Intrusion Detection - Universität Salzburg

Intrusion Detection
Einführung Kryptographie und IT-Sicherheit
Intrusion Detection
Alexander Auer
Dominik Fakner
Richard Hentschel
Universität Salzburg
2012
1 / 40
Inhalt
Inhaltsverzeichnis
1
Was ist Intrusion Detection?
2
Charakteristik eines guten IDS
3
Arten
4
Funktionsweise
5
Honeypots
6
Aufbau eines IDS
7
Positionierung eines IDS
8
Attacken
9
Probleme
10
Effektivität
11
IDS Software
12
Snort
2 / 40
Was ist Intrusion Detection?
Was ist Intrusion Detection?
⇀ Einbruchserkennung | Alarmanlage
⇀ Hard- oder Softwaresysteme
⇀ bei einem Angriff löst das IDS Alarm aus 99K Gegenmaßnahmen
⇀ liefert genaue Informationen über den Angriff
ALARM
3 / 40
Was ist Intrusion Detection?
Wozu braucht man IDS?
⇀ Bedarf an Sicherheit
⇀ Schaden begrenzen und Gegenmaßnahmen einleiten
⇀ vielfältige Art und Weise der Bedrohung
Ziele
⇀ bei Angriff Benachrichtigung oder Gegenmaßnahme
⇀ juristische Verwendbarkeit der Erkenntnisse
⇀ Erkennung von Datenverluste
⇀ Schutz vor zukünftigen Angriffen
4 / 40
Charakteristik eines guten IDS
Charakteristik eines guten IDS
Bewertungsgrundlage für IDS:
⇀ Erkennung von Abweichungen bzgl. des normalen Systemverhaltens
| setzt die Resistenz gegen Täuschungsversuche des IDS voraus
⇀ Kontinuität und Resistenz
| System läuft verlässlich und ist resistent gegen Angriffe
⇀ Fehlertoleranz und Flexibilität
| Das System soll sich an Systemumgebung anpassen
⇀ Ressourcenverbrauch und Skalierbarkeit
| System sollte zukunftssicher sein
5 / 40
Arten
Host-Basierte IDS
Host-Basierte IDS | HIDS
⇀ HIDS wird auf jedem System installiert
⇀ HIDS muss das Betriebssystem unterstützen
⇀ bezieht Informationen aus Log-Files, Kernel-Daten und Systemdaten
⇀ sobald in den Überwachungsdaten Angriff erkannt wird 99K Alarm
Vorteile:
⊕ spezifische Aussagen über den Angriff
⊕ kann das System umfassend überwachen
Nachteile:
⊖ kann durch DOS-Angriff ausgehebelt werden
⊖ wenn System außer Gefecht 99K IDS lahmgelegt
6 / 40
Arten
Host-Basierte IDS
Host-Basierte IDS | HIDS
Endsystem mit
HIDS
Endsystem mit
HIDS
Endsystem mit
HIDS
Ergeignisse der einzelnen IDS
Ethernet
zentraler
Knoten
7 / 40
Arten
Netzwerk-Basierte IDS
Netzwerk-Basierte IDS | NIDS
⇀ NIDS versuchen alle Pakete aufzuzeichnen und zu analysieren
⇀ verdächtige Aktivitäten werden gemeldet
⇀ versuchen Angriffsmuster aus dem Datenverkehr zu erkennen
⇀ Datenverlust wenn Datenmenge größer als Bandbreite vom Sensor
Vorteile:
⊕ Ein Sensor kann ganzes Netzwerk überwachen
⊕ durch Ausschalten eines Systems ist Überwachung nicht gefährdet
Nachteile:
⊖ keine lückenlose Überwachung bei Überschreitung der Bandbreite
⊖ keine lückenlose Überwachung bei geswitchten Netzwerken
8 / 40
Arten
Netzwerk-Basierte IDS
Netzwerk-Basierte IDS | NIDS
Endsystem
Endsystem
Endsystem
Vom NIDS beobachteter Verkehr
Ethernet
NIDS
Router
Internet
Angreifer
9 / 40
Arten
Hybride IDS
Hybride IDS
⇀ Hybride IDS verbinden beide Prinzipien
⇀ gleichen Nachteile beider Systeme aus
⇀ gewährleisten höhere Abdeckung bei Erkennung von Angriffen
⇀ viele eingesetzte IDS verfügen über hybride Funktionsweisen
Ein hybrides IDS besteht aus 3 Komponenten:
⊗ Management
⊗ Hostbasierte Sensoren | HIDS
⊗ Netzbasierte Sensoren | NIDS
10 / 40
Arten
Hybride IDS
Hybride IDS
Endsystem mit
HIDS
Endsystem mit
HIDS
Endsystem mit
HIDS
Ethernet
zentraler
HIDS Knoten
NIDS
Router
Management
Internet
Angreifer
11 / 40
Funktionsweise
Funktionsweise
Reaktionen auf
Ereignisse
Datenvisualisierung
Gegenmaßnahmen
Ereignisse
interpretieren
Speicherung von Ereignissen
Datenanalyse
Speicherung
Datensammlung
Ereignisdaten sammeln
12 / 40
Funktionsweise
Datensammlung
Reaktionen auf
Ereignisse
Datenvisualisierung
Gegenmaßnahmen
Ereignisse
interpretieren
Speicherung von Ereignissen
Datenanalyse
Speicherung
Datensammlung
Ereignisdaten sammeln
13 / 40
Funktionsweise
Datensammlung
Datensammlung
⇀ Daten sammeln
⇀ Daten werden in Form von Signaturen abgelegt
⇀ Wichtige Daten:
⊗ CPU
⊗ Speicher-Auslastung
⊗ Netzwerkverbindungen
⊗ Log-Files
⇀ Vertrauenswürdigkeit der Datenquelle ist wichtig
⇀ mitgehörte oder manipulierte Daten sind nutzlos
14 / 40
Funktionsweise
Datensammlung
Datenanalyse
Reaktionen auf
Ereignisse
Datenvisualisierung
Gegenmaßnahmen
Ereignisse
interpretieren
Speicherung von Ereignissen
Datenanalyse
Speicherung
Datensammlung
Ereignisdaten sammeln
15 / 40
Funktionsweise
Datenanalyse
Datenanalyse
⇀ Es gibt 2 grundlegende Techniken:
⊗ Anomalieerkennung
⊗ Missbrauchserkennung
⇀ Missbrauchserkennung arbeitet mit vordefinierten Mustern
⇀ Anomalieerkennung stellt Abweichungen zum Normalbetrieb fest
⇀ 2 Techniken bei Anomalieerkennung :
⊗ Erste basiert auf künstlicher Intelligenz
⊗ Zweite auf einem logischen Ansatz
⇀ Missbrauchserkennungssystem 99K Vergleich Virenscanner
⊗ Angriffsmuster in Form von Signaturen
16 / 40
Funktionsweise
Datenanalyse
Datenvisualisierung und Gegenmaßnahmen
Reaktionen auf
Ereignisse
Datenvisualisierung
Gegenmaßnahmen
Ereignisse
interpretieren
Speicherung von Ereignissen
Datenanalyse
Speicherung
Datensammlung
Ereignisdaten sammeln
17 / 40
Funktionsweise
Datenvisualisierung und Gegenmaßnahmen
Datenvisualisierung und Gegenmaßnahmen
⇀ Darstellung der Informationen z.B. mit statistischen Grafiken
⇀ Grafiken werden an Administrator versendet
⇀ 2 Gruppen von ID anhand ihrer Reaktionsschnelligkeit:
⊗ reaktionäre ID
⊗ live ID
⇀ Live ID kann:
⊗ automatisch sein | leiten selbst Gegenmaßnahme ein
⊗ halbautomatisch sein | interagieren mit Administrator
⊗ manuell sein | geben dem Administrator Vorschläge
⇀ Fokus liegt auf Live-Systemen, sie haben jedoch Nachteile
⇀ Gegenmaßnahmen können aktiv oder passiv sein
18 / 40
Honeypots
Honeypots
⇀ Einrichtungen, die Angreifer von wichtigen Daten ablenken soll
⇀ täuschen interessante Daten vor
⇀ es werden mehrere Honeypots im Netzwerk installiert
⇀ Honeypots bieten keine benötigten Dienste und sind unbenutzt
⇀ wenn Angreifer Dienste von Honeypots in Anspruch nimmt wird er
vom Honeypot protokolliert
Endsystem
Endsystem
Honeypot
Honeypot
Endsystem
19 / 40
Aufbau eines IDS
Aufbau eines IDS
⇀ Ereigniskomponente
Daten aus Umgebung werden aufgenommen und an
Analysekomponente geschickt
⇀ Sicherungskomponente
für Protokollierung der Erkenntnisse zuständig
⇀ Analysekomponente
Daten werden analysiert, bei Angriff wird Alarm ausgelöst
⇀ Monitor und Aktionskomponente
Ergebnisse der Analyse werden ausgearbeitet
⇀ Speichermechanismen
Informationen aus Ereignisquelle und Analyse
werden schnell und zuverlässig gespeichert
20 / 40
Positionierung eines IDS
Positionierung eines IDS
3
Interne Netzwerke
Router
Internet
1
2
Firewall
4
DMZ (Internet Server)
Firewall
Router
Telefonnetz
Risikobehaftetes Netzwerk
= Standort eines IDS
Dial−In
21 / 40
Attacken
Anzeichen
Anzeichen
Systembezogene Anzeichen
⇀ ungewöhnliche Login-Aktivitäten
| z.B. nächtliches Anmelden, neue ungewöhnliche Benutzerkonten
⇀ ungewöhnliche Systemprozesse
⇀ abnormal hohe CPU-/Speicherauslastung
⇀ ungewöhnliches Systemverhalten
| z.B. Systemabstürze, Neustarts
⇀ Zeitlücken bzw. auffallende Zeitangaben im Protokoll
| Logfiles
22 / 40
Attacken
Anzeichen
Anzeichen
Anzeichen im Dateisystem
⇀ veränderte Zugriffsrechte bzw. Gruppenzugehörigkeit
| Logfiles
⇀ veränderte Dateigrößen oder Dateiinhalte
| Systemsoftware, Konfigurationsdateien, Logfiles
⇀ neue, ungewöhnlich Dateien oder Programme
⇀ neue SUID-, SGID-Dateien
⇀ gelöschte Dateien
23 / 40
Attacken
Anzeichen
Anzeichen
Netzwerkspezifische Anzeichen
⇀ Verbindungen von IP-Adressen zu ungewöhnlichen Zeiten
| z.B. nachts
⇀ erhöhter Netzwerkverkehr
| im Extremfall DoS
⇀ Anfragen auf unbenutzte/geschlossene Ports
⇀ Anfragen die auf einen Port-Scan hindeuten
24 / 40
Attacken
IDS als Angriffspunkt
IDS als Angriffspunkt
Insertion
⇀ IDS akzeptiert Pakete, die Endsystem nicht akzeptieren würde
⇀ Angreifer schickt Pakete, die nur vom IDS angenommen werden
IDS
Endsystem
A
T
sieht "ATTACK"
T
A
C
K
A
T
X
sieht "ATXTACK"
T
A
C
K
Akzeptiert vom IDS
Verworfen vom
Endsystem
Angreifer
T
X
A
sendet Datenstrom
C
A
T
K
25 / 40
Attacken
IDS als Angriffspunkt
IDS als Angriffspunkt
Evasion
⇀ arbeitet komplementär zur Insertion-Technik
⇀ IDS lehnt Pakete ab, die das Endsystem akzeptiert
⇀ IDS sieht nicht den gleichen Datenstrom wie Zielsystem
Endsystem
A
T
IDS
sieht "ATTACK"
T
A
C
K
A
Akzeptiert
vom Endsystem
T
sieht "ATACK"
A
C
K
Verworfen vom
IDS
Angreifer
T
A
sendet Datenstrom
C
A
T
K
26 / 40
Probleme
Probleme
⇀ Verschlüsselungen
⊖ ohne Leserechte keine Angriffserkennung
⊖ bei verschlüsselten Dateisystemen keine Informationen
über Dateien und Inhalt
⊖ System erkennt nur ob und wann es Änderungen gab
⊖ hohes Risiko wenn IDS den Schlüssel für die Dateien kennt
⇀ Durchsatzrate der Netzwerke
⊖ eingeschränkte Analyse bei Netzwerk mit hohem Verkehr
⊖ bei eingeschränkter Analyse werden nicht alle Angriffe
identifiziert
27 / 40
Effektivität
Effektivität
⇀ Hauptsächlich werden missbrauchserkennende Systeme eingesetzt
⊗ nur bekannte Angriffe können identifiziert werden
⊗ Effektivität hängt von Signaturdatenbank ab
⇀ Anomaliebasierte Systeme sind wegen hoher, falsch positiver
Erkennungsrate kaum in Einsatz
⇀ Effektivität ist von Qualität und Aussagekraft der Daten abhängig
⇀ Auslagerung des IDS auf mehrere Knotenpunkte für intensive Analyse
28 / 40
IDS Software
IDS Software
⇀ Snort | freies NIDS für Unix/Linux, Mac OS X und Windows
⇀ Samhain | HIDS, läuft auf vielen Plattformen, kryptographische
Signaturen decken Verfälschungen auf
⇀ Prelude | hybrides IDS, integriert u.a. Snort, Samhain
⇀ Hogwash | arbeitet auf Layer 2 99K bindet sich mit keiner IP,
schwerer angreifbar, keine aufwendige Konfiguration
⇀ Xray IDS | HIDS, auf Windows ausgerichtet
29 / 40
Snort
Geschichte
Snort
Geschichte
⇀ 1998 in einer UNIX-Version veröffentlicht
⇀ GNU GPL- und kommerzielle Version
⇀ 2009 - Aufnahme in die Open Source Hall of Fame
⇀ 2003 - Möglichkeiten zu Erzeugung von Pufferüberläufen gefunden
| Absturz des Programms
| Verfälschung von Daten
| Beschädigung von Datenstrukturen 99K Manipulieren der
Rücksprungadresse
30 / 40
Snort
Geschichte
Snort
⇀ freies Netzwerk IDS und NIPS
⇀ zum Protokollieren von IP-Paketen und Analyse von Datenverkehr
⇀ liest direkt an der Netzwerkhardware den Datenverkehr mit
⇀ Inhalt des Stroms wird mit bekannten Angriffsmustern (Signaturen)
verglichen
⇀ Signaturen werden bei Snort in ’Rules’ festgehalten
⇀ 2 Unterscheidungen:
⊗ Snort als Netzwerk IDS
⊗ Snort als Network Intrusion Prevention System
31 / 40
Snort
Snort als NIDS
Snort als NIDS
⇀ Snort führt Protokollanalysen durch
⇀ sucht und vergleicht Inhalte um passiv verschiedene Formen
eines Agriffs zu erkennen
⇀ Möglichkeiten für Angriffe sind:
⊗ Exploits
⊗ Internet-Würmer
⇀ bei erkanntem Angriff wird Alarm ausgelöst
⇀ Netzwerkpakete werden zur späteren Analyse protokolliert
32 / 40
Snort
Snort als NIPS
Snort als NIPS
⇀ Snort führt Protokollanalysen durch
⇀ sucht und vergleicht Inhalte um aktiv Netzwerkverkehr zu
blockieren
⇀ mit Patches ist die Nutzung von ClamAV zum Virenscan im
Datenstrom möglich
⇀ zusätzlich kann der Datenstrom mittels SPADE in Layer 3 und 4 auf
Anomalien gescannt werden
33 / 40
Snort
Netzwerkanalysewerkzeug
Netzwerkanalysewerkzeug
⇀ Snort kann auch sehr gut bei der Netzwerkanalyse helfen
⇀ man kann es als Sniffer benutzen, ähnlich wie tcpdump
| Netzwerkverkehr kann gefiltert ausgegeben werden
⇀ Snort hat mehr Optionen als tcpdump
| kann tcpdump komplett ersetzen
⇀ kann Netzwerk Dialog zwischen Server und Client mitschneiden
| Kommunikationsprotokoll zur späteren Analyse
34 / 40
Snort
Screenshots
35 / 40
Snort
Screenshots
36 / 40
Snort
Screenshots
37 / 40
Snort
Screenshots
38 / 40
Snort
Screenshots
39 / 40
Quellenverzeichnis
Quellenverzeichnis
Literatur
⇀ Intrusion Detection Systems - Arne Brutschy
Universität Leipzig
⇀ Intrusion Detection Systeme - informatikserver.at
Diagramme
⇀ Intrusion Detection Systems - Arne Brutschy
Universität Leipzig
40 / 40