IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
70 Nikolay Orozov: Intrusion Detection und Prevention Systeme<br />
• Das E<strong>in</strong>fügen von Regeln und die Neukonfiguration e<strong>in</strong>er Firewall benötigt auch Zeit.<br />
Inzwischen kann e<strong>in</strong> automatischer Angriff bereits abgeschlossen se<strong>in</strong>.<br />
• E<strong>in</strong> weiteres Problem ist die Anfälligkeit für Denial-of-Service-Angriffe. Dabei kann das<br />
IDS selbst zum Opfer e<strong>in</strong>es Angriffs werden.<br />
• Die Blockier-Reaktion e<strong>in</strong>es IDS auf e<strong>in</strong>en Fehlalarm kann schwerwiegende Folgen haben.<br />
2.7 NIDS Beispiel: Snort<br />
Snort ist e<strong>in</strong>e Idee von Mart<strong>in</strong> Roesch und wird von ihm als Open Source NIDS unter <strong>der</strong> GPL<br />
weiterentwickelt. Snort ist fähig, den Traffic an bestimmten Ports im Netzwerk <strong>in</strong> Echtzeit<br />
zu überwachen und zu analysieren. Snort läuft auf mehr als 20 verschiedenen Platformen,<br />
darunter L<strong>in</strong>ux, FreeBSD, OpenBSD, NetBSD, HP-UX, Solaris, MacOS X und W<strong>in</strong>dows.<br />
Snort verwendet zur Paketüberwachung die Berkeley-Paketfilterbibliothek“libpcap“ für L<strong>in</strong>ux<br />
und Unix-Systeme und “w<strong>in</strong>pcap“ für W<strong>in</strong>dows-Systeme [Möhl04]. Den Netzwerkverkehr wird<br />
anhand von Signaturen gefiltert. D.h. Snort arbeitet bei <strong>der</strong> Analyse <strong>der</strong> ges<strong>am</strong>melten Daten<br />
nach dem Pr<strong>in</strong>zip <strong>der</strong> Missbrauchserkennung. Die Konfiguration von Snort ist e<strong>in</strong>fach und<br />
flexibel. Der Bentzer hat die Möglichkeit, eigene Signaturen zu erstellen, sowie das E<strong>in</strong>fügen<br />
neuer Funktionen durch Plug<strong>in</strong>s. Die zahlreichen Optionen von Snort erlauben Zugriff auf<br />
alle wichtigen Bestandteile <strong>der</strong> zu untersuchenden Pakete. Den Datenteil e<strong>in</strong>es Paketes kann<br />
Snort anhand von B<strong>in</strong>ärmustern o<strong>der</strong> mit Pattern-Match<strong>in</strong>g analysieren.<br />
Im Normalfall wird Snort über die Kommandozeile gestartet, es wurden jedoch <strong>in</strong>zwischen<br />
e<strong>in</strong>ige grafische Werkzeuge entwickelt, wie z.B. ACID 4 , Snort IDScenter 5 , das e<strong>in</strong>e GUI für<br />
W<strong>in</strong>dows zur Verfügung stellt. (Abbildung 5).<br />
Snort kann auch als re<strong>in</strong>er Packet-Sniffer o<strong>der</strong> als Packet-Logger agieren. Die vier aufe<strong>in</strong>an<strong>der</strong><br />
aufbauenden Hauptkomponenten s<strong>in</strong>d: Sniffer, Präprozessor, Detection Eng<strong>in</strong>e und e<strong>in</strong>em<br />
für die Ausgabe zuständigen Plug<strong>in</strong>. Die Präprozessoren nehmen die Paketdaten auf und<br />
verarbeiten sie noch bevor sie analysiert werden. Sie können aussrdem Portscans entdecken<br />
und IP-Defragmentierung durchführen.<br />
Die ges<strong>am</strong>melten Daten werden auf e<strong>in</strong> bestimmtes Verhalten untersucht. Snort bietet über<br />
se<strong>in</strong>e Plug<strong>in</strong>-Schnittstelle das Plug<strong>in</strong> SPADE 6 , welches von Silicon Defense entwickelt wird.<br />
Dadurch ist e<strong>in</strong>e statistische Anomalieerkennung möglich.<br />
Snort bietet noch Möglichkeiten, Paket-Informationen zu sichern. Dies kann mit Hilfe von<br />
XML geschehen. Am CERT wurde die sogenannte SNML 7 entwickelt, mit <strong>der</strong>en Hilfe Snort<br />
die Daten formatiert <strong>in</strong> e<strong>in</strong>e Datei o<strong>der</strong> e<strong>in</strong>e Datenbank schreiben kann.<br />
Snort s<strong>am</strong>melt se<strong>in</strong>e Daten <strong>in</strong> e<strong>in</strong>em Verzeichnis und Unterverzeichnissen, die nach <strong>der</strong> IP-<br />
Adresse benannt werden, von <strong>der</strong> <strong>der</strong> Angriff ausg<strong>in</strong>g. Daten über Portscans werden <strong>in</strong> e<strong>in</strong>er<br />
geson<strong>der</strong>ten Datei gesichert.<br />
Über se<strong>in</strong>e Regeln kann Snort Reaktionen auf Angriffe auslösen. Die Möglichkeiten erlauben<br />
e<strong>in</strong>e explizite Beendigung <strong>der</strong> TCP-Verb<strong>in</strong>dung über e<strong>in</strong> RST-Paket o<strong>der</strong> über ICMP.<br />
4 ACID: Analysis Console for Intrusion Databases, http://www.cert.org/kb/acid/<br />
5 Snort IDScenter: http://www.engagesecurity.com/<br />
6 SPADE: Statistical Packet Anomaly Detection Eng<strong>in</strong>e<br />
7 SNML: Simple Network Markup Language<br />
Sem<strong>in</strong>ar – <strong>IT</strong>-<strong>Management</strong> <strong>in</strong> <strong>der</strong> <strong>Praxis</strong>