie z.B. eine Authentisierungsprozedur, die das systematische Ausprobieren von Paßwörtern erlaubt.

Fehlverhalten der Benutzer: Benutzer, die sich nicht gemäß der Sicherheitspolitik verhalten, stellen ein großes Risiko für den gesamten Netzbereich, in dem sie arbeiten, dar. Häufig sind dies Benutzer, die ein schwaches Paßwort wählen oder das Paßwort von außen leicht zugänglich machen (Zettel auf dem Schreibtisch).

Andere: Dies sind Schwachstellen und Fehler, die zu keinem der oben genannten Punkte gehören. Das Hauptmerkmal dieser Schwachstellen ist, daß sich nicht sagen läßt, wie diese zu beheben sind. Als Beispiel für eine solche Schwachstelle kann der [...] Port-Scan dienen. Der Angreifer nutzt hierbei die Eigenschaft eines Dienstes aus, auf Anfagen Rückantworten zu geben. Obwohl diese Eigenschaft bei einer Vorbereitung zu einem Angriff mißbraucht werden kann, handelt es sich nicht um eine Schwachstellen im Design des Protokolls oder seiner Implementierung.

Diese Kategorien ermöglichen eine einfache und natürliche Charakterisierung der zu besprechenden Angriffe. [...] [Ein Angriff kann] durchaus in mehrere Kategorien fallen. Beispielsweise könnte das Anbieten eines mit einem Designfehler behafteten Dienstes als Konfigurationsfehler kategorisiert werden. Es ist daher zweckmäßig, die ursächliche Schwachstelle für einen Angriff zu finden.“

Desweiteren wird ein erfolgreicher Angriff durch die Schäden, die er verursachen kann, charakterisiert. Helden & Karsch (1997, S. 14f.) sehen auch hier eine Einteilung in Kategorien vor, die im Originalwortlaut für sich sprechen:

Angreifer erhält Informationüber das anzugreifende Ziel: Angriffe mit dieser Schadensfolge dienen üblicherweise der Vorbereitung weiterer Angriffe.

Zugriff auf Netzressourcen: Hierbei umgeht der Angreifer Firewall-Komponenten, erhält so Zugriff zum Netz und kann dann beispielsweise Pakete durch dieses Netz schleusen.

Zugriff auf Rechnerressourcen: Je nach Art des Zugriffs und der dabei gewonnen Benutzerrechte können hierbei weitere Folgeschäden entstehen. Dazu gehören beispielsweise der Verlust der Vertraulichkeit, Integritätsverlust oder auch der Verlust lokaler Ressourcen. Darüber hinaus kann das kompromittierte System auch als Absprungstelle für Angriffe gegen andere Rechner verwendet werden.

Verlust der Verfügbarkeit: Hiervon sind typischerweise Daten betroffen (insbesondere Dateien). Der Verlust von Daten beim Transport stellt in der Regel keinen nennenswerten Verlust dar, da solche Fehler meist auf Protokollebene behandelt werden. Wenn solche Fehler beim Transport massiv auftreten werden sie [...] unter der Rubrik Denial-of-Service zusammengefaßt. [...]

Datenintegritätsverlust während des Transports: Hierbei gelingt es dem Angreifer, die Daten während des Transports zu verfälschen (beispielsweise Modifikation des DATA-Eintrags und der Prüfsumme bei TCP/IP).

Datenvertraulichkeitsverlust während des Transports: Dem Angreifer gelingt es, die versendeten Daten abzuhören bzw. mitzuschneiden.

Datenintegritätsverlust auf Rechner: Dem Angreifer gelingt es, Daten, die auf einem Rechner gespeichert sind, zu modifizieren.

Datenvertraulichkeitsverlust auf Rechner: Dem Angreifer gelingt es, lesenden Zugriff auf die auf einem Rechner gespeicherten Daten zu erhalten.

Datenechtheitsverlust: Hierbei wird die Quelle der Daten verfälscht. Dem Angreifer gelingt es beispielsweise, den Absender einer E-Mail zu verfälschen (bei E-Mail spoofing).

Denial-of-Service: Dem Angreifer gelingt es, Dienste (teilweise) lahm zu legen, so daß sie für eine gewisse Zeit nicht zur Verfügung stehen.

[...]

Ende der Leseprobe aus 15 Seiten

Details

Titel
Intrusion Detection Systems (IDS)
Hochschule
Hochschule Harz Hochschule für angewandte Wissenschaften  (Fachbereich Automatisierung und Informatik)
Veranstaltung
Sicherheit in Rechnernetzen
Note
1.7
Autor
Jahr
2004
Seiten
15
Katalognummer
V84505
ISBN (eBook)
9783638043113
Dateigröße
527 KB
Sprache
Deutsch
Schlagworte
Intrusion, Detection, Systems, Sicherheit, IDS, Rechnernetze
Arbeit zitieren
Dipl.-Inf. (FH) Florian Klemenz (Autor), 2004, Intrusion Detection Systems (IDS), München, GRIN Verlag, https://www.grin.com/document/84505

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Intrusion Detection Systems (IDS)


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden