Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken
Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken
Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 3. INTRUSION DETECTION<br />
Mit der E-Box (engl. Event Box) werden verschiedene Ereignisse des Systems (z.B. auf Netzwerkprotokollebene,<br />
Kernelebene, Applikationsebene...) erfasst und <strong>in</strong> e<strong>in</strong> e<strong>in</strong>heitliches Format gebracht. Die E-Box<br />
muss große Datenmengen verarbeiten und ist deshalb ihrerseits angreifbar durch E<strong>in</strong>dr<strong>in</strong>gl<strong>in</strong>ge.<br />
Die A-Box (engl. Analysis Box) ist die Analysee<strong>in</strong>heit. Sie nimmt die Ausgabe der E-Box und analysiert<br />
diese, meist durch Signaturanalyse. Hier können Techniken der Signaturanalyse (siehe Kapitel 3.3.1.1) und<br />
der Anomalieerkennung (siehe 3.3.1.2) zum E<strong>in</strong>satz kommen.<br />
Die D-Box führt nun Protokoll über die durch die Analysee<strong>in</strong>heit gewonnenen Daten, ebenso wie über die<br />
Daten der E-Box. Dies ermöglicht später Angriffe an Hand dieser Audit Daten nachzuvollziehen. Üblicherweise<br />
werden Datenbanken zur Speicherung dieser großen Datenmengen benutzt.<br />
Die C-Box (engl. Countermeasure Box) ist schließlich für die Alarmierung e<strong>in</strong>es Sicherheitsbeauftragten<br />
zuständig. Die C-Box kann aber noch weitergehende Fähigkeiten haben: Sie kann aktiv auf e<strong>in</strong>e <strong>Intrusion</strong><br />
reagieren, es können Schritte zur Identifizierung des Angreifers, Schutz des Systems vor weiteren Schäden<br />
und die Beseitigung entstandener Schäden Ziel se<strong>in</strong>.<br />
Meistens wird versucht Daten über den Angreifer zu sammeln um se<strong>in</strong>e Identität festzustellen, <strong>in</strong>dem<br />
beispielsweise der E<strong>in</strong>wahlpunkt <strong>in</strong>s Internet <strong>in</strong> Erfahrung gebracht wird, ebenso wie versucht wird e<strong>in</strong><br />
möglichst charakteristisches Bild von dem System des Angreifers zu bekommen (z.B. durch Portscans).<br />
Diese Daten ermöglichen es dann später e<strong>in</strong>e Strafverfolgung e<strong>in</strong>zuleiten. Es ist sogar e<strong>in</strong> Gegenangriff<br />
durch e<strong>in</strong> IRS durch e<strong>in</strong>en Denial of Service Angriff auf das System des Angreifers denkbar.<br />
Hostbasierte IDS<br />
IDS, die nur auf e<strong>in</strong>em Host arbeiten, werden hostbasiert genannt. Alle IDS waren am Anfang hostbasiert,<br />
da es kaum Netzwerke gab. Hostbasierte IDS analysieren das Systemverhalten aus Sicht des Hosts, <strong>in</strong>dem<br />
alle lokal vorhandenen Informationen wie Audit Informationen des Betriebsystems analysiert werden. Da<br />
die Laufzeit dieser Art IDS sehr lange ist, werden sie zumeist nur e<strong>in</strong>mal am Tag aktiviert.<br />
Hostbasierte IDS können feststellen, ob Angriffe erfolgreich waren oder nicht. Der Nachteil von hostbasierten<br />
IDS ist, dass diese nur vergangene Angriffe entdecken, sie können ke<strong>in</strong>e Aussage machen, wie e<strong>in</strong><br />
Angriff zu Stande kam. Gel<strong>in</strong>gt es dem Angreifer Kontrolle über den Rechner zu erhalten, kann er alle H<strong>in</strong>weise<br />
löschen, die das hostbasierte IDS erkennen könnte. Gibt es e<strong>in</strong>e Reihe von Angriffen auf verschiedene<br />
Rechner im Netzwerk, werden diese Ereignisse nicht <strong>in</strong> Zusammenhang gebracht.<br />
Netzbasierte IDS<br />
Netzbasierte IDS analysieren die e<strong>in</strong>zelnen Pakete im Netzwerk auf Angriffsmuster. Sie laufen <strong>in</strong> Echtzeit<br />
ab und können Angriffe durch e<strong>in</strong>e geeignete Reaktion verh<strong>in</strong>dern. E<strong>in</strong> netzbasiertes IDS kann mehreren<br />
Rechner schützen, muss allerd<strong>in</strong>gs Zugriff die gesamte Kommunikation im Netzwerk haben. Verschlüsselte<br />
15