Intrusion Detection System

Aus Foxwiki

Intrusion Detection System - System zur Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Beschreibung

Installation

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Anwendung

Fehlerbehebung

Konfiguration

Dateien

Anhang

Siehe auch

Siehe auch

  1. Fail2ban
  2. DenyHosts
  3. Open Source Tripwire

Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

TMP

Beschreibung

Intrusion Detection System dinen der Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Motivation

Sicherheit von Netzwerken und Computersystemen erhöhen
Das Internet ist voll von böswilligen Akteuren
  • Machen sich unsichere Netzwerke und Geräte zunutze
  • Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
  • Phishing-Angriffe, in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
  • Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
  • Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
  • Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
Viele Router bieten Intrusion Detection als zusätzliche Sicherheitsfunktion
  • Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
  • Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
  • Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
  • Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).

Detection

  • Intrusion = Eindringen
  • Detection = Bemerken

Wo detektieren?

Angriffe aufzeichnen

Angriffe werden in Log-Dateien gesammelt
  • Benutzern oder Administratoren mitgeteilt
hier grenzt sich der Begriff von Intrusion Prevention System („Verhindern“, IPS) ab
  • welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert

Nachteile

  • Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
  • Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
  • Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
Intrusion-Prevention-Systeme (IPS)
  • Intrusion-Detection-Systeme (kurz: IDS) bezeichnet
  • die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
    • die einen entdeckten Angriff abwehren können.

Praktischer Einsatz

Herausforderungen

Arbeitsweise

Verfahren zur Einbruchserkennung
Methode Beschreibung
Mustererkennung Vergleich mit bekannten Angriffssignaturen
Heuristik Statistische Analyse

Mustererkennung

  • Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
  • Nachteil: Nur bekannte Angriffe werden erkannt
Der Prozess ist in drei Schritte unterteilt
  1. Wahrnehmung
    • eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
  2. Mustererkennung
    • überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
  3. Intrusion Alert
    • Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
    Dieser kann vielfältiger Natur sein.
    • Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Datei:Ids funk.gif

Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
  • Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
„Intrusion Detection and Prevention System“ (auch kurz IDS, IPS oder IDPS)

Der Hauptunterschied zwischen IDS und IPS ist der Schutz

  • während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
  • Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
  • Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
  • Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices

Heuristik

Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.

Ziele

Nicht nur bereits bekannte Angriffe erkennen, sondern auch

  • ähnliche Angriffe
  • Abweichen von einem Normalzustand
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung
  • Verhalten besser voraussehbar

Intrusion Prevention

Anstatt nur einen Alarm auszulösen

ist ein Intrusion Prevention System (kurz IPS) in der Lage

  • Datenpakete zu verwerfen
  • die Verbindung zu unterbrechen
  • übertragenen Daten zu ändern

Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.

  • Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.

Ferner werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich

  • wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection

Architekturen

Host-basiert

HIDS = Host-basiertes Intrusion Detection System
Älteste Art von Angriffserkennungssystemen
Host-basierte IDS werden auf zu überwachenden Systemen installiert
Es erhält seine Informationen aus
Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt
System Integrity Verifiers
  • Unterart der HIDS
  • Mithilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden
Vorteile
  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.
Nachteile
  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basiert

Netzwerk-basiertes Intrusion Detection System (NIDS)
  • versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden
  • Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen.
  • Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
  • Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.
  • Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen.
  • Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
Vorteile
  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
Nachteile
  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
  • Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybrid

Hybride IDS verbinden beide Prinzipien
  • höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen
Netz- und hostbasierten Sensortypen
  • , die an ein zentrales Managementsystem angeschlossen sind
  • Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise
Komponenten
  • Management
  • Hostbasierte Sensoren (HIDS)
  • Netzbasierte Sensoren (NIDS)

Intrusion Prevention

Funktion

Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen
  • Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
  • Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
  • Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
  • Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.[1]
  • Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
  • Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.
  • Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 Mikrosekunden[2].
  • Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben
  • das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
  • das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
  • Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
  • Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
  • Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
    • Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
    • Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
    • Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.

Open-Source-Implementationen

  • Snort
  • Untangle NIPS
  • Lokkit

Honeypot

Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen