Intrusion Detection Flashcards
Wozu dient ein IDS? Was kann damit erreicht werden
Überwachung von Computersystemen und Kommunikationsinfrastrukturen zur Aufdeckung von Einbrüchen und Missbrauch
Intrusion Prevention Systems (IPS) Erkennung und Unterbindung von Eindringlingen/Missbrauch
Erkennung von Angriffen und Angreifern + Erkennung von Systemmissbrauch
- Schadensbegrenzung, wenn (automatisierte) Reaktionsmechanismen vorhanden sind
- Sammeln von Erfahrungen, um sich von Angriffen zu erholen, Verbesserung von Präventivmaßnahmen
- Abschreckung anderer potenzieller Angreifer (wenn die Polizei sie festnehmen kann!)
Was macht ein gutes IDS aus?
Einfache Integration in ein System/Netzwerk
Einfache Konfiguration und Wartung
Autonomer und fehlertoleranter Betrieb
Geringer Ressourcenbedarf Selbstschutz, so dass das IDS nicht durch einen vorsätzlichen Angriff deaktiviert werden kann (um nachfolgende Angriffe zu verbergen)
Hohe Genauigkeit (= geringe Rate an falsch positiven und falsch negativen Meldungen)
Welche verschiedenen Typen von IDS gibt es?
Umfang/Scope
- Host-basiert: Analyse von Systemereignissen
- Netzwerkbasiert: Analyse der ausgetauschten Informationen (IP-Pakete)
- Hybrid: kombinierte Analyse von Systemereignissen und Netzwerkverkehr
Zeitpunkt der Analyse
- Post-mortem-Analyse
- Online-Analyse
Erkennungsmechanismus
- Signatur-basiert
- Richtlinienbasiert / Missbrauchsbasiert / Anomaliebasiert
Wie funktieren die drei verschiedenen Detektionsmechanismen? Host Was sind ihre Schwachpunkte
Host Intrusion Detection Systeme (HIDS)
Arbeitet mit Informationen, die auf einem System verfügbar sind, z. B. Betriebssystemprotokolle, Anwendungsprotokolle, Zeitstempel
Kann leicht Angriffe von Insidern erkennen, wie z. B. Veränderung von Dateien, illegaler Zugriff auf Dateien, Installation von Trojanern oder Rootkits
Probleme:
- muss auf jedem System installiert werden
- erzeugt viele Informationen
- oft keine Echtzeit-Analyse, sondern vordefinierte Zeitintervalle
- schwierig, eine große Anzahl von Systemen zu verwalten
Wie funktieren die drei verschiedenen Detektionsmechanismen? - Signatur - Was sind ihre Schwachpunkte?
Grundgedanke
- Einige Angriffsmuster können hinreichend detailliert beschrieben werden → Angabe von “Angriffssignaturen”
- Die Ereignisprüfung wird analysiert, wenn sie bekannte Angriffssignaturen enthält
Identifizierung von Angriffssignaturen
- Analysieren von Schwachstellen
- Analyse vergangener Angriffe, die im Audit aufgezeichnet wurden
Spezifizierung von Angriffssignaturen
- Auf der Grundlage des ermittelten Wissens werden sogenannte Regeln zur Beschreibung von Angriffen festgelegt.
- Die meisten IDS bieten Spezifikationstechniken für die Beschreibung von Regeln an
Nachteile der signaturbasierten Erkennung
- Erfordert Vorkenntnisse über potenzielle Angriffe
- Signaturdatenbank muss ständig aktualisiert werden
- Hohe Rate an falsch-negativen Ergebnissen, wenn die Signaturdatenbank nicht auf dem neuesten Stand ist
Zu Duplicate Insertion: Wie funktioniert der Angriff genau?
IDS und mögliches Opfer gehen möglicherweise unterschiedlich mit Duplikaten oder Fragmenten um
IDS fehlen Informationen über die Netzwerktopologie und das Betriebssystem des Opfers
Einfügen von Duplikaten
- Der Angreifer fügt einige Segmente mit kleiner TTL ein, so dass sie vor dem Opfer gelöscht werden.
- Wenn das IDS nicht vorhersagen kann, ob die Segmente das Opfer erreichen, kann es die Segmente nicht wieder zusammensetzen und den gleichen Inhalt wie das Opfer sehen.
Zu Mimicry: Wie funktioniert der Angriff genau?
Angriffsumwandlung durch Imitation normaler Aktivitäten
Normalerweise durch Einfügen von “Dummy”-Systemaufrufen
erreicht Endgültige Systemsequenz sieht normal aus
