Einführung zu den Systemen zur Erkennung von Intrusionen

Als IDS (Intrusion Detection System) bezeichnet man einen Prozess, der unauffällig den Netzwerk-Traffic überwacht, um abnormale oder Verdächtige Aktivitäten zu ermitteln und so vorbeugend gegen Angriffe wirken kann.

Es gibt zwei unterschiedliche Gruppen von IDS  :

• N-IDS (Network Based Intrusion Detection System), sichern auf Ebene des Netzwerks.
• H-IDS (Host Based Intrusion Detection System), sichern auf Ebene der Hosts.

Ein N-IDS benötigt spezielle Hardware und bildet ein System, das im Stande ist, Pakete, die auf einem oder mehreren Netzwerklinks in Umlauf sind, zu kontrollieren, um festzustellen ob böswillige oder abnormale Aktivitäten stattfinden. Das N-IDS stellt einen oder mehrere Netzwerkadaptoren des entsprechenden Systems auf den Modus Promiskuitätpromiscuous mode), danach sind sie im "Stealth-Modus", da sie keine IP Adresse haben. Sie haben auch keinen angehängten Protokoll-Stack. Oft findet man mehrere IDS in verschiedenen Bereichen des Netzwerks, häufig wird eine Sonde außerhalb des Netzwerks angebracht, um die versuchten Angriffe zu ermitteln, und eine Sonde im Inneren, um festzustellen, welche Angriffe die Firewall durchbrochen haben oder von Innen ausgeführt wurden.

H-IDS liegt auf einem speziellen Host, daher umfasst die Bandbreite solcher Programme einen Großteil der Betriebssysteme, wie Windows, Solaris, Linux, HP-UX, Aix, etc…
Der H-IDS verhält sich wie ein Dämon oder Standarddienst auf einem Host-System. Für gewöhnlich analysiert er besondere Informationen in den Logs (syslogs, messages, lastlog, wtmp…) und fängt außerdem die aus- und eingehenden Pakete des Hosts ab, um Hinweise auf einen Angriff festzustellen (Denial of Service, Backdoors, Trojaner, nicht autorisierte Zugriffsversuche, Ausführung von böswilligem Code, Buffer Overflow-Angriffe…).

Erkennungstechniken

Der Netzwerktraffic besteht für gewöhnlich (zumindest im Internet) aus IP Datagrammen. Ein N-IDS ist im Stande, alle Pakete abzufangen, während sie auf physikalischen Verbindungen in Umlauf sind, mit denen er verbunden ist. Ein N-IDS hat einenTCP/IP Stack, der die IP Datagramme und TCP Verbindungen zusammenfügt. Er kann die folgenden Techniken zum Erkennen von Angriffen verwenden :

1. Verifikation des Protokoll-Stacks : Bei einigen Angriffen, wie zum Beispiel "Ping-Of-Death" und "TCP Stealth Scanning" wird durch einen Missbrauch der Protokolle IP, TCP, UDP, und ICMP versucht, einen Rechner anzugreifen. Durch eine einfache Protokoll-Überprüfung lassen sich die ungültigen Pakete ermitteln und oft verwendete Angriffe dieser Art entdecken.
2. Verifikation der Anwendungs-Protokolle : viele Angriffe geschehen durch die unsachgemäße Verwendung von Protokollen, wie zum Beispiel "WinNuke", verursacht durch ungültige NetBIOS Befehle (hinzufügen von OOB Daten). Um solche Angriffe wirksam aufzuspüren muss ein N-IDS viele verschiedene Angwendungsprotokolle erneut implementieren, wie NetBIOS, TCP/IP, …

   Diese Technik geht schnell (es ist nicht nötig, die gesamte Signaturdatenbank nach bestimmten Byte-Sequenzen zu durchsuchen), eliminiert teilweise Fehlwarnungen und ist daher effizienter. Durch die Protokoll-Analyse ist das N-IDS zum Beispiel im Stande, zwischen einem « Back Orifice PING » Vorfall (wenige gefährlich) und einem « Back Orifice COMPROMISE » Vorfall (sehr gefährlich) zu unterscheiden.

3. Erkennen der Angriffe durch "Pattern Matching" : Diese Technik zum Erkennen von Angriffen ist die älteste Analysemethode der N-IDS und wird immer noch häufig verwendet.

   Dabei erkennt man einen Angriff dadurch, dass man ein Paket untersucht und in einer der Bytefolgen eine Sequenz aufspürt, die für eine bestimte Signatur charakteristisch ist. Man sucht zum Beispiel nach der Zeichenkette « /cgi-bin/phf », die auf einen "phf" genannten Angriffsversuch auf das Script CGI hinweist. Diese Methode wird auch zusätzlich zu Filtern für Quell-IPs, Zieladressen der Verbindungen und Quell- oder Zielports eingesetzt. Um diese Methode zu verfeinern, kann man sie auch zusammen mit einer Sukzession oder Kombination von TCP-Flags anwenden.

   Diese Technik ist bei N-IDS des Typs "Network Grep" verbreitet, diese fangen unbearbeitete Pakete auf dem übrwachten Link ab und vergleichen sie über einen Parser für "normale Ausdrücke", der versucht, die Sequenzen der Signaturdatenbank Byte für Byte mit dem Inhalt des abgefangenen Pakets zu vergleichen.

   Der große Vorteil dieser Technik liegt in der Einfachheit der Updates und natürlich auch in der großen Menge an Signaturen, die in der N-IDS Datenbank vorhanden sind. Jedoch geht Qualität nicht gezwungenermaßen mit Quantität einher. Als Beispiel - die 8 Bytes “CE63D1D2 16E713CF” sind - wenn sie am Anfang der Daten des UDP Protokolls stehen - ein Anzeichen für Back Orifice Traffic mit Standard-Passwort. Auch wenn 80% der Angriffe mit dem Standard-Passwort geschehen, werden bei den anderen 20% personalisierte Passwörter eingesetzt, diese werden nicht unbedingt von N-IDS erkannt. Ändert man zum Beispiel das Passwort zu "evade", verändert sich die Bytefolge zu "8E42A52C 0666BC4A", was verhindert, dass N-IDS eine Warnung ausgibt. Diese Technik führt außerdem unweigerlich zu vielen Fehlwarnungen und falsch-positiven Meldungen.

Es gibt auch noch andere Methoden, um Angriffe aufzuspüren und anzuzeigen, wie die Erkennung von Angriffen durch Pattern Matching Stateful und/oder das Prüfen von gefährlichem oder abnormalen Netzwerktraffic.

Insgesamt betrachtet ist ein perfektes N-IDS ein System, das mit der besten Ausführung der eben genannten Techniken arbeitet.

Die verschiedenen Aktionen von IDS

Die wichtigsten Methoden, um Angriffe aufzuzeigen und zu blockieren sind die folgenden  :

• Rekonfiguration von Dritt-Ausstattung (Firewalls, ACL auf Routern) : Befehl, den das N-IDS an ein Austattungsgerät (Paketfilter, Firewall) sendet, für eine sofortige Rekonfiguration zum Blockieren eines Angriffs. Diese Rekonfiguration wird durch Informationen zur Beschreibung eines Angriffs (in dem(den) Paketheader(n)) ermöglicht.
• Versenden einer SNMP-Trap an einen third-party Hypervisor : Versand der Warnung (und Details der enthaltenen Informationen) im Format eines SNMP-Datagramms an einen third-party Console wie HP OpenView, Tivoli, Cabletron Spectrum, etc.
• Versand einer E-mail an einen oder mehrere User : Versand einer E-mail an einen oder mehrere Posteingänge, um auf einen ernsten Angriff hinzuweisen.
• Log des Angriffes : Speichern der Details der Warnung in einer Zentralen Datenbank, so zum Beispiel die folgenden Informationen: timestamp, @IP des Angreifers, @IP des Opfers, verwendetes Protokoll, payload).
• Speichern von verdächtigen Paketen : Speicherung aller abgefangenen Pakete (raw packets), oder nur derjenigen, die eine Warnung ausgelöst haben.
• Starten einer Anwendung : Ausführung eines externen Programms zum Durchführen einer bestimmten Aktion (Versenden einer SMS-Nachricht, Ausgabe einer auditiven Warnung...).
• Senden eines "ResetKill" : Konstruktion eines TCP FIN Pakets um das Ende einer Verbindung zu erzwingen (funktioniert nur bei Angriffstechniken über das TCP Transportprotokoll).
• Visuelle Benachrichtigung der Warnung : Anzeigen der Warnung in einer oder mehreren Management-Konsolen.

Herausforderungen für IDS

Von Seiten der Herausgeber und Fachpresse hört man immer mehr vonIPS (Intrusion Prevention System) als Ersatz für "traditionelle" IDS, oder auch als Unterscheidung dazu.

IPS ist ein System, das als Vorsorge/Schutz gegen Angriffe dient, nicht nur zum Erkennen und Aufzeigen von Angriffen, wie es bei den meisten IDS der Fall ist. Es gibt zwei wichtige Unterscheidungsmerkmale zwischen einem IDS (Netzwerk) und einen IPS (Netzwerk)   :

• die Positionierung innerhalb eines Netzwerks bei IPS, im Gegensatz zu IDS, welches nur in Abhörposition am Netzwerk liegt (für gewöhlich am Netzwerk positioniert wie ein sniffer ).
• die Möglichkeit, Angriffe sofort zu blockieren, und unabhängig vom verwendeten Transportprotokoll, ohne Rekonfigurierung eines third-party Equipments, daraus folgt, dass IPS eigentlich auf einer Technik beruht, die Pakete filtert und auf Maßnahmen zum Blockieren (drop connection, drop offending packets, block intruder, …).

Artikel verfasst am 29 Jänner 2003, vonCyrille LARRIEU.