Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Weitere Magazine

Empfehlungen

Info

KAPITEL 3. INTRUSION DETECTION – Verschiedene Formen von Tunneln • Mittlere Ebene: – Aktiver/passiver FTP-Angriff – DNS-, X11-, NIS- und NFS-Angriffe • Hohe Ebene: – Angriffe auf Authentisierungsmechanismen – Missbrauch von Anwendungen – Verteilter, koordinierter Angriff 3.3.1.1 Darstellung eines IDS mit CIDF Das Common Intrusion Detection Framework (CIDF) definiert ein Komponentenmodell zum Aufbau von Intrusion Detection Systemen. Es gibt dabei einen Ereignisgenerator (E-Box), eine Analyseeinheit (A-Box), einen Teil für Gegenmaßnahmen (G-Box) und schließlich eine Einheit zur Speicherung der Daten (D-Box); siehe Abbildung 3.2. Die Internet Engineering Task Force (IETF) arbeitet mit einer Arbeitsgruppe daran das CIDF Modell durch ein verbessertes Modell zu ersetzen. Um das Verständnis von IDS zu vertiefen, ist das CIDF aber gut geeignet. Analysis A - Box Countermeasure C - Box Event E - Box Raw Events Abbildung 3.2: Komponenten eines IDS nach CIDF 14 Storage D - Box
KAPITEL 3. INTRUSION DETECTION Mit der E-Box (engl. Event Box) werden verschiedene Ereignisse des Systems (z.B. auf Netzwerkprotokollebene, Kernelebene, Applikationsebene...) erfasst und in ein einheitliches Format gebracht. Die E-Box muss große Datenmengen verarbeiten und ist deshalb ihrerseits angreifbar durch Eindringlinge. Die A-Box (engl. Analysis Box) ist die Analyseeinheit. Sie nimmt die Ausgabe der E-Box und analysiert diese, meist durch Signaturanalyse. Hier können Techniken der Signaturanalyse (siehe Kapitel 3.3.1.1) und der Anomalieerkennung (siehe 3.3.1.2) zum Einsatz kommen. Die D-Box führt nun Protokoll über die durch die Analyseeinheit gewonnenen Daten, ebenso wie über die Daten der E-Box. Dies ermöglicht später Angriffe an Hand dieser Audit Daten nachzuvollziehen. Üblicherweise werden Datenbanken zur Speicherung dieser großen Datenmengen benutzt. Die C-Box (engl. Countermeasure Box) ist schließlich für die Alarmierung eines Sicherheitsbeauftragten zuständig. Die C-Box kann aber noch weitergehende Fähigkeiten haben: Sie kann aktiv auf eine Intrusion reagieren, es können Schritte zur Identifizierung des Angreifers, Schutz des Systems vor weiteren Schäden und die Beseitigung entstandener Schäden Ziel sein. Meistens wird versucht Daten über den Angreifer zu sammeln um seine Identität festzustellen, indem beispielsweise der Einwahlpunkt ins Internet in Erfahrung gebracht wird, ebenso wie versucht wird ein möglichst charakteristisches Bild von dem System des Angreifers zu bekommen (z.B. durch Portscans). Diese Daten ermöglichen es dann später eine Strafverfolgung einzuleiten. Es ist sogar ein Gegenangriff durch ein IRS durch einen Denial of Service Angriff auf das System des Angreifers denkbar. Hostbasierte IDS IDS, die nur auf einem Host arbeiten, werden hostbasiert genannt. Alle IDS waren am Anfang hostbasiert, da es kaum Netzwerke gab. Hostbasierte IDS analysieren das Systemverhalten aus Sicht des Hosts, indem alle lokal vorhandenen Informationen wie Audit Informationen des Betriebsystems analysiert werden. Da die Laufzeit dieser Art IDS sehr lange ist, werden sie zumeist nur einmal am Tag aktiviert. Hostbasierte IDS können feststellen, ob Angriffe erfolgreich waren oder nicht. Der Nachteil von hostbasierten IDS ist, dass diese nur vergangene Angriffe entdecken, sie können keine Aussage machen, wie ein Angriff zu Stande kam. Gelingt es dem Angreifer Kontrolle über den Rechner zu erhalten, kann er alle Hinweise löschen, die das hostbasierte IDS erkennen könnte. Gibt es eine Reihe von Angriffen auf verschiedene Rechner im Netzwerk, werden diese Ereignisse nicht in Zusammenhang gebracht. Netzbasierte IDS Netzbasierte IDS analysieren die einzelnen Pakete im Netzwerk auf Angriffsmuster. Sie laufen in Echtzeit ab und können Angriffe durch eine geeignete Reaktion verhindern. Ein netzbasiertes IDS kann mehreren Rechner schützen, muss allerdings Zugriff die gesamte Kommunikation im Netzwerk haben. Verschlüsselte 15
Seite 1: UNIVERSITÄT ULM · SCIENDO · DOCE
Seite 4 und 5: INHALTSVERZEICHNIS 3.3.1.5 Der Anfa
Seite 6 und 7: INHALTSVERZEICHNIS 7 Fazit von MobI
Seite 8 und 9: KAPITEL 1. EINLEITUNG den Teilnehme
Seite 10 und 11: KAPITEL 2. AD HOC ROUTING, EINE NEU
Seite 16 und 17: KAPITEL 3. INTRUSION DETECTION 3.2
Seite 18 und 19: KAPITEL 3. INTRUSION DETECTION Dies
Seite 22 und 23: KAPITEL 3. INTRUSION DETECTION Verb
Seite 24 und 25: KAPITEL 3. INTRUSION DETECTION Date
Seite 26 und 27: KAPITEL 3. INTRUSION DETECTION •
Seite 28 und 29: KAPITEL 3. INTRUSION DETECTION Eine
Seite 30 und 31: KAPITEL 3. INTRUSION DETECTION Anfo
Seite 32 und 33: KAPITEL 3. INTRUSION DETECTION die
Seite 34 und 35: KAPITEL 3. INTRUSION DETECTION Ein
Seite 36 und 37: KAPITEL 3. INTRUSION DETECTION auch
Seite 38 und 39: KAPITEL 3. INTRUSION DETECTION Es w
Seite 40 und 41: KAPITEL 3. INTRUSION DETECTION die
Seite 42 und 43: KAPITEL 3. INTRUSION DETECTION vorh
Seite 44 und 45: KAPITEL 3. INTRUSION DETECTION 38
Seite 46 und 47: KAPITEL 4. VERWUNDBARKEITEN DES DSR
Seite 54 und 55: KAPITEL 5. SIMULATION VON AD HOC NE
Seite 64 und 65: KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 70 und 71:
KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
KAPITEL 7. FAZIT VON MOBIDS durchdr
Seite 106 und 107:
ANHANG A. SIMULATIONSARCHITEKTUR In
Seite 108 und 109:
ANHANG B. GLOSSAR Overhead bezeichn
Seite 110 und 111:
ABBILDUNGSVERZEICHNIS 6.6 Aktivitä
Seite 112 und 113:
LITERATURVERZEICHNIS [BdSM00] M. C.
Seite 114 und 115:
LITERATURVERZEICHNIS [Joh94] David
Seite 116 und 117:
LITERATURVERZEICHNIS [PH02b] Panagi
Seite 119:
Andreas Klenk Matrikelnummer 372292
Alle anzeigen

Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?