Vergleich einer kommerziellen Intrusion Detection Software mit einer OpenSource-Lösung im Bezug aus Leistung, Anwendbarkeit und Kosten
©2003
Diplomarbeit
82 Seiten
Zusammenfassung
Inhaltsangabe:Zusammenfassung:
Das Ziel im Rahmen dieser Diplomarbeit für die Firma BASF IT Services B.V. ist es einen Vergleich zwischen der vorhandenen kommerziellen Intrusion Detection Software RealSecure und einer kostenlosen OpenSource-Lösung namens Prelude anzustellen. Dieser Vergleich soll sowohl die Features, als auch Integration, Kosten und Nutzen berücksichtigen, da die BASF IT Services B.V. im Rahmen ihres Managed Security Konzeptes ihren Kunden maßgeschneiderte und kostengünstige IDS Produkte anbieten möchte. Computersicherheit ist in der heutigen Zeit nicht nur wegen den sich häufenden Medienberichten über gelungene Einbruchsversuche ein vieldiskutiertes Thema. Eine Folge davon ist ein deutlicher Anstieg der Nachfrage an Sicherheitsprodukten, zu denen auch Intrusion Detection Systeme zählen. Übereinstimmend wird geschätzt, dass sich durch deren Verwendung ein höheres Niveau der Systemsicherheit erreichen lässt.
Inhaltsverzeichnis:Inhaltsverzeichnis:
1.Einleitung4
1.1Aufgabenstellung4
1.2Eidesstattliche Erklärung4
2.Einführung in das Thema IDS5
2.1Definition Intrusion Detection5
2.2Was ist ein Intrusion Detection System (IDS) ?5
2.3Wieso IDS einsetzen?6
2.4Arten von IDS7
2.5Erkennung von Angriffsmustern10
2.6Einsatz in einem geswitchten Netzwerk13
3.Produktvorstellung16
3.1Einleitung16
3.2Produkt Matrix16
3.3Kurzvorstellung der Produkte18
4.Vergleich der Softwarelösungen20
4.1Prelude 0.8.120
4.2RealSecure 6.732
5.IDS in der Praxis44
5.1Einleitung44
5.2Entwicklung der Angriffskomplexität45
5.3Einige der bekanntesten Angriffe46
5.4Testreihe mit Angriffen47
5.5Realisierung einer eigenen Signatur55
5.6Warnmeldungen61
5.7Reaktionen bei erkanntem Angriff62
5.8Tests im Internet63
6.Kosten-Nutzen-Betrachtung68
6.1Dokumentation68
6.2Installation69
6.3Konfiguration70
6.4Managebarkeit71
6.5Integration in die bestehende IT-Infrastruktur71
6.6Performance und Skalierbarkeit71
6.7Stabilität72
6.8Preis / Leistung73
7.Fazit und Ausblick74
7.1Zusammenfassung74
7.2Ausblick76
7.3Fazit77
8.Anhang78
8.1Abkürzungen78
8.2Verwendete Programme79
8.3Literatur-Verzeichnis79
8.4Wichtige Links80
8.5Newsgroups80
8.6Danksagung80
Das Ziel im Rahmen dieser Diplomarbeit für die Firma BASF IT Services B.V. ist es einen Vergleich zwischen der vorhandenen kommerziellen Intrusion Detection Software RealSecure und einer kostenlosen OpenSource-Lösung namens Prelude anzustellen. Dieser Vergleich soll sowohl die Features, als auch Integration, Kosten und Nutzen berücksichtigen, da die BASF IT Services B.V. im Rahmen ihres Managed Security Konzeptes ihren Kunden maßgeschneiderte und kostengünstige IDS Produkte anbieten möchte. Computersicherheit ist in der heutigen Zeit nicht nur wegen den sich häufenden Medienberichten über gelungene Einbruchsversuche ein vieldiskutiertes Thema. Eine Folge davon ist ein deutlicher Anstieg der Nachfrage an Sicherheitsprodukten, zu denen auch Intrusion Detection Systeme zählen. Übereinstimmend wird geschätzt, dass sich durch deren Verwendung ein höheres Niveau der Systemsicherheit erreichen lässt.
Inhaltsverzeichnis:Inhaltsverzeichnis:
1.Einleitung4
1.1Aufgabenstellung4
1.2Eidesstattliche Erklärung4
2.Einführung in das Thema IDS5
2.1Definition Intrusion Detection5
2.2Was ist ein Intrusion Detection System (IDS) ?5
2.3Wieso IDS einsetzen?6
2.4Arten von IDS7
2.5Erkennung von Angriffsmustern10
2.6Einsatz in einem geswitchten Netzwerk13
3.Produktvorstellung16
3.1Einleitung16
3.2Produkt Matrix16
3.3Kurzvorstellung der Produkte18
4.Vergleich der Softwarelösungen20
4.1Prelude 0.8.120
4.2RealSecure 6.732
5.IDS in der Praxis44
5.1Einleitung44
5.2Entwicklung der Angriffskomplexität45
5.3Einige der bekanntesten Angriffe46
5.4Testreihe mit Angriffen47
5.5Realisierung einer eigenen Signatur55
5.6Warnmeldungen61
5.7Reaktionen bei erkanntem Angriff62
5.8Tests im Internet63
6.Kosten-Nutzen-Betrachtung68
6.1Dokumentation68
6.2Installation69
6.3Konfiguration70
6.4Managebarkeit71
6.5Integration in die bestehende IT-Infrastruktur71
6.6Performance und Skalierbarkeit71
6.7Stabilität72
6.8Preis / Leistung73
7.Fazit und Ausblick74
7.1Zusammenfassung74
7.2Ausblick76
7.3Fazit77
8.Anhang78
8.1Abkürzungen78
8.2Verwendete Programme79
8.3Literatur-Verzeichnis79
8.4Wichtige Links80
8.5Newsgroups80
8.6Danksagung80
Leseprobe
Inhaltsverzeichnis
ID 6853
Denis Aumüller
Vergleich einer komerziellen Intrusion
Detection Software mit einer
OpenSource-Lösung im Bezug aus
Leistung, Anwendbarkeit und Kosten
Diplomarbeit
an der Fachhochschule Worms
Fachbereich Informatik
3 Monate Bearbeitungsdauer
Mai 2003 Abgabe
ID 6853
Aumüller, Denis: Vergleich einer komerziellen Intrusion Detection Software mit einer
OpenSource-Lösung im Bezug aus Leistung, Anwendbarkeit und Kosten
Hamburg: Diplomica GmbH, 2003
Zugl.: Worms, Fachhochschule, Diplomarbeit, 2003
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
Diplomica GmbH
http://www.diplom.de, Hamburg 2003
Printed in Germany
2
Inhaltsverzeichnis
Vergleich einer kommerziellen Intrusion Detection Software mit einer
OpenSource-Lösung im Bezug auf Leistung, Anwendbarkeit und Kosten ...1
1. Einleitung...4
1.1 Aufgabenstellung...4
1.2 Eidesstattliche
Erklärung...4
2. Einführung in das Thema IDS...5
2.1
Definition ,,Intrusion Detection" ...5
2.2
Was ist ein ,,Intrusion Detection System" (IDS) ? ...5
2.3
Wieso IDS einsetzen?...6
2.4
Arten von IDS...7
2.5
Erkennung von Angriffsmustern ...10
2.6
Einsatz in einem geswitchten Netzwerk...13
3. Produktvorstellung ...16
3.1 Einleitung ...16
3.2 Produkt
Matrix...16
3.3
Kurzvorstellung der Produkte...18
4. Vergleich der Softwarelösungen...20
4.1 ,,Prelude
0.8.1" ...20
4.2 ,,RealSecure
6.7" ...32
3
5. IDS in der Praxis...44
5.1 Einleitung ...44
5.2
Entwicklung der Angriffskomplexität...45
5.3
Einige der bekanntesten Angriffe...46
5.4
Testreihe mit Angriffen ...47
5.5
Realisierung einer eigenen Signatur...55
5.6 Warnmeldungen ...61
5.7
Reaktionen bei erkanntem Angriff ...62
5.8
Tests im Internet ...63
6. Kosten-Nutzen-Betrachtung ...68
6.1 Dokumentation ...68
6.2 Installation ...69
6.3 Konfiguration ...70
6.4 Managebarkeit ...71
6.5
Integration in die bestehende IT-Infrastruktur ...71
6.6
Performance und Skalierbarkeit ...71
6.7 Stabilität...72
6.8
Preis / Leistung ...73
7. Fazit und Ausblick ...74
7.1 Zusammenfassung ...74
7.2 Ausblick...76
7.3 Fazit ...77
8. Anhang...78
8.1 Abkürzungen ...78
8.2 Verwendete
Programme ...79
8.3 Literatur-Verzeichnis...79
8.4 Wichtige
Links ...80
8.5 Newsgroups ...80
8.6 Danksagung ...80
4
1. Einleitung
1.1 Aufgabenstellung
Das Ziel im Rahmen dieser Diplomarbeit für die Firma BASF IT Services B.V. ist es einen
Vergleich zwischen der vorhandenen kommerziellen Intrusion Detection Software
,,RealSecure" und einer kostenlosen OpenSource-Lösung namens ,,Prelude" anzustellen.
Dieser Vergleich soll sowohl die Features, als auch Integration, Kosten und Nutzen
berücksichtigen, da die BASF IT Services B.V. im Rahmen ihres Managed Security
Konzeptes ihren Kunden maßgeschneiderte und kostengünstige IDS Produkte anbieten
möchte.
1.2 Eidesstattliche Erklärung
Hiermit erkläre ich an Eides Statt, dass ich die vorliegende Diplomarbeit selbstständig und
ohne Benutzung anderer als der angegebenen Quellen und Hilfsmittel während meines 8.
Semesters im Zeitraum vom 2. März 2003 bis zum 31. Mai 2003 bei der Firma
BASF IT Services B.V erstellt habe. Alle Ausführungen, die wörtlich oder sinngemäß
übernommen wurden, sind als solche gekennzeichnet. Die Diplomarbeit wurde in gleicher
oder ähnlicher Form noch keiner anderen Prüfungsbehörde vorgelegt.
Ludwigshafen, den 31.05.2003
...
Denis Aumüller
5
2. Einführung in das Thema IDS
Intrusion:
,,Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die
Vertraulichkeit eines Betriebsmittels zu kompromittieren"
1
2.1 Definition ,,Intrusion Detection"
Als Intrusion-Detection (ID)
2
wird die aktive Überwachung von Computersystemen und /
oder -netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch bezeichnet.
Das Ziel von Intrusion-Detection besteht darin, aus allen im Überwachungsbereich
stattfindenden Ereignissen diejenigen herauszufiltern, die auf Angriffe, Missbrauchs-
versuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu
untersuchen. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
2.2 Was ist ein ,,Intrusion Detection System" (IDS) ?
Intrusion Detection Systeme (IDS) sind Software- oder Hardware-Systeme, die anhand
festgesetzter Regeln eine Verbindung erlauben oder blockieren. Zusätzlich überwachen
und überprüfen sie den gesamten Komplex der Kommunikation im Netzwerk, lesen die
Datenpakete aus, orientieren sich an normaler Netzkommunikation und erkennen daher
Angriffe bereits im Vorfeld anhand verdächtiger Netzaktivitäten.
1
Heberlein, Levitt, Mukherjee [ 1991 ]
2
http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=572
6
2.3 Wieso IDS einsetzen?
Nicht erst seit dem SQL-Slammer Wurm, der alleine einen wirtschaftlichen Schaden
von ca. 1.2 Milliarden USD
3
verursacht hat, wird klar dass Rechner und Netzwerke durch
ausgeklügelte Sicherheitsmaßnahmen geschützt werden müssen.
Zum Schutz der Netze vor unbefugten Zugriffen existieren bereits Firewalls
und Authentifizierungsmechanismen. Firewalls können das Einbruchsrisiko zwar
reduzieren aber nie eliminieren. Fehler in Programmen, nachlässige Konfigurationen oder
leichtsinnige Benutzer eröffnen immer wieder neue Angriffsmöglichkeiten.
Die meisten Sicherheitseinrichtungen gehen davon aus, dass die Gefahren von
außerhalb des Netzes kommen, dabei wird ein großer Teil der Angriffe
von autorisierten Nutzern durchgeführt oder zumindest vorbereitet. Es gilt also, weitere
Möglichkeiten zu finden, auch diese Sicherheitslücken zu schließen. Dabei sollen
Einbrüche, die eine Firewall von außen passieren konnten und Einbrüche, die von innen
aus dem eigenen Netz kommen, erkannt werden.
3
http://www.tecchannel.de/news/20030203/thema20030203-9826.html
http://www.silicon.de/cls/Security/07_020301_t.html
7
Intrusion Detection Systeme können Angriffe sowie andere Sicherheitsverletzungen
entdecken und dokumentieren, damit dadurch das eigene Sicherheitsdesign verbessert
werden kann. Ebenso ermöglichen sie Angriffe selbständig zu unterbinden, z.B. durch
Rekonfiguration der Firewall.
2.4 Arten von IDS
IDS bieten grundsätzlich zwei unterschiedliche Ansätze, wie und wo der Datenverkehr
überwacht wird:
1. Netzwerkbasierte Intrusion Detection Systeme
2. Hostbasierte Intrusion Detection Systeme
2.4.1. Netzwerkbasierte Intrusion Detection Systeme
Netzwerkbasierte Intrusion Detection Systeme (NIDS) erfassen den gesamten
Datenverkehr in einem Netzwerksegment, analysieren die Daten und ermitteln anhand
eines definierten Regelwerkes (z.B. anhand von Signaturen) ob es sich um einen Angriff
handelt.
Damit ein Intrusion Detection System den gesamten Datenverkehr mitlesen kann, muss es
sinnvoll in ein zu überwachendes Netzwerksegment integriert werden. Über ein ,,Sniffer-
Interface" werden alle Daten, die über das Netzwerkkabel transferiert werden, mitgelesen
und an ein Analysemodul übertragen.
8
Dieses ,,Sniffer-Interface" muss direkt in das zu überwachende Netzwerksegment integriert
werden und wird im ,,Promiscuous Mode"
4
betrieben. Um das IDS nicht selbst zum Ziel
von Angriffen werden zu lassen, werden die Systeme in den ,,Stealth Mode" versetzt, d.h.
es wird kein Netzwerkprotokoll auf das Interface gebunden. Das System antwortet somit
nicht mehr auf Anfragen und ist im Netzsegment quasi nicht mehr ,,sichtbar".
Ein 1.Level Filter im NIDS bestimmt, welcher Datenverkehr wichtig ist, und welcher
ignoriert werden kann, um die Performance zu steigern und ,,normalen" Verkehr zu
ignorieren.
2.4.2. Hostbasierte Intrusion Detection Systeme
Hostbasierte Intrusion Detection Systems (HIDS) beziehen ihre Daten primär aus Logfiles,
unter Unix z.B. durch SysLog, unter Windows 2000 / XP wäre dies das System-/Ereignis-
bzw. Sicherheits-Protokoll. Wird eine Abweichung von der eingestellten Security Policy
durch das HIDS festgestellt, wird sofort eine entsprechende Aktion ausgeführt z.B. der
Zugriff auf die Datei verweigert.
Die Netzwerkkommunikation eines Systems wird oftmals überhaupt nicht in die Analyse
einbezogen, was dazu führt, dass selbst banale Portscans
5
nicht erkannt werden können.
Der Nutzen einer nur auf diese Komponente beschränkte Intrusion Detection Lösung bleibt
unter den heute bestehenden Bedrohungspotentialen sehr fraglich. HIDS verlieren
deswegen zunehmend an Bedeutung und werden durch NNIDS ( Kapitel 2.4.4) oder
,,Intrusion Prevention Systeme" ( Kapitel 7.2) zunehmend abgelöst.
4
Im ,,Promiscuous Mode" empfängt die Netzwerk-Karte den kompletten Datenverkehr in ihrem Segment,
nicht nur die für sie bestimmten Daten.
5
Prüfung aller TCP / UDP Ports eines Systems/Netzwerks, um festzustellen ob sich dahinter angreifbare
Network Services befinden
9
2.4.3. Stackbasierte Intrusion Detection Systeme
Ein Stackbasiertes IDS ist eine neue Technologie, die tief in den TCP/IP-Stack des
Betriebsystems eingreift. Dies ermöglicht es den Weg der Pakete durch jede OSI-Schicht
zu verfolgen und schon vorher abzufangen, bevor das Betriebsystems oder die Applikation
das Paket überhaupt verarbeiten kann. In der Praxis gibt es allerdings noch keine konkreten
Produkte.
2.4.4. Nodebased-Network Intrusion Detection Systeme
Im Gegensatz zu NIDS werden Nodebased Network Intrusion Detection Systems (NNIDS)
direkt auf einem Zielsystem installiert. Moderne NNIDS analysieren den gesamten
Datenverkehr von und zu einem Computersystem, analysieren Vorgänge auf
Betriebsystemebene (z.B. Zugriffe auf Systemdateien, fehlgeschlagene Anmeldeversuche)
und bieten rudimentäre Methoden zum Blocken von Netzwerkpaketen bei der Erkennung
von Angriffen (,,Firewalling").
Der große Vorteil von NNIDS liegt darin, dass typische Probleme wie sie in komplexen
Netzwerkumgebungen auftreten umgangen werden können. Nachteilig an NNIDS ist, dass
Produktivsysteme angefasst werden müssen und Rechenleistung, wenn auch nur minimal,
zur Verfügung stellen müssen. Zudem arbeiten NNIDS nicht im ,,Stealth Mode" und
stellen somit zunächst selbst ein Ziel für Angriffe dar.
2.4.5. Hybrid IDS
Diese Systeme sind eine Mischung aus Host- und Netzwerkbasierten IDS, mit den
Vorteilen des jeweiligen IDS. Die später vorgestellte OpenSource Lösung ,,Prelude" ist ein
Beispiel für eine Hybrid IDS, d.h. es existiert ein HIDS- und ein NIDS-Sensormodul.
10
2.4.6. Stärken der jeweiligen Lösungen
NIDS HIDS
· günstig
· erkennt systemspezifische Angriffe
· erlaubt Paket Analyse
· funktioniert in verschlüsselten / geswitchten
· überwacht ganze Netzsegmente
Umgebungen
· Echtzeit Erkennung
· kann gezielt spezielle Systeme überwachen
· Betriebsystem-unabhängig
· keine zusätzliche Hardware erforderlich
In jedem Fall verlangsamen Intrusion Detection Systeme den Host auf dem sie installiert
sind. Aus diesem Grund sollten gerade NIDS als eigenständige Systeme (,dedicated
systems') angelegt werden, da weitere Anwendungen das System sonst zu stark
ausbremsen würden.
2.5 Erkennung von Angriffsmustern
Als Signaturen werden im IDS-Kontext Muster bezeichnet, die auf einen bekannten
Angriff oder missbräuchliches Systemverhalten hinweisen. Bei signaturgestützten IDS
erfolgt die Definition des zu erkennenden Angriffs auf der Basis definierter
Angriffsmuster. Das IDS alarmiert, sobald ein solches Muster zutrifft.
Vorteil dieser Methode ist die leichte Verständlichkeit des Vorgehens. Nachteilig ist, dass
praktisch alle Angriffe in sämtlichen Modifikationen aufgezählt werden müssen, damit sie
erkannt werden können.
11
2.5.1 Anomalieanalyse
Als Anomalieanalyse werden Auswertungsmethoden bezeichnet, bei denen die
Abweichung des Systems von seinem Normalverhalten erkannt und gemeldet wird:
· Protokollanalyse
· Anomalieerkennung auf Basis statistischer Daten
· Anomalieerkennung auf Basis von Künstlicher Intelligenz
· Anomalieerkennung auf Basis von Honeypots.
2.5.1.1. Protokollanalyse
Bei der Protokollanalyse wird der Netzverkehr auf Anomalien untersucht. Das
Normalverhalten ist dabei durch Protokollspezifikationen definiert. Es wird geprüft, ob der
Kommunikationsverkehr den zugrunde liegenden Protokollspezifikationen genügt. Da im
Bereich von IP-basierten Netzen viele Angriffe darauf beruhen, dass von den spezifizierten
Protokollen abgewichen wird, kann hierdurch eine recht zuverlässige Angriffserkennung
erfolgen.
Die Methode weist eine hohe Geschwindigkeit auf, da im Gegensatz zur
Signaturerkennung keine Vielzahl von Signaturen getestet werden muss. Nachteilig an
dieser Methode ist, dass diejenigen Angriffe, die auf Unschärfen oder Fehlern in der
Protokollspezifikation beruhen, nicht erkannt werden.
2.5.1.2. Anomalieerkennung auf Basis statistischer Daten
Bei der Anomalieerkennung auf Basis statistischer Daten wird davon ausgegangen, dass
das Systemverhalten im Angriffsfall signifikant von einem durch statistische Kennwerte
festgelegten Normalverhalten abweicht.
12
Um das Normalverhalten eines Systems zu definieren, werden für unterschiedliche Objekte
(Nutzer, Dateien, Anwendungen, etc.) und zugehörigen ,,Verhaltensweisen" (Anzahl von
Fehlversuchen bei der Anmeldung, Tageszeiten des Zugriffs, Nutzungshäufigkeit,
Zugriffsdauer, etc.) statistische Kennwerte (Mittelwert, Varianz, etc.) ermittelt.
Anhand der statistischen Kennwerte ermittelt das IDS, ob das aktuelle Verhalten
signifikant vom Normalverhalten abweicht. Dieses Verfahren wird bis dato kaum in der
Praxis eingesetzt, da die Definition des ,,Normalverhaltens" sich sehr komplex gestaltet.
2.5.1.3. Anomalieerkennung auf Basis von Künstlicher Intelligenz (KI)
Analog zur manuellen Anomalieanalyse auf Basis statistischer Daten werden Verfahren
der KI eingesetzt, um die bei manueller Analyse notwendige Intuition maschinell zu
kompensieren. Hierdurch kann eine Steigerung der Verarbeitungsgeschwindigkeit erzielt
werden, jedoch ist auch hier aufgrund hoher Fehlerraten eine manuelle Nachbearbeitung
notwendig und beabsichtigt in der Praxis werden allerdings noch keine KI-basierten
Lösungen angeboten.
2.5.1.4. Anomalieerkennung auf Basis von Honeypots
Honeypots sind dedizierte IT-Systeme die keine produktive Funktion erfüllen, sondern
ausschließlich ,,Fallen" für Angreifer darstellen, in dem sie produktive oder auch besonders
sicherheitskritische Systeme vortäuschen.
Ein Honeypot hat ein sehr einfaches Normalverhalten, das darin besteht, dass es keine oder
nur eine geringe Anzahl vordefinierter Zugriffe auf das System gibt. Honeypots eignen
sich sehr gut für eine Anomalieanalyse, da im wesentlichen sämtliche Zugriffe und
Aktivitäten - ausgenommen der vordefinierten Zugriffe - als anormal einzustufen und
damit beobachtenswert sind. Hierdurch lässt sich eine vollständige Aufzeichnung und
Nachuntersuchung von Angriffen, aber auch dem Fehlverhalten anderer IT-Systeme
realisieren.
13
2.2 Einsatz in einem geswitchten Netzwerk
Switches erzeugen aus Performance und Sicherheitsgründen eine Punkt-zu-Punkt
Verbindung zwischen Sender und Empfänger, womit folglich dieser Datenverkehr auf
normalen Weg nicht von einem Intrusion Detection System beobachtet werden kann.
PC 1
PC 2
PC 3
Ethernet
Ethernet
PC 3 sendet an PC 2
PC 1 sendet an PC 3
In der Praxis werden hauptsächlich die zwei folgenden Verfahren
6
angewendet um dieses
Problem zu lösen:
1. Monitoring via SPAN Port
2. Monitoring via TAP
Für die Tests wurde die SPAN-Port Lösung eingesetzt. Die zweite Lösung ist allerdings
aus den unten noch zu erwähnenden Gründen vorzuziehen, da hier der komplette
Netzwerkverkehr abgehört werden kann ohne negative Beeinflussung der Performance.
6
http://www.snort.org/docs/iss-placement.pdf
14
IDS Sensor
SP
A
N
Por
t
2.2.1.
Monitoring via SPAN-Port
Die meisten Switches bieten die Möglichkeit den Datenverkehr bestimmter Ports an einen
Monitorport, auch ,,SPAN" (Switched Port Analyser) genannt, weiterzuleiten.
Vorteile:
· Kern-Infrastruktur muss nicht verändert werden
· Keine zusätzliche Hardware notwendig
Nachteile:
· Jede zusätzliche Port-Kopie kann den SPAN Port überlasten
· Ohne aktivierten ,,Stealth Mode" ist die IDS angreifbar
· Der Switch wird durch jede weitere Kopie spürbar verlangsamt
· Fehler wie zu kleine / zu große / defekte Pakete werden nicht am SPAN Port gespiegelt
2.2.1.1. Konfiguration
Auf einem CISCO Switch
7
lässt sich SPAN wie folgt konfigurieren:
sw> set span enable
SPAN einschalten
sw> set span 3/1, 3/2 5/3 both
alle Pakete von Port 3/1 & 3/2 zu Port 5/3 kopieren
sw> show
span
SPAN Konfiguration betrachten
7
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/sw_5_5/cnfg_gd/span.htm
15
2.2.2.
Monitoring via TAPS
TAPs
8
dienen speziell zum Abgriff von Netzverkehr
zu Überwachungszwecken. Sie sind grundsätzlich mit einem Hub mit drei Anschlüssen
vergleichbar, weisen jedoch an einem der Anschlüsse eine Sperr-Funktion auf: Über den
TAP wird der Verkehr auf der Kommunikationsstrecke abgegriffen, es können jedoch
keine Datenpakete in die Kommunikation hineingespielt werden.
Selbst falls es einem Angreifer gelingt, über den vom Sensor überwachten Datenstrom den
Netzsensor zu Fehlfunktionen zu verleiten, ist somit eine aktive Rückkopplung des Sensors
auf die überwachte Strecke ausgeschlossen.
IDS
IDS
SWITCH
TAP
TopLayer
SWITCH
ROUTER
TAP
Vorteile:
· Stört nicht den Datenverkehr
· Infrastruktur muss nicht verändert werden
· Schützt IDS vor direkten Zugriffen
· Fehler wie zu große / kleine oder mit CRC-Fehler behaftete Pakete können
beobachtet werden
Nachteile:
· Teuer, ab 500 EUR / TAP, nur wenige Anbieter
· Unterstützt ohne Modifikationen keine Möglichkeit der Response (,,RST senden")
· Kann normalerweise nicht den Datenverkehr in beide Richtungen beobachten
8
http://www.linksplitter.de/index2.html
16
3. Produktvorstellung
3.1 Einleitung
Im Rahmen dieser Diplomarbeit wurden die beiden Intrusion Detection Systeme
,,RealSecure" der amerikanischen Sicherheitsfirma ,,Internet Security Systems (ISS)" und
die französischen OpenSource Lösung ,,Prelude" getestet.
3.2 Produkt Matrix
Ein Überblick über die Leistungsfähigkeit der zwei unterschiedlichen Systeme findet sich
in der nachfolgenden Produktmatrix:
Product
Real Secure 7.0 Network Sensor
Prelude 0.8.1
Product Type
IDS with IR
IDS, Intrusion Response planned
Platforms
Windows NT,2000, XP, Unix, IPSO, Linux
Linux, FreeBSD, should work with: Solaris
Management Platform
Windows NT, 2000,XP, Unix
Unix, Web-based (PERL / PHP), GTK, JAVA-based
planned
Trial Software
yes, from Website downloadable
free
Development started in / current release:
1994 / 2002 Version 7
1998, hybrid + distributed: 2001 / version: 0.81
Standards
10/100/1000 Mps
yes/yes/yes (Gigabit Sensor,90% of total traffic) yes/yes/untested
Token Ring / FDDI
yes/yes
untested/untested
Processes 802.1q (VLAN) frames
yes
no
optimised hi-speed packet driver interfaces
yes
no
Full-duplex via span port
yes
yes
native duplex sensor support
yes
Not Applicable
Detection Technology
Detection Technology
NIDS (NNIDS: Server Sensor)
HIDS+NIDS = hybrid
Protocol analysis
yes
only protocol normalization for HTTP & RPC
normalizer generate an alert if something is wrong
Pattern Matching
yes
yes, and Port scan detection | Polymorphic shell code
detection |
Detects Anomalies
no
yes
Understands > 60 application level protocols
yes
no
Unicode aware
yes
yes (even MS-IIS-Unicode-aware)
Optimized Dual-processor performance
yes
yes multithreaded
Stateful packet inspection technology
yes
yes
Supports monitoring of multiple interface connection
On single host
yes
yes
TCP Stream / HTTP session Reassembly
yes/yes
yes, Stateless attack (snot, stick) can be dropped
Stealth Monitoring interface
yes
yes
IP Fragment Reassembly
yes
yes, Based on Linux IP reassembly stack
Automatic signature updates
yes
planned
ARP attack detection
?
yes
Snort syntax signatures support
yes
yes , Snort: ca. 2000 Rules
User-defined signatures with Reg Ex.
yes
yes
Rules / Signatures:
ca. 1203 own Signatures
possibility to add any signature-set with a new parser
Dropped packet notification
yes
yes, on exit
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2003
- ISBN (eBook)
- 9783832468538
- ISBN (Paperback)
- 9783838668536
- DOI
- 10.3239/9783832468538
- Dateigröße
- 1 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Fachhochschule Worms – Informatik
- Erscheinungsdatum
- 2003 (Mai)
- Note
- 1,3
- Schlagworte
- netzwerk sicherheit realsecure hacker intrusion detection systeme
