Intrusion Detection System: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(141 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Intrusion Detection System ==
'''Intrusion Detection System''' - System zur Erkennung von Angriffen gegen [[Computersystem]]e oder [[Rechnernetz]]e
Ein '''Intrusion Detection System''' ({{enS|''intrusion''}} „Eindringen“, '''IDS''') bzw. '''Angriffserkennungssystem''' ist ein System zur Erkennung von Angriffen, die gegen ein [[Computersystem]] oder [[Rechnernetz]] gerichtet sind.
* Das IDS kann eine [[Firewall]] ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken und Computersystemen erhöhen.
* Erkannte Angriffe werden meistens in Log-Dateien gesammelt und Benutzern oder Administratoren mitgeteilt; hier grenzt sich der Begriff von [[Intrusion Prevention System]] ({{enS|''prevention''}} „Verhindern“, '''IPS''') ab, welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert.


=== Architekturen ===
== Beschreibung ==
Man unterscheidet drei Arten von IDS:
''Intrusion Detection System'' dinen der Erkennung von Angriffen gegen [[Computersystem]]e oder [[Rechnernetz]]e
* [[Host (Informationstechnik)|Host]]-basierte IDS (HIDS)
* [[Netzwerk]]-basierte IDS (NIDS)
* Hybride IDS


==== Host-basierte IDS ====
=== Motivation ===
; HIDS stellen die älteste Art von Angriffserkennungssystemen dar.
; Sicherheit von Netzwerken und Computersystemen erhöhen
* Sie wurden ursprünglich vom [[Militär]] entwickelt und sollten die Sicherheit von [[Großrechner]]n garantieren.
* Ein HIDS muss auf jedem zu überwachenden System installiert werden.
* Der Begriff „[[Host (Informationstechnik)|Host]]“ ist im Sinne der Informationstechnik zu verstehen, und nicht etwa als Synonym eines Großrechners.


; Ein HIDS muss das [[Betriebssystem]] unterstützen.
; Das Internet ist voll von böswilligen Akteuren
* Es erhält seine Informationen aus Log-Dateien, [[Kernel (Betriebssystem)|Kernel]]-Daten und anderen Systemdaten wie etwa der [[Windows-Registrierungsdatenbank|Registrierungsdatenbank]].
* Machen sich unsichere Netzwerke und Geräte zunutze
* Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt.
 
* Eine Unterart der HIDS sind sogenannte „System Integrity Verifiers“, die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.
* Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
* Phishing-Angriffe, in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
 
* Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
 
* Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
 
* Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
 
; Viele Router bieten Intrusion Detection als zusätzliche Sicherheitsfunktion
* Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
* Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
* Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
* Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).
 
=== Detection ===
* Intrusion = Eindringen
* Detection = Bemerken
 
==== Wo detektieren? ====
* [[Firewall]]
* Auf zu überwachenden System
 
==== Angriffe aufzeichnen ====
; Angriffe werden in Log-Dateien gesammelt
* Benutzern oder Administratoren mitgeteilt
; hier grenzt sich der Begriff von [[Intrusion Prevention System]] („Verhindern“, '''IPS''') ab
* welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert
 
==== Nachteile ====
* Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
* Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerk/Hardware arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
* Im Gegensatz zu [[Intrusion Prevention System|Intrusion-Prevention-Systemen]] werden Angriffe nur erkannt, aber nicht verhindert.
 
; Intrusion-Prevention-Systeme (IPS)
* [[Intrusion Detection System|Intrusion-Detection-System]]e'' (kurz: '''IDS''') bezeichnet
* die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
** die einen entdeckten Angriff abwehren können.
 
=== Praktischer Einsatz ===
; Herausforderungen
* Falsche Warnungen ([[Falsch positiv]])
* Angriffe werden nicht entdecken ([[Falsch negativ]])
 
== Arbeitsweise ==
 
; Verfahren zur Einbruchserkennung
{| class="wikitable sortable options"
|-
! Methode !! Beschreibung
|-
| Mustererkennung || Vergleich mit bekannten Angriffssignaturen
|-
| Heuristik || Statistische Analyse
|}
 
=== Mustererkennung ===
* Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
* Nachteil: Nur bekannte Angriffe werden erkannt
 
; Der Prozess ist in drei Schritte unterteilt
# Wahrnehmung
#* eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
# Mustererkennung
#* überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
# Intrusion Alert
#* Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
#: Dieser kann vielfältiger Natur sein.
#* Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.
 
[[Datei:ids funk.gif]]
 
; Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
* Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
 
;„Intrusion Detection and Prevention System“ (auch kurz IDS, IPS oder IDPS)
Der Hauptunterschied zwischen IDS und IPS ist der Schutz
*  während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
* Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
 
; Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
* Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
* Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices
 
=== Heuristik ===
Andere IDS verwenden [[Heuristik|heuristische]] Methoden, um auch bisher unbekannte Angriffe zu erkennen.
 
; Ziele
Nicht nur bereits bekannte Angriffe erkennen, sondern auch
* ähnliche Angriffe
* Abweichen von einem Normalzustand
 
; In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung
* Verhalten besser voraussehbar
 
=== Intrusion Prevention ===
; Anstatt nur einen Alarm auszulösen
ist ein '''[[Intrusion Prevention System]]''' (kurz '''IPS''') in der Lage
* Datenpakete zu verwerfen
* die Verbindung zu unterbrechen
* übertragenen Daten zu ändern
 
Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.
 
'''IPS/IDS''' neuerer Bauart arbeiten oft mit einer Kombination aus ''[[Stateful inspection]]'', ''[[Pattern Matching]]'' und Anomalieerkennung.
* Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem [[RFC 791|Internet Protocol (RFC 791]]), erkennen und verhindern.
 
Ferner werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich
* wie beispielsweise der Schutz von [[Telefonanlage]]n durch intelligente, signaturbasierte Intrusion Detection
 
== Architekturen ==
=== Host-basiert===
; HIDS = Host-basiertes Intrusion Detection System
; Älteste Art von Angriffserkennungssystemen
* ursprünglich vom [[Militär]] entwickelt
* Sicherheit von [[Großrechner]]n
 
; Host-basierte IDS werden auf zu überwachenden Systemen installiert
* Ein HIDS muss das [[Betriebssystem]] unterstützen
 
; Es erhält seine Informationen aus  
* Log-Dateien
* [[Kernel (Betriebssystem)|Kernel]]-Daten
* anderen Systemdaten wie etwa der [[Windows-Registrierungsdatenbank|Registrierungsdatenbank]]
 
; Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt
 
; System Integrity Verifiers
* Unterart der HIDS
* Mithilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden


; Vorteile
; Vorteile
Zeile 29: Zeile 149:
* Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.
* Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.


==== Netzwerk-basierte IDS ====
=== Netzwerk-basiert ===
NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden.
; Netzwerk-basiertes Intrusion Detection System (NIDS)
* versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden
* Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr [[Angriffsmuster]] zu erkennen.
* Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr [[Angriffsmuster]] zu erkennen.
* Da heutzutage überwiegend das [[Internet Protocol|Internetprotokoll]] eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
* Da heutzutage überwiegend das [[Internet Protocol|Internetprotokoll]] eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
Zeile 37: Zeile 158:
* Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
* Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.


Vorteile:
; Vorteile
* Ein Sensor kann ein ganzes Netz überwachen.
* Ein Sensor kann ein ganzes Netz überwachen.
* Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
* Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.


Nachteile:
; Nachteile
* Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
* Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
* Keine lückenlose Überwachung in [[Switch (Computertechnik)|geswitchten]] Netzwerken (nur durch Mirror-Port auf einem Switch).
* Keine lückenlose Überwachung in [[Switch (Computertechnik)|geswitchten]] Netzwerken (nur durch Mirror-Port auf einem Switch).
* Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)
* Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)


==== Hybride IDS ====
=== Hybrid ===
Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können.
; Hybride IDS verbinden beide Prinzipien
* Man spricht in diesem Zusammenhang von netz- und hostbasierten Sensortypen, die an ein zentrales Managementsystem angeschlossen sind.
* höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen
* Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise.
; Netz- und hostbasierten Sensortypen
* , die an ein zentrales Managementsystem angeschlossen sind
* Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise


Ein hybrides IDS besteht zumeist aus folgenden Komponenten:
; Komponenten
* Management
* Management
* Hostbasierte Sensoren (HIDS)
* Hostbasierte Sensoren (HIDS)
* Netzbasierte Sensoren (NIDS)
* Netzbasierte Sensoren (NIDS)


=== Funktionsweise ===
=== Intrusion Prevention ===
Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die so genannte statistische Analyse.
==== Funktion ====
* Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben.
; Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen
* Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.
 
Der Prozess ist in drei Schritte unterteilt: Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
* Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
* Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
* Dieser kann vielfältiger Natur sein.
* Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.
 
[[Datei:ids funk.gif]]
 
Andere IDS verwenden [[Heuristik|heuristische]] Methoden, um auch bisher unbekannte Angriffe zu erkennen.
* Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.
 
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung.
* Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist.
* Ein Hauptproblem beim praktischen Einsatz von IDS ist, dass sie entweder viele falsche Warnungen ([[falsch positiv]]) generieren oder einige Angriffe nicht entdecken ([[Falsch negativ]]).
 
Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein '''[[Intrusion Prevention System]]''' (kurz '''IPS''') in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern.
* Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.
 
'''IPS/IDS''' neuerer Bauart arbeiten oft mit einer Kombination aus ''[[Stateful inspection]]'', ''[[Pattern Matching]]'' und Anomalieerkennung.
* Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem [[RFC 791|Internet Protocol (RFC 791]]), erkennen und verhindern.
 
Darüber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich, wie beispielsweise der Schutz von [[Telefonanlage]]n durch intelligente, signaturbasierte Intrusion Detection.
 
=== Nachteile ===
* Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird.
* Intrusion-Detection- bzw.
* Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
* Im Gegensatz zu [[Intrusion Prevention System|Intrusion-Prevention-Systemen]] werden Angriffe nur erkannt, aber nicht verhindert.
 
=== Honeypot ===
{{Hauptartikel|Honeypot}}
Ein [[Honeypot]] (Köder) ist ein [[Computer]] im Netzwerk, der [[Hacker]] verleiten soll, genau diesen anzugreifen.
* Auf diesem Computer befinden sich weder wichtige Daten noch Dienste, die regulär genutzt werden.
* Er dient lediglich dazu, die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken, indem bewusst Sicherheitslöcher geöffnet bleiben.
* Werden Aktivitäten auf diesem Computer wahrgenommen, handelt es sich höchstwahrscheinlich um einen Angriff.
* Außerdem kann mit Hilfe eines Honeypots mehr über die Vorgehensweise des Angreifers erfahren werden.
* Aus den beobachteten Angriffen können dann Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden.
* Der Honeypot ist damit ein weiterer Bestandteil des IDS.
* Das Konzept des Honeypots hat allerdings einen Nachteil: Ein Honeypot kann als Eintrittspunkt dienen, um weitere Angriffe auf das Netzwerk durchzuführen.
 
== Intrusion Prevention System ==
Als '''Intrusion-Prevention-Systeme''' (kurz: '''IPS''') werden ''[[Intrusion Detection System|Intrusion-Detection-System]]e'' (kurz: '''IDS''') bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff abwehren können.
 
=== Funktion ===
Intrusion-Detection- und Intrusion-Prevention-Systeme sind Werkzeuge, die den Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen.
* Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
* Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
* Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
* Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
Zeile 114: Zeile 190:
* Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
* Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
* Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.
* Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.}}</ref>
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw.&nbsp;verhindern.}}</ref>
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw.&nbsp;verhindern.
* Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem ''Intrusion-Prevention-System'' gesprochen werden kann.
* Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem ''Intrusion-Prevention-System'' gesprochen werden kann.
* Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 [[Mikrosekunde|Mikrosekunden]]<ref>{{Internetquelle|url=https://www.trendmicro.de/cloud-content/us/pdfs/business/datasheets/ds_tps_440t.pdf|titel=Datasheet Tippingpoint 440T|autor=|hrsg=[[Trend Micro]]|werk=|datum=|sprache=|zugriff=2017-04-12|format=PDF; 160&nbsp;KB}}</ref>.
* Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 [[Mikrosekunde|Mikrosekunden]]<ref>{{Internetquelle|url=https://www.trendmicro.de/cloud-content/us/pdfs/business/datasheets/ds_tps_440t.pdf|titel=Datasheet Tippingpoint 440T|autor=|hrsg=[[Trend Micro]]|werk=|datum=|sprache=|zugriff=2017-04-12|format=PDF; 160&nbsp;KB}}</ref>.
* Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
* Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").


Folgende Charakteristika werden häufig als Attribute eines ''Network-based IPS'' hervorgehoben:
; Folgende Charakteristika werden häufig als Attribute eines ''Network-based IPS'' hervorgehoben:
* das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
* das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
* das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
* das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
* Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
* Somit kann indirekt der Datenstrom unterbrochen oder verändert werden


Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS:
; Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
* Das '''HIPS''' (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
* Das '''HIPS''' (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
* Das '''NIPS''' (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
* Das '''NIPS''' (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
Zeile 132: Zeile 208:
** Das '''RBIPS''' (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.
** Das '''RBIPS''' (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.


Beispiele für Open-Source-Implementationen von IPS sind [[Snort]], Untangle NIPS oder auch Lokkit.
==== Open-Source-Implementationen ====
* [[Snort]]
* Untangle NIPS
* Lokkit


=== Honeypot ===
; Ein [[Honeypot]] (Köder) ist ein [[Computer]] im Netzwerk, der [[Hacker]] verleiten soll, genau diesen anzugreifen
<noinclude>
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
* [[Fail2ban]]
# [[Fail2ban]]
* [[DenyHosts]]
# [[DenyHosts]]
* [[Open Source Tripwire]]
# [[Open Source Tripwire]]
 
{{Special:PrefixIndex/ntrusion Detection System}}
 
==== Sicherheit ====
==== Dokumentation ====
===== RFC =====
===== Man-Page =====
===== Info-Pages =====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
===== Weblinks =====


[[Kategorie:Intrusion Detection/Prevention]]
[[Kategorie: Intrusion Detection]]
[[Kategorie:Sicherheit]]
</noinclude>

Aktuelle Version vom 6. November 2024, 12:26 Uhr

Intrusion Detection System - System zur Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Beschreibung

Intrusion Detection System dinen der Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Motivation

Sicherheit von Netzwerken und Computersystemen erhöhen
Das Internet ist voll von böswilligen Akteuren
  • Machen sich unsichere Netzwerke und Geräte zunutze
  • Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
  • Phishing-Angriffe, in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
  • Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
  • Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
  • Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
Viele Router bieten Intrusion Detection als zusätzliche Sicherheitsfunktion
  • Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
  • Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
  • Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
  • Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).

Detection

  • Intrusion = Eindringen
  • Detection = Bemerken

Wo detektieren?

Angriffe aufzeichnen

Angriffe werden in Log-Dateien gesammelt
  • Benutzern oder Administratoren mitgeteilt
hier grenzt sich der Begriff von Intrusion Prevention System („Verhindern“, IPS) ab
  • welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert

Nachteile

  • Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
  • Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerk/Hardware arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
  • Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
Intrusion-Prevention-Systeme (IPS)
  • Intrusion-Detection-Systeme (kurz: IDS) bezeichnet
  • die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
    • die einen entdeckten Angriff abwehren können.

Praktischer Einsatz

Herausforderungen

Arbeitsweise

Verfahren zur Einbruchserkennung
Methode Beschreibung
Mustererkennung Vergleich mit bekannten Angriffssignaturen
Heuristik Statistische Analyse

Mustererkennung

  • Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
  • Nachteil: Nur bekannte Angriffe werden erkannt
Der Prozess ist in drei Schritte unterteilt
  1. Wahrnehmung
    • eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
  2. Mustererkennung
    • überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
  3. Intrusion Alert
    • Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
    Dieser kann vielfältiger Natur sein.
    • Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Datei:Ids funk.gif

Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
  • Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
„Intrusion Detection and Prevention System“ (auch kurz IDS, IPS oder IDPS)

Der Hauptunterschied zwischen IDS und IPS ist der Schutz

  • während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
  • Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
  • Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
  • Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices

Heuristik

Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.

Ziele

Nicht nur bereits bekannte Angriffe erkennen, sondern auch

  • ähnliche Angriffe
  • Abweichen von einem Normalzustand
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung
  • Verhalten besser voraussehbar

Intrusion Prevention

Anstatt nur einen Alarm auszulösen

ist ein Intrusion Prevention System (kurz IPS) in der Lage

  • Datenpakete zu verwerfen
  • die Verbindung zu unterbrechen
  • übertragenen Daten zu ändern

Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.

  • Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.

Ferner werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich

  • wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection

Architekturen

Host-basiert

HIDS = Host-basiertes Intrusion Detection System
Älteste Art von Angriffserkennungssystemen
Host-basierte IDS werden auf zu überwachenden Systemen installiert
Es erhält seine Informationen aus
Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt
System Integrity Verifiers
  • Unterart der HIDS
  • Mithilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden
Vorteile
  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.
Nachteile
  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basiert

Netzwerk-basiertes Intrusion Detection System (NIDS)
  • versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden
  • Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen.
  • Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
  • Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.
  • Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen.
  • Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
Vorteile
  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
Nachteile
  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
  • Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybrid

Hybride IDS verbinden beide Prinzipien
  • höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen
Netz- und hostbasierten Sensortypen
  • , die an ein zentrales Managementsystem angeschlossen sind
  • Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise
Komponenten
  • Management
  • Hostbasierte Sensoren (HIDS)
  • Netzbasierte Sensoren (NIDS)

Intrusion Prevention

Funktion

Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen
  • Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
  • Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
  • Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
  • Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.[1]
  • Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
  • Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.
  • Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 Mikrosekunden[2].
  • Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben
  • das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
  • das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
  • Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
  • Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
  • Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
    • Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
    • Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
    • Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.

Open-Source-Implementationen

  • Snort
  • Untangle NIPS
  • Lokkit

Honeypot

Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen


Anhang

Siehe auch

  1. Fail2ban
  2. DenyHosts
  3. Open Source Tripwire


Sicherheit

Dokumentation

RFC
Man-Page
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks