Entwicklung und Implementierung eines Intrusion-Detection und -Prevention Systems zur Erkennung und Abwehr von gezielten Attacken und anormalen Ereignissen im LAN
©2004
Diplomarbeit
93 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Jedes der vergangenen Jahrhunderte war durch seine Technologien geprägt. Im 18. Jahrhundert wurden mechanische Systeme entwickelt, die die industrielle Revolution ermöglichten.
Das 19. Jahrhundert brachte Anwendungen der Dampfmaschine und später der Elektrizität, die eine Vielzahl von Automatisierungen ermöglichten. Das 20. Jahrhundert war geprägt durch das Sammeln, Verarbeiten und Verteilen von Informationen. Der Aufbau weltweiter Telefonnetze und Kommunikationssatelliten, die Erfindung des Radio und Fernsehen und der Aufstieg der Computerindustrie sind nur einige Stellvertreter des 20. Jahrhunderts.
Wir befinden uns heute im Aufbruch in eine neue Gesellschaft, der so genannten Informationsgesellschaft. Rechnernetze sind eine wichtige technische Voraussetzung dieser Gesellschaft, da sie den Zugang zu Informationen an jedem Ort ermöglichen. Unter Rechnernetzen versteht man mehrere miteinander, unter Nutzung einer bestimmten Technologie, verbundene autonome Computer. Sie durchziehen unser tägliches Leben. Unsere Handys spannen mit Bluetooth ein PAN (Personal Area Network) auf, zu Hause und am Arbeitsplatz sind die Rechner in einem LAN (Lokal Area Network) verbunden und haben Zugang zum größten existierendem WAN (Wide Area Network) der Welt, dem Internet.
Der Irakkrieg mit seinen Folgen und latente Terrorängste seit dem 11. September 2001 bestimmten die Weltpolitik und Gedanken der Bürger. Bedrohungen werden intensiver wahrgenommen. In der IT-Welt stoßen Berichte über Viren, Würmer und Sicherheitslücken auf reges Interesse. Die drei meistgelesenen Meldungen des Heise Verlages im August 2003 drehten sich um den Computerwurm W32.Blaster. Die zunehmende Anzahl von Breitbandzugängen zum Internet ermöglicht eine schnellere Verbreitung von Viren und Würmern, wie SQL Slammer, Blaster, Sobig und Mydoom. Der SQL Slammer zeigte die kürzeste bisher bekannte Verbreitungszeit, er benötigte von seinem Erscheinen an 30 Minuten um alle anfälligen und im Internet erreichbaren Rechner zu infizieren. Seit dem 15. Juni 2004 existiert mit dem EPOC.Cabir auch der erste Handy-Wurm. Diese Entwicklung brachte in den letzten 2-3 Jahren eine enorme Zunahme von Störungen des Netzwerkbetriebes. Die Fraunhofer Gesellschaft antwortete darauf kürzlich mit der Veröffentlichung zweier Grundsatzdokumente zur IT-Sicherheit in den einzelnen Instituten. Noch sind Viren und Würmer die größte Gefahr. Durch den Einsatz von Antivirentechnik ist dies allerdings […]
Jedes der vergangenen Jahrhunderte war durch seine Technologien geprägt. Im 18. Jahrhundert wurden mechanische Systeme entwickelt, die die industrielle Revolution ermöglichten.
Das 19. Jahrhundert brachte Anwendungen der Dampfmaschine und später der Elektrizität, die eine Vielzahl von Automatisierungen ermöglichten. Das 20. Jahrhundert war geprägt durch das Sammeln, Verarbeiten und Verteilen von Informationen. Der Aufbau weltweiter Telefonnetze und Kommunikationssatelliten, die Erfindung des Radio und Fernsehen und der Aufstieg der Computerindustrie sind nur einige Stellvertreter des 20. Jahrhunderts.
Wir befinden uns heute im Aufbruch in eine neue Gesellschaft, der so genannten Informationsgesellschaft. Rechnernetze sind eine wichtige technische Voraussetzung dieser Gesellschaft, da sie den Zugang zu Informationen an jedem Ort ermöglichen. Unter Rechnernetzen versteht man mehrere miteinander, unter Nutzung einer bestimmten Technologie, verbundene autonome Computer. Sie durchziehen unser tägliches Leben. Unsere Handys spannen mit Bluetooth ein PAN (Personal Area Network) auf, zu Hause und am Arbeitsplatz sind die Rechner in einem LAN (Lokal Area Network) verbunden und haben Zugang zum größten existierendem WAN (Wide Area Network) der Welt, dem Internet.
Der Irakkrieg mit seinen Folgen und latente Terrorängste seit dem 11. September 2001 bestimmten die Weltpolitik und Gedanken der Bürger. Bedrohungen werden intensiver wahrgenommen. In der IT-Welt stoßen Berichte über Viren, Würmer und Sicherheitslücken auf reges Interesse. Die drei meistgelesenen Meldungen des Heise Verlages im August 2003 drehten sich um den Computerwurm W32.Blaster. Die zunehmende Anzahl von Breitbandzugängen zum Internet ermöglicht eine schnellere Verbreitung von Viren und Würmern, wie SQL Slammer, Blaster, Sobig und Mydoom. Der SQL Slammer zeigte die kürzeste bisher bekannte Verbreitungszeit, er benötigte von seinem Erscheinen an 30 Minuten um alle anfälligen und im Internet erreichbaren Rechner zu infizieren. Seit dem 15. Juni 2004 existiert mit dem EPOC.Cabir auch der erste Handy-Wurm. Diese Entwicklung brachte in den letzten 2-3 Jahren eine enorme Zunahme von Störungen des Netzwerkbetriebes. Die Fraunhofer Gesellschaft antwortete darauf kürzlich mit der Veröffentlichung zweier Grundsatzdokumente zur IT-Sicherheit in den einzelnen Instituten. Noch sind Viren und Würmer die größte Gefahr. Durch den Einsatz von Antivirentechnik ist dies allerdings […]
Leseprobe
Inhaltsverzeichnis
Martin Knechtel
Entwicklung und Implementierung eines Intrusion-Detection und -Prevention Systems
zur Erkennung und Abwehr von gezielten Attacken und anormalen Ereignissen im LAN
ISBN-10: 3-8324-9571-1
ISBN-13: 978-3-8324-9571-8
Druck Diplomica® GmbH, Hamburg, 2006
Zugl. Berufsakademie Sachsen, Staatliche Studienakademie, Dresden, Deutschland,
Diplomarbeit, 2004
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica GmbH
http://www.diplom.de, Hamburg 2006
Printed in Germany
Autorenreferat
KNECHTEL, Martin: Entwicklung und Implementierung eines Intrusion-Detection und
-Prevention Systems zur Erkennung und Abwehr von gezielten Attacken und anorma-
len Ereignissen im LAN, Berufsakademie Sachsen, Staatliche Studienakademie Dresden,
Studienrichtung Informationstechnik, Diplomarbeit, 2004.
88 Seiten, 75 Literaturquellen, 4 Anlagen.
Die zunehmende Bedrohung der IT-Sicherheit durch Attacken und die Verbreitung von
Computerw¨
urmern und -viren ¨
uber Lokale Netze erfordern neue Ideen. Schon auf Netz-
werkebene m¨
ussen unerw¨
unschte Ereignisse erkannt und wenn m¨
oglich gleich automa-
tisch verhindert werden. Intrusion Detection erm¨
oglicht die Erkennung, Intrusion Pre-
vention und Intrusion Response die Abwehr, ungewollter Ereignisse im LAN. Bisher
erh¨
altliche L¨
osungen werden ¨
ublicherweise an Knoten zwischen verschiedenen Netzen
installiert und leisten so einen Beitrag zum Schutz der Netze voreinander. Zur Abwehr
von Computerw¨
urmern und -viren taugen sie nur bedingt, weil gezielte Reaktionen ge-
gen einzelne Arbeitsstationen (PCs im LAN) nur begrenzt m¨
oglich sind. In vorliegender
Diplomarbeit werden Methoden vorgestellt und, darauf aufbauend, ein prototypisches
System zum aktiven Schutz Lokaler Netze entwickelt.
Inhaltsverzeichnis
Abk¨
urzungen
7
Begriffserkl¨
arung
9
1
Einleitung
10
1.1
Rechnernetze in der Informationsgesellschaft . . . . . . . . . . . . . . . .
10
1.2
Steigendes Sicherheitsbewusstsein . . . . . . . . . . . . . . . . . . . . . .
10
1.3
Anlass und Ziel dieser Arbeit
. . . . . . . . . . . . . . . . . . . . . . . .
11
2
Grundlagen
13
2.1
Angriffe auf Lokale Netze . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
2.1.1
Ausgangspunkte von Bedrohungen
. . . . . . . . . . . . . . . . .
13
2.1.2
Typen von Attacken . . . . . . . . . . . . . . . . . . . . . . . . .
17
2.1.3
Fehlkonfigurationen . . . . . . . . . . . . . . . . . . . . . . . . . .
18
2.1.4
Automatisierte Attacken durch St¨
orprogramme . . . . . . . . . .
18
2.2
Existierende M¨
oglichkeiten zur Abwehr von Angriffen auf Lokale Netze .
21
2.2.1
Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
2.2.2
Intrusion Detection System
. . . . . . . . . . . . . . . . . . . . .
22
2.2.3
Intrusion Prevention System und Intrusion Response System . . .
22
2.2.4
Ereignisbehandlung - Incident Response
. . . . . . . . . . . . . .
23
2.2.5
Honeypot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
2.3
Arten von Intrusion Detection Systemen . . . . . . . . . . . . . . . . . .
24
2.3.1
Network-Based IDS . . . . . . . . . . . . . . . . . . . . . . . . . .
25
2.3.2
Host-Based IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2.3.3
Distributed IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2.4
Methoden der Network-Based Intrusion Detection . . . . . . . . . . . . .
28
2.5
Platzierung eines Network-Based IDS im LAN . . . . . . . . . . . . . . .
31
2.5.1
Inline NIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
2.5.2
Sniffing NIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
2.6
Platzierung eines Network-Based IPS/IRS im LAN . . . . . . . . . . . .
33
4
2.6.1
Methoden eines Inline NIPS . . . . . . . . . . . . . . . . . . . . .
34
2.6.2
Methoden eines Sniffing NIRS . . . . . . . . . . . . . . . . . . . .
35
2.7
IDS, IRS und IPS am Markt . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.7.1
Das Open Source IDS Snort . . . . . . . . . . . . . . . . . . . . .
39
2.7.2
Warum ist Snort zu kommerziellen Produkten konkurrenzf¨
ahig? .
40
2.7.3
Open Source in sicherheitskritischen Anwendungen . . . . . . . .
42
2.8
Erwartungen an IDS und IPS und ihre Grenzen . . . . . . . . . . . . . .
42
2.8.1
Grenzen von NIDS . . . . . . . . . . . . . . . . . . . . . . . . . .
43
2.8.2
Grenzen von NIPS . . . . . . . . . . . . . . . . . . . . . . . . . .
45
2.8.3
Grenzen von NIRS . . . . . . . . . . . . . . . . . . . . . . . . . .
45
2.9
Rechtliche Aspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3
Prototypische Implementierung einer Teststellung
48
3.1
Anforderungsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
3.2
Konzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
3.2.1
Logischer Arbeitsablauf von
"
Patrol" bei einem Ereignis im LAN .
50
3.2.2
Details zum Konzept . . . . . . . . . . . . . . . . . . . . . . . . .
52
3.2.3
Verwendete Hardware
. . . . . . . . . . . . . . . . . . . . . . . .
52
3.2.4
Verwendete Werkzeuge und Programmiersprachen . . . . . . . . .
54
3.3
Vorarbeit: Switchbelegung eines Layer3-Switches per SNMP ermitteln . .
55
3.4
Realisierung des Systems
"
Patrol" . . . . . . . . . . . . . . . . . . . . . .
57
3.4.1
Snort als Gundlage f¨
ur ein IPS
. . . . . . . . . . . . . . . . . . .
57
3.4.2
Implementierung eines Output Plug-In f¨
ur Snort . . . . . . . . . .
59
3.4.3
Die Datenbank von Patrol . . . . . . . . . . . . . . . . . . . . . .
59
3.4.4
Aktualisierung der Regeln unter Verwendung der Software Oink-
master . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
3.4.5
Das Web-Interface zur Administration . . . . . . . . . . . . . . .
61
3.4.6
Benachrichtigung . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
3.4.7
Maßnahmen zur Sicherheit von Patrol
. . . . . . . . . . . . . . .
63
3.5
Wirksamkeitstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
3.5.1
Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
3.5.2
Durchf¨
uhrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
3.5.3
Ergebnisse und Testbewertung . . . . . . . . . . . . . . . . . . . .
65
3.5.4
Betrachtungen zur Performance . . . . . . . . . . . . . . . . . . .
65
3.6
Betriebswirtschaftliche Betrachtungen . . . . . . . . . . . . . . . . . . . .
65
4
Zusammenfassung
67
4.1
Einordnung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . .
67
4.2
Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
4.2.1
Vorschl¨
age zur Weiterentwicklung von
"
Patrol" . . . . . . . . . . .
68
5
Literaturverzeichnis
70
Abbildungsverzeichnis
76
Tabellenverzeichnis
77
Anhang
78
A Patrol in einem exemplarischen Test
79
B CD-ROM
83
B.1 Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
C Wichtige Aktivit¨
atsdiagramme zur Software von Patrol
86
D Einige Tools zur Netzwerkanalyse
88
6
Abk¨
urzungen
ARP
Address Resolution Protocol
ASIC
Application-specific Integrated Circuit
BGP
Border Gateway Protocol
BSD
Berkeley Software Distribution
CSV
Comma Separated Value
DCOM
Distributed Component Object Model
DHCP
Dynamic Host Configuration Protocol
DIDS
Distributed IDS
DMZ
Demilitarized Zone
DoS
Denial of Service
ERM
Entity-Relationship Modell
FTP
File Transfer Protocol
IDS
Intrusion Detection System
IPS
Intrusion Prevention System
IP
Internet Protocol, Intrusion Prevention
IRC
Internet Relay Chat
IRS
Intrusion Response System
IT
Informationstechnik
IWS
Institut f¨
ur Werkstoff- und Strahltechnik
7
LAN
Local Area Network
NIC
Network Interface Card
NIDS
Network-Based IDS
NIPS
Network-Based IPS
NIRS
Network-Based IRS
NLP
Normal Link Pulse
OID
Object Identifier
OSI
Open Systems Interconnection (Reference Modell)
PAN
Personal Area Network
RFC
Request For Comments
RSPAN
Remote Switched Port Analyzer
SANS
System Administration, Networking and Security Institute
SMB
Server Message Block
SMTP
Simple Mail Transport Protocol
SNMP
Simple Network Management Protocol
SPAN
Switched Port Analyzer
SPADE
Statistical Packet Anomaly Detection Engine
SSL
Secure Socket Layer
TCP
Transmission Control Protocol
VLAN
Virtual LAN
VPN
Virtual Private Network
WAN
Wide Area Network
WAP
Wissenschaftler-Arbeitsplatz
WLAN
Wireless LAN
8
Begriffserkl¨
arung
NIDS
Ein Network-Based Intrusion Detection System dient der Erkennung von
Ereignissen im LAN.
NIPS
Ein Network-Based Intrusion Prevention System verhindert Angriffe auf ein
LAN, indem es verd¨
achtige Pakete erkennt und nicht weiterleitet. Es ist
oft als Appliance ausgef¨
uhrt, die physikalisch in eine Netzwerkverbindung
zwischengeschaltet ist.
NIRS
Ein Network-Based Intrusion Response System antwortet auf erkannte Er-
eignisse im LAN mit einer definierten Aktion.
9
1 Einleitung
1.1 Rechnernetze in der Informationsgesellschaft
Jedes der vergangenen Jahrhunderte war durch seine Technologien gepr¨
agt. Im 18. Jahr-
hundert wurden mechanische Systeme entwickelt, die die industrielle Revolution erm¨
og-
lichten. Das 19. Jahrhundert brachte Anwendungen der Dampfmaschine und sp¨
ater der
Elektrizit¨
at, die eine Vielzahl von Automatisierungen erm¨
oglichten. Das 20. Jahrhun-
dert war gepr¨
agt durch das Sammeln, Verarbeiten und Verteilen von Informationen. Der
Aufbau weltweiter Telefonnetze und Kommunikationssatelliten, die Erfindung des Ra-
dio und Fernsehen und der Aufstieg der Computerindustrie sind nur einige Stellvertreter
des 20. Jahrhunderts. Wir befinden uns heute im Aufbruch in eine neue Gesellschaft,
der so genannten Informationsgesellschaft. Rechnernetze sind eine wichtige technische
Voraussetzung dieser Gesellschaft, da sie den Zugang zu Informationen an jedem Ort
erm¨
oglichen. Unter Rechnernetzen versteht man mehrere miteinander, unter Nutzung
einer bestimmten Technologie, verbundene autonome Computer (nach [1, Seite 15]).
Sie durchziehen unser t¨
agliches Leben. Unsere Handys spannen mit Bluetooth ein PAN
(Personal Area Network) auf, zu Hause und am Arbeitsplatz sind die Rechner in einem
LAN (Lokal Area Network) verbunden und haben Zugang zum gr¨
oßten existierendem
WAN (Wide Area Network) der Welt, dem Internet.
1.2 Steigendes Sicherheitsbewusstsein
Der Irakkrieg mit seinen Folgen und latente Terror¨
angste seit dem 11. September 2001
bestimmten die Weltpolitik und Gedanken der B¨
urger. Bedrohungen werden intensiver
wahrgenommen. In der IT-Welt stoßen Berichte ¨
uber Viren, W¨
urmer und Sicherheits-
l¨
ucken auf reges Interesse. Die drei meistgelesenen Meldungen des Heise Verlages im
August 2003 drehten sich um den Computerwurm W32.Blaster [2].
Die zunehmende Anzahl von Breitbandzug¨
angen zum Internet erm¨
oglicht eine schnellere
Verbreitung von Viren und W¨
urmern, wie SQL Slammer, Blaster, Sobig und Mydoom.
Der SQL Slammer zeigte die k¨
urzeste bisher bekannte Verbreitungszeit, er ben¨
otigte
von seinem Erscheinen an 30 Minuten um alle anf¨
alligen und im Internet erreichbaren
10
Rechner zu infizieren [3, Seite 90]. Seit dem 15. Juni 2004 existiert mit dem EPOC.Cabir
auch der erste Handy-Wurm [4]. Diese Entwicklung brachte in den letzten 2-3 Jahren eine
enorme Zunahme von St¨
orungen des Netzwerkbetriebes. Die Fraunhofer Gesellschaft
antwortete darauf k¨
urzlich mit der Ver¨
offentlichung zweier Grundsatzdokumente zur
IT-Sicherheit in den einzelnen Instituten ([5] und [6]).
Noch sind Viren und W¨
urmer die gr¨
oßte Gefahr. Durch den Einsatz von Antiviren-
technik ist dies allerdings r¨
uckl¨
aufig und Angriffe aus dem Netz zielen zunehmend auf
Browser-Schwachstellen [7]. Die Monokultur mit Windows, Internet Explorer (94,42%
Marktanteil in Europa [8]) und Outlook Express bietet ein breites Angriffsziel.
Die h¨
aufigste Sicherheitsl¨
ucke in einer Software ist ein Buffer Overflow [3, Seite 71]. Dabei
¨
uberschreibt ein Angreifer mit einer zu großen Datenmenge einen unterdimensionierten
Speicherbereich. Die Nachfolgenden Informationen werden ¨
uberschrieben. Ersetzt man
die R¨
ucksprungadresse eines Unterprogrammes mit Maschinencode, wird dieser ausge-
f¨
uhrt [3, Seite 71]. Selbst die Prozessorenhersteller Intel, AMD, VIA und Transmeta
reagieren inzwischen mit Schutzfunktionen gegen Buffer Overflows [9].
1.3 Anlass und Ziel dieser Arbeit
Die vorliegende Diplomarbeit ist im Fraunhofer Institut f¨
ur Werkstoff- und Strahltechnik
(IWS) in Dresden entstanden. Die Fraunhofer Gesellschaft ist f¨
uhrend in angewandter
Forschung und Entwicklung.
Am 14. November 2003 trat der Computerwurm W32.Blaster.Worm oder auch
W32/Lovsan.worm.a [10] im LAN des IWS auf. Der Wurm nutzt eine Schw¨
ache im Win-
dows Distributed Component Object Model (DCOM), einem Standard zur Netzwerk-
kommunikation von Applikationen. Die Administratoren mussten herausfinden, welche
Rechner betroffen sind, um diese vom Netz zu nehmen und manuell zu reinigen. Da-
f¨
ur waren Kenntnisse ¨
uber das Verhalten des Wurms und manuelle Untersuchungen des
Netzwerkverkehrs n¨
otig.
Rechnernetze spielen insbesondere f¨
ur die Kommunikationstechnik von Unternehmen
eine wichtige Rolle. Der reibungslose Betrieb ist oft gesch¨
aftskritisch. W¨
urmer, Viren,
Trojaner und Attacken nutzen Sicherheitsl¨
ucken der Netzknoten aus. Potenzielle An-
f¨
alligkeiten sind immer vorhanden, sobald ein Netzknoten einen Dienst anbietet. Einen
vollst¨
andigen Schutz dieser Dienste gibt es nicht, weil sich der Administrator beim Absi-
chern und Patchen der Serversoftware, Betriebssysteme und Netzhardware immer einen
Wettlauf mit der Zeit liefert. Außerdem ist es schwer, die Notwendigkeit eines neuen
Patches, der durchaus neue Gefahren bringen k¨
onnte, richtig einzusch¨
atzen. Die Infor-
mationspolitik etablierter Unternehmen, die einen Ruf zu verlieren haben, tut ihr ¨
ubri-
11
ges. Grobe Sicherheitsprobleme werden oft klein geredet, so zum Beispiel die Directory
Traversal Schw¨
ache des Webservers IIS von Microsoft (nachzulesen unter [11, Seite 9]).
Meist werden Attacken, wenn ¨
uberhaupt, erst sp¨
at bemerkt. Die bisherige Einbruchser-
kennung (Intrusion Detection) in Lokalen Netzen ist f¨
ahig, Angriffe zu erkennen und zu
protokollieren. Aus den entstandenen Logfiles k¨
onnen im Nachgang Analysen gezogen
werden, was allerdings oft sehr tiefgr¨
undige Sachkenntnisse vom Personal voraussetzt.
Die vorliegende Diplomarbeit besch¨
aftigt sich mit M¨
oglichkeiten zur Erkennung und
Abwehr von gezielten Attacken und anormalen Ereignissen im LAN. Insbesondere geht es
um die gezielte Abwehr von Computerw¨
urmern und Viren auf Netzwerkebene. Zun¨
achst
soll der aktuelle Wissensstand auf dem Gebiet der Intrusion Detection dargelegt werden.
Anschließend ist selbstst¨
andig ein prototypisches System zum aktiven Schutz Lokaler
Netze zu erarbeiten, welches sp¨
ater am Institut eingesetzt werden kann. Hierf¨
ur k¨
onnen
am Markt angebotene Soft- und Hardwarel¨
osungen verwendet und, wenn n¨
otig, mit
Eigenentwicklungen erg¨
anzt werden.
12
2 Grundlagen
2.1 Angriffe auf Lokale Netze
2.1.1 Ausgangspunkte von Bedrohungen
Zur Abwehr einer Bedrohung ist diese zun¨
achst genau zu definieren. Diese Diplomarbeit
besch¨
aftigt sich mit Bedrohungen, die als
"
gezielte Attacken und anormale Ereignisse
im LAN" beschrieben werden. Was verbirgt sich dahinter? Das folgende Kapitel bietet
eine Systematisierung m¨
oglicher Bedrohungen f¨
ur ein Lokales Netz.
Die erste von sechs CD-ROMs zu Schulungszwecken [12] f¨
ur das Zertifizierungsprogramm
der Firma Cisco unterscheidet folgende Arten von Bedrohungen:
· unstrukturierte
· strukturierte
· externe
· interne
Unstrukturierte Bedrohungen gehen meist von unerfahrenen Einzelt¨
atern aus, welche
einfach zu beschaffende Hacking Tools verwenden. Strukturierte Bedrohungen werden
von h¨
oher motivierten und technisch kompetenten T¨
atern ausgel¨
ost, welche zumindest
¨
uber ein grundlegendes Verst¨
andnis von Rechnernetzen verf¨
ugen. T¨
ater, die einen Weg
von außen in das interne Netz suchen und dabei meist Internet oder Einwahlverbindun-
gen f¨
ur den Zugriff nutzen, werden als externe Bedrohungen eingestuft. Eine detaillierte
Aufschl¨
usselung externer Bedrohungen findet man im LinuxFocus Artikel
"
Angriffe von
außen" von Eric Detoisien [13]. Interne Bedrohungen gehen von autorisierten Individuen
aus, die innerhalb des Netzes agieren.
externen Bedrohungen - Schutz durch eine Firewall
Die meisten Unternehmen verf¨
ugen heute ¨
uber ein Intranet. Mit einem Intranet bezeich-
net man ein Netz, welches f¨
ur eine geschlossene Benutzergruppe zur Verf¨
ugung steht [14,
13
Seite 391]. Es benutzt die gleichen Protokolle wie das Internet. Die Definition schreibt es
nicht zwingend vor, jedoch verf¨
ugt ein Intranet meist ¨
uber einen Zugang zum Internet
und umgekehrt. Um diese Verbindung abzusichern, bedient man sich einer Firewall. Die
Abbildung 2.1 zeigt den logischen Aufbau eines Intranets mit Verbindung zum Internet,
welche durch eine Firewall gesch¨
utzt ist.
Eine Demilitarized Zone (DMZ) beherbergt Rechner, die sowohl vom Internet aus, als
auch vom Intranet aus erreichbar sein m¨
ussen. Dies sind beispielsweise Webserver, Fi-
leserver, Proxy
1
und VPN Gateway
2
. Eine Firewall sichert den ¨
Ubergang eines Netzes
in ein anderes, indem nur bestimmte Verbindungen zugelassen werden. Die als personal
Firewall bekannten Implementierungen sichern nur den Rechner auf dem sie betrieben
werden. Bildlich kann man eine Firewall als ein Haus darstellen, in dem einige T¨
uren
abgeschlossen sind.
Abbildung 2.1: eine Firewall sch¨
utzt das Unternehmen vor externen Bedrohungen
interne Bedrohungen
Der Einsatz von Firewalls ist seit Jahren etabliert und externe Bedrohungen sind damit
gut in Griff zu bekommen. Ein Problem bleiben aber weiterhin interne Bedrohungen.
Nach einer in [12] aufgef¨
uhrten Statistik der Firma Cisco geben 70% der befragten Fir-
men an, dass ihre Sicherheitsmaßnahmen bereits mindestens einmal ¨
uberwunden wur-
den. Der Anteil aller Angriffe, die aus dem internen Netz kommen betr¨
agt dabei 60%.
Allerdings darf man nicht annehmen, dass dieser hohe Anteil von Angriffen durchweg
mutwillig ist. Der weitaus gr¨
oßte Teil interner Bedrohungen ist ungewollt. Oft infiziert
ein ahnungsloser Benutzer seinen eigenen Rechner mit einem St¨
orprogramm, und dient
so als Ausgangspunkt von Angriffen auf das Lokale Netz des Unternehmens. Es lassen
sich einige Szenarios ungewollter interner Bedrohungen aufzeigen, die in der Praxis re-
1 Proxy nach [14, Seite 395]: Ein Proxy ist ein Gateway auf Applikationsebene als Stellvertreter zwi-
schen Client und Server. Er erm¨
oglicht die Kontrolle der ¨
ubertragenen Daten.
2 Gateway nach [14, Seite 43]: Ein Gateway ist ein Zwischensystem zur Verbindung von Subnetzen auf
Applikationsebene. Zu VPN Gateway im Speziellen siehe Abschnitt
"
Teleworker" auf Seite 15.
14
levant sind. Im Folgenden werden drei konkrete Praxisf¨
alle geschildert, in denen eine
interne Bedrohung des LAN entstehen kann.
Außendienstmitarbeiter
Der Internetzugang ist aus der Arbeitswelt der Informations-
gesellschaft nicht wegzudenken. Ein Außendienstmitarbeiter verf¨
ugt h¨
aufig ¨
uber einen
Laptop. Mit diesem baut er unterwegs bei Bedarf Einw¨
ahlverbindungen ins Internet auf.
Der Rechner ist dann mit seiner IP-Adresse (Internet Protokoll) aufl¨
osbar und damit
angreifbar. Der Laptop wird auch im LAN (Local Area Network, Lokales Netz) der Fir-
ma betrieben. Ein Computerwurm kann auf diese Weise, ohne eine Firewall passieren
zu m¨
ussen, in das LAN gelangen. Der Einsatz einer Personal Firewall auf dem mobilen
Ger¨
at kann diese Gefahr eingrenzen.
Abbildung 2.2: ein Computerwurm umgeht die Firewall durch die Unachtsamkeit eines
Außendienstmitarbeiters
G¨
aste
Auch G¨
aste im Haus sollte man nicht untersch¨
atzen. Nebeneink¨
unfte durch
Industriespionage sind mit Sicherheit ein nicht zu verachtender Anreiz. Allerdings wird
dies eher der Ausnahmefall sein, da es eine Portion krimineller Energie voraussetzt.
V¨
ollig unbeabsichtigt jedoch kann das Notebook des Gastes mit einem Computerwurm
infiziert sein, was dem Beispiel des Außendienstmitarbeiters wieder sehr nahe kommt. Es
ist leichtsinnig, einem Gast uneingeschr¨
ankten Zugang zum internen Netz zu gew¨
ahren.
Besser ist ein abgetrenntes Virtual LAN
3
(VLAN) f¨
ur G¨
aste, welches logisch vor der
Firewall liegt und nur ins Internet geroutet wird.
Auch ein mitgebrachter Datentr¨
ager mit Computerviren birgt Gefahren. Diese sind al-
lerdings auf Dateisystemebene durch einen Virenscanner zu bek¨
ampfen.
Teleworker
Eine weitere ungewollte Bedrohung kann durch einen Teleworker entste-
hen. Ein Teleworker ist ein Mitarbeiter, welcher von zu Hause aus Zugriff auf das LAN
3 VLAN nach [14, Seite 228]: Physisch an ein LAN angeschlossene Teilnehmer werden logisch getrennten
LANs zugeordnet. Dadurch ergeben sich getrennte Benutzergruppen trotz gemeinsamer Infrastruktur.
15
der Firma hat. Das Fraunhofer IWS bietet mit Citrix
4
¨
uber eine SSL-Verbindung (Secure
Socket Layer) gesch¨
utzten Zugang zum Intranet. Im Allgemeinen wird der Zugang zum
LAN der Firma ¨
uber ein VPN (Virtual Private Network) aufgebaut. Unter einem VPN
versteht man einen sicheren Tunnel zu einem privaten Netzwerk durch ein ¨
offentliches
Netz, wie das Internet (vergl. [1, Seite 840]). Weit verbreitet sind inzwischen Router, wel-
che viele Funktionen, wie WLAN (Wireless LAN) Access Point, DSL (Digital Subscriber
Line) Router und VPN Gateway in einem Ger¨
at vereinen. Oft ist gerade der WLAN
Access Point zu wenig abgesichert, wie erst k¨
urzlich Daniel Bachfeld in seinem Artikel
"
Per Anhalter durchs Internet" im c't Magazin [15] einmal mehr ausf¨
uhrlich darlegte.
Oft wird aus Gr¨
unden der Bequemlichkeit auf WEP Verschl¨
usselung ganz verzichtet.
Zugegebenermaßen ist ein angemessener Schutz durch WEP allein ebenfalls diskussi-
onsw¨
urdig, dies soll an dieser Stelle jedoch nicht bewertet werden. Ein Unbefugter, der
sich Zutritt in das WLAN verschaffen kann, gelangt ebenfalls in das LAN der Firma,
welches per VPN mit dem Heimnetz des Teleworkers verbunden ist. Der Zugriff auf das
LAN des Unternehmens erfolgt an der Firewall vorbei.
Auch hier l¨
asst sich das Beispiel um eine Variante ohne kriminelle Energie erweitern:
Die Rechner der Freundin ist mit an das private Heimnetzwerk des Teleworkers ange-
schlossen. Wird dieser Rechner von einem Computerwurm infiziert, stellt er eine Gefahr
f¨
ur das Netzwerk des Arbeitgebers dar.
Abbildung 2.3: der Angreifer gelangt ¨
uber das VPN Gateway des Teleworkers in das
Intranet
Rogue Access Point
Ein weiteres Bedrohungspotential geht von einem so genann-
ten Rogue Access Point aus. Damit bezeichnet man spontan eigenm¨
achtig aufgestellte
WLAN Zugangsknoten mit Verbindung zum internen LAN, ohne R¨
ucksprache mit der
Abteilung f¨
ur IT (Informationstechnik), durch einen Mitarbeiter. Durch einen unzu-
reichend abgesicherten Access Point entsteht auch hier eine Hintert¨
ur, vorbei an der
Firewall des Unternehmens.
4 http://citrix.com/
16
Abbildung 2.4: der Angreifer bekommt außerhalb des Geb¨
audes eine Verbindung zum
unachtsam platzierten WLAN Access Point
Konsequenzen
Die vorgestellten Praxisf¨
alle verursachen sowohl gewollte als auch un-
gewollte interne Bedrohungen f¨
ur die IT-Sicherheit. Da man von einem Normalanwender
nicht den hohen Sachverstand eines IT-Experten erwarten kann, m¨
ussen Vorkehrungen
getroffen werden. Allerdings ist das nicht nur ein technisches Problem, sondern auch ein
organisatorisches. Beispielsweise m¨
ussen Verhaltensregeln f¨
ur Nutzer und Ablaufpl¨
ane
f¨
ur Notf¨
alle aufgestellt werden.
2.1.2 Typen von Attacken
Das Kapitel 2.1.1 legt dar, woher Attacken kommen. Im Folgenden geht es um die
Einordnung von Angriffsarten. Die Motivation f¨
ur Attacken auf Lokale Netze ist ganz
unterschiedlicher Natur, man kann folgende Einteilung vornehmen:
· Erkundung (reconnaissance attacks)
· Zugriff (access attacks)
· Einschr¨ankung oder Verhinderung der Verf¨ugbarkeit von Diensten (Denial of Ser-
vice)
Mit der Motivation der Erkundung eines LAN wird das Netz vermessen und karto-
graphiert (die Topologie wird ermittelt). Gefundene Rechner werden nach angebote-
nen Diensten untersucht. Zu den gefundenen Diensten werden bekannte Schwachstellen
nachgeschlagen und auf Anwendbarkeit ¨
uberpr¨
uft. Einige Werkzeuge ¨
ubernehmen die-
se Aufgabe unter einer einheitlichen Oberfl¨
ache, zu nennen sind hier die zwei freien,
etablierten Vertreter Nessus
5
f¨
ur Linux oder GFi LANguard
6
f¨
ur Windows.
5 http://www.nessus.org/
6 http://www.gfisoftware.com/
17
Zu den Zugriffsattacken z¨
ahlt der Versuch, unautorisiert Daten zu empfangen oder Be-
nutzerrechte auszuweiten.
Wenn Rechnernetze angegriffen werden, um ihre Verf¨
ugbarkeit zu st¨
oren, spricht man
von einer DoS (Denial of Service) Attacke. Ziel ist es, das angegriffene System gezielt zu
¨
uberlasten. Das Mittel kann die Ausnutzung bekannter Schwachstellen des Zielsystems,
beispielsweise durch einen Bufferoverflow [16, Seite 240] sein. Ein anderer Weg f¨
uhrt
¨
uber die quantitative ¨
Uberlastung eines angebotenen Dienstes, wie es beispielsweise mit
einer SYN-Flood Attacke (¨
uberm¨
aßig viele Verbindungsanfragen an einen TCP-Port,
siehe [16, Seite 562]) m¨
oglich ist.
2.1.3 Fehlkonfigurationen
Ein konzeptionell sicheres System kann durch Fehlkonfigurationen gef¨
ahrdet werden. Im
Fraunhofer IWS werden alle Rechner zum Zeitpunkt ihrer Einrichtung auf einen sicheren
Stand (autorisierte Software, aktuelles Patch-Level) gebracht. Jedoch behalten sie diesen
Stand nicht lange, Anforderungen der Nutzer kommen hinzu, Plug-Ins und neue Software
werden installiert. F¨
ur einen Administrator ist es unm¨
oglich, jede Software zu kennen
und Hilfe anzubieten.
2.1.4 Automatisierte Attacken durch St¨
orprogramme
Der gr¨
oßte Teil ausgef¨
uhrter Attacken wird nicht manuell sondern mit Hilfe von fertigen
St¨
orprogrammen automatisch ausgef¨
uhrt. Folgende Arten von St¨
orprogrammen werden
nach [17] unterschieden:
· Trojanische Pferde
· Namensvettern
· Computerw¨urmer
· Computerviren
Unter den mit historischem Bezug benannten trojanischen Pferden versteht man Routi-
nen in Programmen, die nicht dokumentiert sind. Der Nutzer l¨
asst ein Programm laufen
und ahnt dabei nichts von den Funktionen, die w¨
ahrenddessen unbemerkt im Hinter-
grund ablaufen.
Namensvettern sind Programme unter dem Namen eines etablierten Softwareproduk-
tes, von dem man einen definierten Funktionsumfang erwartet. Der Namensvetter f¨
uhrt
jedoch andere Funktionen aus.
18
Computerw¨
urmer sind selbstst¨
andige St¨
orprogramme, die sich ohne Benutzereingriffe
unter Ausnutzung von Sicherheitsl¨
ucken in Rechnernetzen verbreiten.
Ein Computervirus ist nach der Definition von [1, Seite 882] selbstreproduzierender, mo-
biler Code. Ein Computervirus gelangt durch eine Aktion des Benutzers, beispielsweise
durch den Besuch einer Website, das ¨
Offnen eines E-Mail-Anhanges oder durch einen
mitgebrachten Datentr¨
ager auf den Rechner. Danach werden ausf¨
uhrbare Programme
auf der Festplatte infiziert. Computerviren brauchen immer ein Programm als Wirt
und sind nicht autonom ausf¨
uhrbar. Der Wirt muss erst aktiv werden, bevor auch der
Computervirus aktiv werden kann.
Die genannten St¨
orprogramme sind in Rechnernetzen zu einem riesigen Problem ge-
worden und haben Milliarden Euro an Schaden angerichtet [1, Seite 882]. Man l¨
auft
dem Problem bisher immer hinterher, es gibt noch keine konzeptionelle L¨
osung, die das
Problem im Ansatz verhindert. Neue Generationen von Betriebssystemen mit sicheren
Microkerneln k¨
onnten die Benutzer, Prozesse und Ressourcen besser abschotten und
Abhilfe bieten.
Statistiken
· Der Anteil ungewollter E-Mails (Spam) betr¨agt in Deutschland 47% [18]. Spam
ist ein ernstes Problem f¨
ur E-Mail geworden. Auswege w¨
aren die Abl¨
osung des
bisherigen SMTP-Protokolls (Simple Mail Transport Protocol), kryptographische
Signaturen unter jeder Mail zum Beweis der Authentizit¨
at oder eine White-List
mit Absendern von denen der Empf¨
anger Mails bekommen m¨
ochte.
· Der Anteil ¨uber E-Mail versendeter Viren und W¨urmer hat stark zugenommen.
Die Statistik vom Mailbackbone der Fraunhofer Gesellschaft in Tabelle 2.1 be-
legt das. Das Vertrauen in herk¨
ommliche Antiviren-L¨
osungen sinkt (nach einer
MessageLabs-Umfrage [19]). Eine neue Idee regelt den Zutritt zum LAN je nach
installierter Antivirensoftware (siehe Microsoft-Leitfaden zum Schutz vor Viren
[20], insbesondere [21]). Mitte 2004 wird mit Cisco NAC [22] ein praxistaugliches
System vorgef¨
uhrt.
Aktuelle Beispiele
Computerviren und -w¨
urmer werden immer raffinierter. Herk¨
ommliche Antiviren-L¨
osungen
werden in Zukunft nicht mehr ausreichen. Drei Beispiele belegen dies:
19
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Erscheinungsjahr
- 2004
- ISBN (eBook)
- 9783832495718
- ISBN (Paperback)
- 9783838695716
- DOI
- 10.3239/9783832495718
- Dateigröße
- 2 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Berufsakademie Sachsen in Dresden – Informationstechnik
- Erscheinungsdatum
- 2006 (Mai)
- Note
- 1,2
- Schlagworte
- it-sicherheit würmer viren quarantäne-netzwerk netzwerksicherheit
- Produktsicherheit
- Diplom.de
