Intrusion Detection System: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 32: Zeile 32:
* viele falsche Warnungen ([[falsch positiv]]) generieren
* viele falsche Warnungen ([[falsch positiv]]) generieren
* Angriffe werden nicht entdecken ([[Falsch negativ]])
* Angriffe werden nicht entdecken ([[Falsch negativ]])
== Architekturen ==
=== Host-basiert===
; HIDS = Host-basiertes Intrusion Detection System
; Älteste Art von Angriffserkennungssystemen
* ursprünglich vom [[Militär]] entwickelt
* Sicherheit von [[Großrechner]]n
; Host-basierte IDS werden auf zu überwachenden Systemen installiert
* Ein HIDS muss das [[Betriebssystem]] unterstützen
; Es erhält seine Informationen aus
* Log-Dateien
* [[Kernel (Betriebssystem)|Kernel]]-Daten
* anderen Systemdaten wie etwa der [[Windows-Registrierungsdatenbank|Registrierungsdatenbank]]
; Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt
; System Integrity Verifiers
* Unterart der HIDS
* Mithilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden
; Vorteile
* Sehr spezifische Aussagen über den Angriff.
* Kann ein System umfassend überwachen.
; Nachteile
* Kann durch einen [[Denial of Service|DoS]]-Angriff ausgehebelt werden.
* Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.
=== Netzwerk-basiert ===
; NIDS = Netzwerk-basiertes Intrusion Detection System
* versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden
* Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr [[Angriffsmuster]] zu erkennen.
* Da heutzutage überwiegend das [[Internet Protocol|Internetprotokoll]] eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
* Mit nur einem [[Sensor]] kann ein ganzes [[Segment (Netzwerk)|Netzsegment]] überwacht werden.
* Jedoch kann die Datenmenge eines modernen 1-GBit-[[Local Area Network|LANs]] die [[Bandbreite]] des Sensors übersteigen.
* Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
; Vorteile
* Ein Sensor kann ein ganzes Netz überwachen.
* Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
; Nachteile
* Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
* Keine lückenlose Überwachung in [[Switch (Computertechnik)|geswitchten]] Netzwerken (nur durch Mirror-Port auf einem Switch).
* Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)
=== Hybrid ===
; Hybride IDS verbinden beide Prinzipien
* höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen
; Netz- und hostbasierten Sensortypen
* , die an ein zentrales Managementsystem angeschlossen sind
* Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise
; Komponenten
* Management
* Hostbasierte Sensoren (HIDS)
* Netzbasierte Sensoren (NIDS)
=== Intrusion Prevention System ===
==== Funktion ====
; Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen
* Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
* Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
* Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
* Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.<ref>{{Internetquelle|url=https://www.oeffentliche-it.de/trendsonar|titel=Das ÖFIT-Trendsonar der IT-Sicherheit|titelerg=Intrusion Detection und Intrusion Prevention - Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS)|autor=Fraunhofer FOKUS Kompetenzzentrum Öffentliche IT|hrsg=|werk=|datum=April 2016|sprache=|zugriff=26.Mai 2016|archiv-datum=2016-07-06|archiv-url=https://web.archive.org/web/20160706220335/https://www.oeffentliche-it.de/trendsonar|zitat=Intrusion Detection und Intrusion Prevention Systeme sind Werkzeuge, die IT-Systeme oder Netze aktiv überwachen.
* Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten (...).
* Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
* Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
* Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.}}</ref>
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
* Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem ''Intrusion-Prevention-System'' gesprochen werden kann.
* Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 [[Mikrosekunde|Mikrosekunden]]<ref>{{Internetquelle|url=https://www.trendmicro.de/cloud-content/us/pdfs/business/datasheets/ds_tps_440t.pdf|titel=Datasheet Tippingpoint 440T|autor=|hrsg=[[Trend Micro]]|werk=|datum=|sprache=|zugriff=2017-04-12|format=PDF; 160&nbsp;KB}}</ref>.
* Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
; Folgende Charakteristika werden häufig als Attribute eines ''Network-based IPS'' hervorgehoben:
* das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
* das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
* Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
; Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
* Das '''HIPS''' (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
* Das '''NIPS''' (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
** Das '''CBIPS''' (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
** Das '''Protocol Analysis IPS''' analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
** Das '''RBIPS''' (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.
==== Open-Source-Implementationen ====
* [[Snort]]
* Untangle NIPS
* Lokkit
*
=== Honeypot ===
; Ein [[Honeypot]] (Köder) ist ein [[Computer]] im Netzwerk, der [[Hacker]] verleiten soll, genau diesen anzugreifen
* Auf diesem Computer befinden sich weder wichtige Daten noch Dienste, die regulär genutzt werden.
* Er dient lediglich dazu, die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken, indem bewusst Sicherheitslöcher geöffnet bleiben.
; Werden Aktivitäten auf diesem Computer wahrgenommen, handelt es sich höchstwahrscheinlich um einen Angriff.
* Außerdem kann mit Hilfe eines Honeypots mehr über die Vorgehensweise des Angreifers erfahren werden.
* Aus den beobachteten Angriffen können dann Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden.
* Der Honeypot ist damit ein weiterer Bestandteil des IDS.
; Nachteil
* Das Konzept des Honeypots hat allerdings einen Nachteil
* Ein Honeypot kann als Eintrittspunkt dienen, um weitere Angriffe auf das Netzwerk durchzuführen


== Arbeitsweise ==
== Arbeitsweise ==

Version vom 4. März 2023, 09:47 Uhr

Intrusion Detection System - System zur Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Beschreibung

Sicherheit von Netzwerken und Computersystemen erhöhen

Detection

  • Intrusion = Eindringen
  • Detection = Bemerken

Wo detektieren?

Angriffe werden in Log-Dateien gesammelt

  • Benutzern oder Administratoren mitgeteilt
  • hier grenzt sich der Begriff von Intrusion Prevention System ( „Verhindern“, IPS) ab
  • welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert
Nachteile
  • Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
  • Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
  • Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.

Prevention

Intrusion-Prevention-Systeme (IPS)
  • Intrusion-Detection-Systeme (kurz: IDS) bezeichnet
  • die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
    • die einen entdeckten Angriff abwehren können.

Probleme beim praktischen Einsatz

Hauptproblem beim praktischen Einsatz von IDS

Arbeitsweise

Verfahren zur Einbruchserkennung

Mustererkennung

  • Vergleich mit bekannten Angriffssignaturen

Heuristik

  • statistische Analyse

Mustererkennung

Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben

Nachteil

  • nur bekannte Angriffe werden erkannt
Der Prozess ist in drei Schritte unterteilt
  1. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
  • Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
  • Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
  • Dieser kann vielfältiger Natur sein.
  • Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Datei:Ids funk.gif

Heuristik

Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.
  • Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung.
  • Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist.

Intrusion Prevention

Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern.

  • Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.

  • Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.

Darüber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich, wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection.

Siehe auch

  1. Fail2ban
  2. DenyHosts
  3. Open Source Tripwire

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5