Intrusion Detection Systems Grundlagen Analyse Techniken Audit Trail Processing On-the-Fly Processing Profile of Normal Behavoir Pattern Matching Threshold and Triggers Target-Bases Integrity Check Abschluss Im ersten Teil dieses Werkes werde ich auf Analysetechniken eingehn. In den weiteren teilen folgen CIDF, Schwachstellen, Vorstellung einiger Systeme etc. [Grundlagen] Intrusion ist eine Abfolge von verwandten, mutwilligen Aktionen eines Angreifers mit dem Ziel, unberechtigt Zugriff auf Dateien etc. eines einzelnen Rechners oder gar Netzwerkes zu erhalten. Von Intrusion Detection sprechen wir dann, wenn wir diese sogenannten böswilligen Aktionen identifizieren und dementsprechend reagieren, sowie Folgeattacken durch die präventiven Maßnahmen abwehren. Dieses Gebiet beinhaltet folgende Aspekte: 1. Potentielle Angriffe werden abgewehrt 2. Angriffe die nicht abgewehrt konnten werden vom System erkannt 3. Auf eingehende Angriffe wird eine dementsprechende Reaktionen hervorgerufen Wir unterscheiden zwischen zwei verschiedene Systemarten, die Host Intrusion Detection Systems sowie die Network Intrusion Detection Systems. Wir werden auf diese zwei Systeme noch näher eingehn. [Methoden von Erkennung und Logging] 1. Audit Trail Processing Jedes Betriebssystem, sogar NT bieten die Möglichkeiten System und Benutzeraktivitäten in Log-Files zu speichern. Diese enthalten oftmals wichtige Daten wie z.B. Anmelde und Abmeldezeiten, Erstellung von Dateien und Verzeichnissen, sowie auch Connects zu anderen Hosts. Diese Logs werden dann vom IDS untersucht. Inwieweit das IDS diese Log-Files nach verdächtigen Aktivitäten durchsucht, liegt in Ihrer Hand. Denn Sie als Administrator bestimmen in wie weit dieses Audit Trail Processing geht. Einiges ist jedoch zu beachten und gründlich zu überdenken: Es ist sehr wichtig, in welcher Fülle sie diese Logs Anlegen. Denn zu viele Log Dateien die das IDS untersuchen muss, kann einen großen Performance Verlust für Ihre Systeme bedeuten. Ein weiteres Problem besteht bei diesem Verfahren, das die Logs nicht in Realtime "untersucht" werden, sondern nach dem eine Aktion ausgeführt bzw. der Administrator das System dazu veranlasst. Um jedoch. RealTime die Logs zu untersuchen verwendet man: On-the-Fly Processing. 2. On the-Fly Processing Bei diesem verfahren werden die Daten aus dem Netzwerkdatenstrom "heraus gefischt", und in Echtzeit untersucht. Sie sollten möglichst einen nicht zu breiten Datenstrom untersuchen, da dies die Performance des Systems beeinträchtigen kann. Um so mehr "Dienste" Sie durch das IDS überwachen wollen, umso mehr wird es Performance einbußen geben. Erstellen sie Sich vorher ein genaues Konzept, und schauen sie sich Ihre zu Überwachenden Dienste genau an. Wozu auf http Anwendungen "aufpassen", aber wenn Sie gar keinen IIS oder Apache etc. am laufen haben. 3. Profile of Normal Behavior Von Benutzern werden über einen längeren Zeitraum Profile angefertigt. Diese beinhalten seine "normalen" Aktionen. Sollte der Benutzer von diesen Normen abweichen wird der Administrator davon in Kenntnis gesetzt. Dem Admin bleibt nun selbst überlassen wie er gegen diesen Benutzer vorgeht. Jedoch ist solch Profil sehr schwer zu erstellen und benötigt somit auch einen längeren Zeitraum. Während dieser Zeit könnten Angreifer dem System Attacken vorführen, was das System später dann als normales verhalten betrachtet. Alles was nicht normal ist, wird als annormal durch dieses System bezeichnet, und verletzt somit gegen die Regeln. Neuartige Angriffe können dadurch relativ leicht entdeckt werden, da sie wie schon erwähnt annormal wären. Zu diesem gebiet gehört das auch "Signatur of Abnormal Behavior". Nach einem geglückten Einbruch ins System wird vom Angreifer ein Profil erstellt. Aktivitäten somit auch Techniken werden vom Angreifer gespeichert und analysiert. Zu dieser Thematik wurde das Honeynet Project ins Leben gerufen. Dazu jedoch später mehr. 4. Pattern Matching Diese Methode durchsucht den Netzwerkverkehr auf verdächtige Inhalte, wie z.B. "/etc/passwd" oder auch der versuch den Unicode Bug beim IIS auszunutzen. Dieses Gebiet ist jedoch relativ neu. Erste Lösungen sind in einigen Firewalls Produkten einzusehn. Einige IDS Systeme verfolgen diesen Ansatz auch, wie z.B. das frei erhältliche Snort, was auf Unix sowie NT Plattformen einsetzbar ist. Diese Systeme verlassen sich auf Ihre Signaturen, die sich in ihren "Datenbanken" befinden. Somit erkennen Systeme nur Angriffe die in den Signaturen vorkommen. Neuartige Angriffe, die das System noch nicht kennt, werden daduch nicht erkannt. 5. Threshold and Triggers Bei diesem Verfahren werden Aktivitäten anhand von Zählern dargestellt., überschreitet eine Aktivität diesen Schwellwert wird das IDS maßnahmen ergreifen. Beispiel: Ein User versuchte in den letzen 10 min, sich 3 mal erfolgslos einzuloggen, das IDS könnte nun mit der Sperrung des Accounts fortschreiten. Bei einer erweiterung dieser Methode, Heuristische Schwellenwert Analyse, werden die Regeln dynamisch erzeugt. 5. Target-Bases Integrity Check Auch als Intigritätsprüfung bezeichnet. Bei diesem Verfahren werden von Dateien kryptographische Hashwerte generiert, in einer Datenbank gespeichert, und später bei einem eventuellen Einbruch miteinander verglichen. Weicht der Hashwert von der Datenbank, mit der des Systems ab, kann befürchtet werden, das das System korrumpiert wurde. Hier ist Tripwire sowie AIDE zu benennen. [Abschluss] Danke an Tribunal, für die langen gespräche über IDS :). Danke an xaitax und das restliche UNF Team. contact svoern@u-n-f.com | http://www.u-n-f.com | http://svoern.u-n-f.com Svoern (Sven Weizenegger)