Mittwoch, ??. November 2004
Marc Ruef
marc.ruef
at computec dot ch
http://www.computec.ch
technikkurse.ch
c/o Handelsschule Dr. Raeber
Bederstrasse 4, 8027 Zürich
http://www.technikkurse.ch
Stichworte
Intrusion Detection-Systeme sind Lösungen zur Entdeckung und Analyse von Angriffen und Einbrüchen. Durch das Untersuchen von Kommunikationen und Tätigkeiten potentieller oder ausgemachter Angreifer können ihre Vorgehensweisen und Absichten ermittelt werden.
Man unterscheidet dabei zwischen netzwerkbasierenden und hostbasierenden Intrusion Detection-Systemen (NIDS und HIDS). Erstere werden oft als dedizierte Lösungen auf Netzwerkknoten zur Überwachung entsprechender Netzwerkkommunikationen angesetzt. Letztere werden ähnliche wie Personal Firewalls auf laufenden Systemen installiert, um dort auf diesem eine Überwachung, zum Beispiel Manipulationen am Dateisystem, festzustellen.
Oft werden die Logging-Funktionalitäten bestehender Systeme (Hosts und Firewall-Elemente) herangezogen, um ein individuelles Intrusion Detection-System zu realisieren oder eine bestehende IDS-Installation auf kostengünstige Weise zu erweitern.
Wie auch beim Firewalling müssen ausgiebige philosophische und konzeptionelle Überlegungen angestellt werden, um ein umfassendes und durchdachtes Intrusion Detection-System zu realisieren. Dies schliesst sowohl die Wahl der einzusetzenden Technologie und Lösung, das Festlegen der zu Überwachenden Tätigkeiten, den Umfang der Alarmierungen (engl. Alerting) sowie die je nach Situation erforderlichen Reaktionen (engl. Response) mit ein.
Vorstudium
Die folgenden Publikationen gelten als empfohlene Lektüre des Vorstudiums für diese Vorlesung [http://www.computec.ch/dokumente/intrusion_detection/]:
Ruef, Marc, Oktober 2002, Intrusion Prevention - Neue Ansätze der Computersicherheit, Professional Computing, Ausgabe 4-2002, http://www.computec.ch/dokumente/unsortiert/intrusion_prevention_neue_ansaetze.pdfVoraussetzungenDieser Fachartikel, der erstmals in Professional Computing (Ausgabe 4/2002, Seiten 10 bis 14) erschienen ist, beschäftigt sich mit Systemcall-Interception. Durch das Einschränken des Kernels Möglichkeiten soll Intrusion Prevention vollzogen werden. Einer der ersten deutschsprachigen Artikel zu diesem Thema.Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284XIn diesem werden die grundlegenden Aspekte der modernen Computer-/Netzwerksicherheit erläutert. Dabei wird primär versucht zeitlosen Inhalt zu gewähren, denn der Leser soll über die Mechanismen Bescheid wissen und nicht irgendwelche veralteten Angriffs-Tools kennenlernen.Socma, 7. August 2002, IDS - Intrusion Detection System, computec.ch, http://www.computec.ch/dokumente/intrusion_detection/ids/ids.txtDieses Dokument ist eines der besten frei erhältlichen Publikationen zum Thema Intrusion Detection-Systeme. Es werden sämtliche gängigen Ansätze und Technologien besprochen. Dadurch ein ein hervorragender Einstieg in die Materie gewährleistet werden.
Folgend der angestrebte Ablauf der Vorlesung. Dieser muss nicht exakt
eingehalten werden und kann jenachdem in gewissen Punkten (z.B. Pause)
mit den Studenten abgestimmt werden.
Zeit | Thema |
18:30-19:00 | Einführung in die elektronische Einbruchserkennung |
19:00-19:30 | Praktische Übung mit ISS BlackICE PC Protection |
19:30-19:40 | Pause |
19:40-20:00 | Konzeptionelle Überlegungen einer IDS-Installation |
20:00-20:15 | Incident Handling und Response |
20:15-20:30 | Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung |