IT-Management in der Praxis Seminar ? WS 2004/05 - am ...

Weitere Magazine

Empfehlungen

Info

72 Nikolay Orozov: Intrusion Detection und Prevention Systeme Ein NIPS bietet Schütz vor Angriffen auf Netzwerkebene. Es ist in der Lage vollautomatisch Angriffe zu erkennen und danach Gegenmassnahmen zu starten, um die Folgen eines Angriffs zu verhindern. • Host Intrusion Prevention System (HIPS) HIPS sind Software-Agenten, die auf jedem zu überwachenden System installiert werden. Sie bilden eine Hülle um den Systemkern und kontrollieren den Zugriff auf System- Ressourcen. • Application-Layer IPS Fast täglich werden neue Schwachstellen und Einbruchsmöglichkeiten in Applikationen oder Betriebssystemen entdeckt. Besonders gefährdet sind die Web-Applikationen. Die Systeme, die sich auf Web-Applikations-IPS spezialisiert haben, arbeiten jedoch auf einer anderen Ebene. Sie lernen teilweise automatisch die benötigten URLs jeder Applikation, die erlaubten Wertebereiche, Zeichen und Längen von Eingabewerten und bauen daraus eine Policy auf, gegen die jede http-Anfrage geprüft wird. Zusätzlich überwachen sie den Status der Benutzersessions. Einer der bekanntesten Web-Angriffe ist der Buffer-Overflow. Was passiert eigentlich bei einem Buffer-Overflow? Bei modernen Betriebssystemen hat jede Anwendung einen eigenen, virtuellen Adressraum. Beim Start der Anwendung wird der Adressraum in drei Teilen aufgeteilt: Code- Speicher, Daten-Speicher (Heap) und Stack. Der Stack ist ein Zwischenspeicher für lokale Variablen, Rücksprungadressen und Übergabeparameter. Er funktioniert nach dem LIFO-Prinzip (Last-In-First-Out). Wenn also mehr Daten in den Puffer kopiert werden, als er behalten kann, kommt es zu einem Buffer-Overflow (Speicherüberlauf) und dadurch wird die Rücksprungadresse überschrieben. An dieser Stelle wird das Programm abstürzen. Wie kann ein Angreifer einen Buffer-Overflow ausnutzen? Ein Angreifer kann aber genau diese Schwäche besser ausnutzen, in dem er die Anwendung mit sinnvollem Code (Befehle) überflutet. Die Daten, die dabei außerhalb der Speichergrenze geraten, werden von der CPU als Programmcode interpretiert und ausgeführt. Das heisst, ein Angreifer kann in nur wenigen Schritten die Kontrolle über den Rechner übernehmen: In einem ersten Schritt wird der Buffer-Overflow ausgelöst, dann wird die Rücksprungadresse manipuliert. Das Programm wird dann an einer anderen Stellen weitermachen, als sonst geplant. Danach wird der schädliche Code ausgeführt. Den Versuch, einen Buffer-Overflow auf einer Web-Anwendung zu erzeugen, kann vom Application-IPS verhindert werden. Das IPS überprüft alle Systemaufrufe und stellt dabei fest, ob der Code von einer Anwendung oder aus einem Speicherüberlauf stammt. Ist dies der Fall, kann das IPS Pakete aus dem Stack entfernen noch bevor die Befehle vom Betriebssytem ausgeführt werden. Ist der Code Teil einer Anwendung, wird er ganz normal ausgeführt [McAf04b]. 3.3 Ein anderes Verfahren zur Angriffserkennung - Intentionserkennung Intrusion Prevention Systeme, die nicht auf der Erkennungstechnologie klassischer IDS basieren, haben ganz andere Eigenschaften. Dazu gehören Systeme, die mit dem Angreifer interagieren, um seine Intention herauszufinden. Man versucht erst gar nicht tausende Siganturen von potentiellen Angriffen zu erkennen. Die Idee der “Identifikation von Angreifern durch Nachwies ihrer Intention geht davon aus, dass alle tatsächlich durchgeführten Angriffe ein gemeinsames Vorgehen haben“ [Ciro04]. Dieses Vorgehen ist in mehreren Schritten gegliedert: Seminar – IT-Management in der Praxis
Zusammenfassung 73 der erste Schritt ist das Sammeln von Informtionen. In einem zweiten Schritt wird der Angriff durchgeführt und dann folgen weitere Schritte zum Verwischen der Spuren. Zunächst wird ein Angreifer also nach Schwachstellen suchen und erst wenn er weiß, wo er angreifen kann, wird er den ersten Angriffsversuch starten. Im Gegensatz zu über 4000 verschiedenen Mustern, die im Normalfall ein klassisches IDS kennt und die täglich aktuallisiert werden müssen, ist es in einem ersten Schritt ausreichend, 10 bis 20 verschiedene Methoden der Informationssammlung zu erkennen. Das Gewinnen von Informationen reicht aber nicht aus, um auf einen tatsächlichen Angriff zu schließen. Durch vorgetäuschten Schwachstellen wird der Angreifer in die Falle geführt. Sobald er versucht, eine vorgetäuschte Schwachstelle anzugreifen, ist er identifiziert. Durch den Zusammenhang zwischen dem gezielten Suchen nach Informationen und dem darauf folgenden Angriffsversuch ist die Intention des Angreifers bekannt und beweisbar und er kann blockiert werden. Dieses Prinzip erinnert an bereits existierende Honey-Pots. Im Gegensatz zu diesen wird ein Einbruch noch rechtzeitig verhindert. Die Vorteile dieser Methode liegen auf der Hand: • Durch die Erkennung der Intention kann der Angreifer blokiert werden, noch bevor er Schaden eingerichtet hat. Die üblichen Methoden, wie das Einfügen temporärer Firewall Regeln, können bei rechtzeitiger Reaktion noch funktionieren. • Das IPS kann sich auf die Überwachung von Zugriffen auf vorgetäuschte Schwachstellen beschränken. Auf diese Weise wird die Systemperformance weniger beeinflusst. • Es müss nicht ständig die Signatur-Datenbank aktualisiert werden. • Die Intentionserkennung liefert viel weniger Fehlalarme, da tatsächlich eine Interaktion zwischen dem Angreifer und dem IPS stattfindet und bewiesen werden kann. • Da es keine falschen Alarme gibt, können sinnvolle statistische Auswertungen aus den erkannten Angriffen erzeugt werden. Dieser Ansatz löst selbstverständlich auch nicht alle Sicherheitsprobleme, die bei ein klassisches IDS vorkommen. Ein fiktiver Angreifer, der genau weiß, wohin er will und auf jegliche Informationen verzichtet, würde auch von dieser Erkennungsmethode nicht erkannt. 4 Zusammenfassung Intrusion Detection Systeme haben sich zu einem wichtigen Teil der Sicherheitsstruktur vieler Unternehmen entwickelt. Welche IDS-Architektur die beste Informationsquelle ist, kann man schwer sagen. Doch alle drei haben ihre Vor- und Nachteile. Ein Hybrid-IDS-System, das Netzwerk-, Host- und Application-IDS kombiniert, ist der beste Weg, die Stärken dieser Architekturen auszunutzen. Zusätzlich zu einem IDS sollte man von andren Abwehrmechanismen, wie Firewall und Antivirensoftware, nicht verzichten. Ein NIDS kann zu einem Flaschenhals für den Netzwerkverkehr werden, wenn es nicht über die entsprechende Bandbreite verfügt. Als Folge davon wird nicht nur die Übertragungsgeschwindigkeit “gebremst“, sondern es werden nicht alle Pakete analysiert. Ein HIDS wird eingesetzt, um die Sicherheit von bestimmten Rechner (Server) zu gewährleisten. Das HIDS belastet jedoch das Host-Betriebssystem. Die Tatsache, dass ein IDS ein Alarmsystem darstellt, aber keinen Schutz vor Angriffen bietet, ist das grösste Problem von IDS überhaupt. Auch die automatischen Reaktionen eines IDS finden statt, erst nachdem die Attacke bereits Schäden eingerichtet hat. IPS bieten einen viel versprechenden Ansatz, um die Netzwerk- und Systemsicherheit im Vergleich zu IDS weiter zu erhöhen. Durch neue Erkennungstechnologien wird versucht, einen Angriff genauer und frühzeitig zu erkennen und zu blockieren, noch bevor er Schaden eingerichtet hat. Seminar – IT-Management in der Praxis
Seite 1:
Universität Karlsruhe (TH) Fakult
Seite 4 und 5:
Inhaltsverzeichnis Zusammenfassung
Seite 6 und 7:
0.4 Softwareverteilung Der Betrieb
Seite 8 und 9:
2 Claus Wonnemann: Linuxcluster im
Seite 10 und 11:
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 25 und 26:
Distributed File Systems Matthias S
Seite 27 und 28: Dateisysteme 21 2.3 Aufgaben von Da
Seite 29 und 30: Verteilte Dateisysteme (DFS) 23 Blo
Seite 31 und 32: NFS in der Praxis 25 5.5 Caching Wi
Seite 33 und 34: Vergleich NFS - CIFS 27 7.5 Oplocks
Seite 35 und 36: NFS und CIFS in der RZ-Praxis 29 vo
Seite 37 und 38: High Performance Interconnects Chri
Seite 39 und 40: Topologie des Netzes 33 Abbildung 2
Seite 41 und 42: Messung und Bewertung der Leistung
Seite 43 und 44: Aktuelle Techniken 37 5.1.1 Merkmal
Seite 45 und 46: Aktuelle Techniken 39 5.3.2 Kosten
Seite 47 und 48: Aktuelle Techniken 41 QsNet QsNetII
Seite 49 und 50: Höchstleistungs-Rechner HPXC6000 a
Seite 51 und 52: Zusammenfassung 45 Itanium2 Prozess
Seite 53 und 54: Literatur 47 [GmbH04] Swyx Solution
Seite 55 und 56: Roaming in und zwischen Funknetzwer
Seite 57 und 58: Standards 51 Die Markteinführung v
Seite 59 und 60: Standards 53 4.2 IPv6 Die Entwicklu
Seite 61 und 62: Standards 55 2. Der Client antworte
Seite 63 und 64: Layer 3 Roaming 57 6 Layer 3 Roamin
Seite 65 und 66: Roaming im DFN 59 8 Roaming im DFN
Seite 67 und 68: Zusammenfassung 61 In Zukunft werde
Seite 69 und 70: Intrusion Detection und Prevention
Seite 71 und 72: Was ist ein Intrusion Detection Sys
Seite 77: Intrusion Prevention Systeme 71 Abb
Seite 81 und 82: Literatur 75 Literatur [CERT04] CER
Seite 83 und 84: Anti-Spam Techniken Nils L. Roßman
Seite 85 und 86: Techniken zur Spam-Bekämpfung 79 2
Seite 87 und 88: Techniken zur Spam-Bekämpfung 81 B
Seite 89 und 90: Beispiel SpamAssassin 83 3.3 Regeln
Seite 91 und 92: Einsatz im Rechenzentrum der Univer
Seite 93 und 94: Rechtliche Fragen beim Einsatz von
Seite 95 und 96: Literatur 89 Literatur [Erme04] Mon
Seite 97 und 98: Zertifizieren und Signieren mittels
Seite 99 und 100: Theoretische Grundlagen 93 Produkt
Seite 101 und 102: Rechtliche Grundlagen, Signatur-Ges
Seite 103 und 104: DFN-PCA 97 • Signierschlüssel we
Seite 105 und 106: Praktische Umsetzung UNIKA-CA 99 5.
Seite 107 und 108: Praktische Umsetzung UNIKA-CA 101 A
Seite 109 und 110: Ausblick 103 CPS: http://www.dfn-pc
Seite 111 und 112: Softwareverteilung Danna Feng Kurzf
Seite 113 und 114: Remoteinstallation von Betriebssyst
Seite 123 und 124: Updatemechanismen 117 Falls man ein
Seite 125 und 126: Updatemechanismen 119 3.1.3 SMS 200
Seite 127 und 128: Sicherheitsprobleme und die Lösung
Seite 129 und 130:
Zusammenfassung und Ausblick 123 We
Seite 131:
Abbildungsverzeichnis 125 [Micra] M
Alle anzeigen

IT-Management in der Praxis Seminar ? WS 2004/05 - am ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?