 |
Intrusion DetectionIntrusion Detection Systeme (IDS) und Intrusion Response Systeme (IRS) gewinnen in einem größeren Netzwerk immer mehr an Bedeutung. Mit den IDS-Systemen können Angriffsmuster erkannt werden, wodurch Angriffe, die normalerweise unbemerkt geblieben wären, detailliert verfolgt werden können. Sieeignen sich beispielsweise zum Aufbau einen Honeypot/Honeynet - wobei Server (die teilweise ganz bewusst Sicherheitsmängel aufweisen) als Köder ins Internet gestellt werden, dabei aber akribisch überwacht werden.Vornehmlich Firmen-Netzwerke sind vielen Angriffs-Versuchen sowohl von innen als auch von außen ausgesetzt. Ein PacketSniffer kann hier Abhilfe schaffen, indem er den gesamten Netzwerk-Verkehr protokolliert. Aber es kann nicht die Aufgabe des System- bzw. Netzwerk-Administrators sein, den Tag mit der Analyse der protokollierten Daten zu verbringen und etwaige Angriffe zu erkennen, zumal er dafür auch noch die spezifischen Merkmale der Unmengen möglicher Angriffe zur Hand oder besser im Kopf haben müsste. Hier helfen sogenannte Intrusion Detection Systeme weiter, die den Netzwerkverkehr mittlerweile in Echtzeit analysieren und anhand bestimmter Regeln etwaige Angriffe erkennen und bei Bedarf Aktionen ausführen, um den Angriff abzuwenden, ihn zu protokollieren oder den Administrator zu benachrichtigen. Hier stellt sich aber zuerst die Frage, was eine Intrusion überhaupt ist. Heberlein, Levitt und Mukherjee von der University of California, Davis haben sie 1991 wie folgt definiert: Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren. Allgemeiner gefasst kann man eine Intrusion als eine Verletzung der Sicherheitsmassnahmen eines Systemes verstehen. Intrusion
Detection ist noch ein sehr junges Gebiet der IT-Sicherheit und ist im
allgemeinen der Versuch, Methoden zu entwickeln, mit denen Angriffe auf
Rechnersysteme erkennbar sind. Frühe Intrusion Detection Systeme versuchten
dies anhand der Analyse der vom Betriebssystem zur Verfügung gestellten
Protokolldateien, den sogenannten Auditdaten, die dem Administrator
meistens auch zur Verfügung stehen. Eine andere Möglichkeit ist die
Überprüfung der Integrität von Dateien mit Hilfe von Programmen
wie Tripwire, um sicherzustellen, daß Dateien nicht verändert wurden.
Heutzutage kommt es nicht nur auf die Analyse von Protokolldaten eines Hosts an,
sondern auf die effektive Analyse von teilweise sehr grossem Netzwerkaufkommen.
Sollte nun ein Angreifer versuchen, in einen Computer oder ein Netzwerk
einzudringen, auf dem ein solcher PacketAnalyser installiert ist, so
schlägt dieser Alarm, protokolliert den Angriff und kann ihn
eventuell abwehren. Letzteres zählt aber eher zur Aufgabe von
Intrusion Response Systemen. Generell kann man ein Intrusion
Detection System als eine Art Alarmanlage ansehen. Sollte ein Einbruch vom System
entdeckt werden, wird der Administrator benachrichtigt (über Pager, SMS,
eMail, WinPopup-Message, etc.) und kann dann entscheiden, wie
er mit dem Problem umgeht. Im Extremfall wird er sich entscheiden, das System
herunterzufahren oder in den Single-User-Mode bringen, um es keinem weiteren
Missbrauch auszusetzen und sich ungestört der Behebung des ausgenutzten
Fehlers widmen zu können.
Die Konfiguration solcher Systeme ist sehr vielfältig und kann je nach
Ausführung auch sehr umfangreich werden. Die grössten Unterschiede
liegen wohl darin, ob man ein solches IDS für einen einzelnen Rechner
einsetzen möchte oder ein ganzes Netz absichern will. Bei der Konfiguration
ist es wichtig, dass die Integrität der Konfigurationsdaten gesichert ist
und das im Falle eine Einbruchsmeldung diese auch garantiert wird, dass es sich
also um einen echten Angriff handelt und nicht etwa um einen Fehlalarm, der
als Folge einer Fehlkonfiguration entstand.
Auch eine nicht der Sicherheits-Policy entsprechende Benutzeraktion kann und soll
von einem Intrusion Detection System angezeigt werden. Daraus resultiert auch die
Notwendigkeit, dass ein IDS in die Sicherheits-Policy eines Unternehmens integriert
wird und Eskalationspläne für die möglichen Angriffe festgelegt sind.
Laut dem ISO (International Standards Organisation) Workingdraft 15947 soll ein
Intrusion Detection System die folgenden Sicherheiten bieten:
- die Chancen für ein erfolgreiches Eindringen zu reduzieren,
- ein Eindringen erkennen sowie Gegen- und Rettungsmaßnahmen gegen ein
erfolgreiches Eindringen einleiten.
Die Reaktion auf einen vom IDS ausgelösten Alarm muss dann innerhalb des
Unternehmens durch eine Eskalationsprozedur bestimmt werden.
Die Angriffe werden bei Intrusion Detection Systemen in zwei Kategorien unterteilt.
Als Erstes sind die Angriffe über das Netzwerk zu nennen. Hierzu zählen alle
Angriffe auf den unteren vier Protokollschichten des OSI-Models. Als zweite Klasse
werden die Angriffe auf den Server oder Host des Netzwerkes betrachtet. Die
Komplexität und Vielzahl der Softwarepakete, die auf einem Server läuft, birgt
eine große Anzahl an Fehlermöglichkeiten. Programme, die eine Sicherheitslücke
ausnutzen, um dem Angreifer Zugang zum System zu verschaffen, werden als "Exploits"
bezeichnet.
Wegen der Vielzahl der Angriffsmöglichkeiten besteht ein Intrusion Detection System
aus einer großen Sammlung von Komponenten, die verschiedene Ereignisse,
Eingaben und Datenverhalten überwachen und gegebenenfalls einen Alarm auslösen.
Im Allgemeinen erledigt ein IDS seine Arbeit in drei Schritten:
- Datensammlung
Damit ein Intrusion Detection System funktionieren kann, kombiniert es Rohdaten,
die aus unterschiedlichen Logdateien und Sensoren gesammelt werden.
Es handelt sich hierbei um die Pakete, die das Netzwerk passieren. Somit
verfolgen solche Systeme einen präventiven Ansatz, da sie einen Angriff
erkennen können während er stattfindet und gegebenenfalls Gegenmassnahmen
treffen können. Aber auch die diversen Log-Dateien, die sowohl vom
Betriebssystem als auch von der auf dem Host laufenden Software abgelegt
werden, können als Grundlage für die Entdeckung von Einbrüchen
dienen. Sie bieten aber nur Informationen der Applikationsebene und lassen im
Idealfall nur auf Angriffe auf bestimmte Programme schliessen. Dieses Vorgehen
wird als reaktionäres Intrusion Detection bezeichnet, da es einen
Angriff nur im Nachhinein erkennen lässt und der Administrator nur für
die Zukunft präventive Massnahmen treffen kann. Ausserdem ist in gewissem
Masse auch die Vergabe von Betriebsmitteln durch das Betriebssystem an die laufenden
Prozesse zur Auswertung interessant. Hierzu zählen mitunter die Auslastung der
CPU, belegter Speicher, aktive Netzwerkverbindungen, usw. Weiterhin werden an
verschiedenen Stellen sogenannte Sensoren installiert. Dies sind spezielle Module
die Informationen über Systemkomponenten bereitstellen. Sie können analog
zu den Sensoren eines Systemmanagement- und Monitoring-Tools gesehen werden.
Im Falle einer Unregelmäßigkeit oder beim über- beziehungsweise
unterschreiten eines bestimmten Schwellwertes generiert ein Sensor einen
Ereigniseintrag.
- Datenanalyse
Im zweiten Schritt werden diese Daten vom System analysiert, um dem Administrator
in einem dritten Schritt Angriffe benutzergerecht aufzuzeigen. Für die
Technik des Erkennungsprozesses existieren mehrere Möglichkeiten. Die erste
ist die Missbrauchserkennung, die anhand vordefinierter Muster Einbrüche zu
erkennen versucht. Hier werden etwa Netzwerkpakete mit Hilfe von vorgegebenen
Signaturen überprüft und mit Pattern-Matching Angriffe erkannt. Mit
dieser Methode arbeitet auch Snort. Über das Internet kann man auf eine
grosse Anzahl von Konfigurationen für eine Unmenge an Angriffssignaturen
zurückgreifen.
Eine andere Technik der Analyse ist die Anomalieerkennung. Sie stellt eine Art
Heuristik dar und versucht, auch unbekannte Angriffe zu erkennen. Eine Anomalie
wäre beispielsweise eine Abweichung vom
normalen Netzwerkverkehr. Natürlich stellt eine Anomalie nicht immer eine
Gefahr dar, weswegen eine längere Einlaufzeit für das System wie weiter
oben schon erwähnt von elementarer Bedeutung ist, um ihm den normalen
Netzwerkverkehr ``beizubringen''. Dieses Vorgehen verfolgt somit statistische
Ansätze. Wenn ein zu überwachender
Parameter ausserhalb der definierten Akzeptanzschwellen liegt, wird Alarm
ausgelöst. Eine zweite Herangehensweise der Anomalieerkennung
verfolgt logische Ansätze. Hierbei wird im Gegensatz zum statistischen
Ansatz die zeitliche Abfolge von Ereignissen in Betracht gezogen. Dieser
logische Ansatz betrachtet bestimmte Ereignisfolgen als typisch. Beobachtet das
System den Anfang einer solchen Ereignisfolge, erwartet es, dass auch der Rest
dieser Ereignisfolge abläuft. Passiert dies nicht, schlägt das System
Alarm.
- Ausgabe der Ergebnisse
Die Darstellung des Ergebnisses der Analyse geschieht dann je nach
Erkennungstechnik. Die Ergebnisse der Missbrauchserkennung können in einer
einfachen Ja/Nein-Darstellung veranschaulicht werden. Wurde ein Angriff mit
Hilfe einer entsprechenden Signatur erkannt, wird dies entsprechend
veranschaulicht. Hierzu sei noch angemerkt, dass man nicht immer genau zwischen
einer Missbrauchserkennung und einer Anomalieerkennung differenzieren kann. So
existieren auch siganturbasierte Intrusion Detection Systeme, die für
bestimmte Angriffe Schwellwerte bieten. So muss ein Network
Intrusion Detection System zum Beispiel auch einen Portscan
erkennen, bei dem die Pakete in längeren Abständen gesendet werden.
Die Ausgabe der Ergebnisse beschränkt sich natürlich nicht auf die
Aufbereitung der Daten für die lokale Einsicht, sondern muss auch die
entsprechende Benachrichtigung des Administrators in geeigneter Form
(E-Mail etc.) enthalten.
Informationen zum Thema IDS:
Links zum Thema IDS:
|
|
|
DIENSTE
