Intrusion Detection am Beispiel von Snort (Teil 1)
1 Grundlagen der Intrusion Detection
1.1 Einführung in den Begriff
Mit der wachsenden Verbreitung des Internets privat und im Geschäftsleben wächst auch der Bedarf an Sicherheit. Vornehmlich Firmen-Netzwerke sind vielen Angriffs-Versuchen sowohl von innen als auch von außen ausgesetzt. Ein Packet Sniffer kann hier Abhilfe schaffen, indem er den gesamten Netzwerk-Verkehr protokolliert. Aber es kann nicht die Aufgabe des System- bzw. Netzwerk-Administrators sein, den Tag mit der Analyse der protokollierten Daten zu verbringen und etwaige Angriffe zu erkennen, zumal er dafür auch noch die spezifischen Merkmale der Unmengen möglicher Angriffe zur Hand oder besser im Kopf haben müsste. Hier helfen sogenannte Intrusion Detection Systeme weiter, die den Netzwerkverkehr mittlerweile in Echtzeit analysieren und anhand bestimmter Regeln etwaige Angriffe erkennen und bei Bedarf Aktionen ausführen, um den Angriff abzuwenden, ihn zu protokollieren oder den Administrator zu benachrichtigen.
Hier stellt sich aber zuerst die Frage, was eine Intrusion überhaupt ist. Heberlein, Levitt und Mukherjee von der University of California, Davis haben sie 1991 in [3] wie folgt definiert: Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren. Allgemeiner gefasst kann man eine Intrusion als eine Verletzung der Sicherheitsmaßnahmen eines Systems verstehen. Intrusion Detection ist noch ein sehr junges Gebiet der IT-Sicherheit und ist im allgemeinen der Versuch, Methoden zu entwickeln, mit denen Angriffe auf Rechnersysteme erkennbar sind. Frühe Intrusion Detection Systeme versuchten dies anhand der Analyse der vom Betriebssystem zur Verfügung gestellten Protokolldateien, den sogenannten Auditdaten, die dem Administrator meistens auch zur Verfügung stehen. Dass diese Methode stark verbesserungswürdig ist, liegt auf der Hand. Eine andere Möglichkeit, die auch heute ihren Zweck nicht verfehlt, ist die Überprüfung der Integrität von Dateien mit Hilfe von Tripwire, welches unter [4] zu finden ist und dessen Zweck es ist, sicherzustellen, dass Dateien nicht verändert wurden. Heutzutage kommt es nicht nur auf die Analyse von Protokolldaten eines Hosts an, sondern auf die effektive Analyse von teilweise sehr großem Netzwerkaufkommen.
Sollte nun ein Angreifer versuchen, in einen Computer oder ein Netzwerk einzudringen, auf dem ein solcher Packet Analyser installiert ist, so schlägt dieser Alarm, protokolliert den Angriff und kann ihn eventuell abwehren. Letzteres zählt aber eher zur Aufgabe von Intrusion Response Systemen, auf welche hier nur in beschränktem Maße eingegangen werden soll. Hier ist aber noch erwähnenswert, dass manche ID Systeme gewisse Möglichkeiten bieten, um auf einen Angriff zu reagieren und so auch eine gewisse Intrusion Response Möglichkeit bieten.
){kind=small}
Alexis Hildebrandt und Mathias Meyer
Figure 1: Grundprinzip der Intrusion Detection
Generell kann man ein Intrusion Detection System als eine Art Alarmanlage ansehen. Sollte ein Einbruch vom System entdeckt werden, wird der Administrator benachrichtigt (über Pager, SMS, eMail, WinPopup-Message, etc.) und kann dann entscheiden, wie er mit dem Problem umgeht. Im Extremfall wird er sich entscheiden, das System herunterzufahren oder in den Single-User-Mode bringen, um es keinem weiteren Missbrauch auszusetzen und sich ungestört der Behebung des ausgenutzten Fehlers widmen zu können.
Die Konfiguration solcher Systeme ist sehr vielfältig und kann je nach Ausführung auch sehr umfangreich werden. Die größten Unterschiede liegen wohl darin, ob man ein solches IDS für einen einzelnen Rechner einsetzen möchte oder ein ganzes Netz absichern will. Bei der Konfiguration ist es wichtig, dass die Integrität der Konfigurationsdaten gesichert ist und das im Falle eine Einbruchsmeldung selbige auch garantiert wird, das heißt, dass es sich um einen echten Angriff handelt und nicht etwa um einen Fehlalarm, der als Folge einer Fehlkonfiguration entstand. Nach der Installation eines IDS im Netzwerk wird der Administrator die ersten Wochen nach der Installation mit der Analyse des Netzwerkverkehrs verbringen, um die normale Kommunikation des zu sichernden Netzes von Gefährdungen desselben zu unterscheiden. Tut er dies nicht und verläßt sich der Einfachheit halber auf frei erhältliche Konfigurationen oder auf die Standardkonfiguration, kann es zu sogenannten False Positives oder auch False Negatives kommen. Die Gefahren einer Fehlkonfiguration werden in Abschnitt 4 genauer beschrieben.
1.2 Funktionalität eines IDS
){kind=small}
Alexis Hildebrandt und Mathias Meyer
Figure 2: Funktionsschritte eines IDS
Im Allgemeinen erledigt ein IDS seine Arbeit in drei Schritten, wie Abbildung 2 veranschaulicht. Im Nachfolgenden werden die Schritte im Einzelnen erläutert.
1.2.1 Datensammlung
Im ersten Schritt werden Daten gesammelt. Am Beispiel eines Network Intrusion Detection Systems handelt es sich hierbei um die Pakete, die das Netzwerk passieren. Somit verfolgen solche Systeme einen präventiven Ansatz, da sie einen Angriff erkennen können, während er stattfindet und gegebenenfalls Gegenmaßnahmen treffen können. Aber auch Protokolldaten, die sowohl vom Betriebssystem als auch von der auf dem Host laufenden Software abgelegt werden, können als Grundlage für die Entdeckung von Einbrüchen dienen. Sie bieten aber nur Informationen der Applikationsebene und lassen im Idealfall nur auf Angriffe auf bestimmte Programme schließen. Dieses Vorgehen wird als reaktionäres Intrusion Detection bezeichnet, da es einen Angriff nur im Nachhinein erkennen läßt und der Administrator nur für die Zukunft präventive Maßnahmen treffen kann. Außerdem ist in gewissem Maße auch die Vergabe von Betriebsmitteln durch das Betriebssystem an die laufenden Prozesse zur Auswertung interessant. Hierzu zählen mitunter die Auslastung der CPU, belegter Speicher, aktive Netzwerkverbindungen, usw.
