2

Inhaltsverzeichnis

  Vergleich einer kommerziellen Intrusion Detection Software mit einer  

  OpenSource-Lösung im Bezug auf Leistung, Anwendbarkeit und Kosten  1

1.  Einleitung.  4

1.1  Aufgabenstellung.  4

1.2  Eidesstattliche Erklärung.  4

2.  Einführung in das Thema IDS.  5

2.1  Definition „Intrusion Detection“  5

2.2  Was ist ein „Intrusion Detection System“ (IDS) ?  5

2.3  Wieso IDS einsetzen?  6

2.4  Arten von IDS.  7

2.5  Erkennung von Angriffsmustern  10

2.6  Einsatz in einem geswitchten Netzwerk.  13

3.  Produktvorstellung  16

3.1  Einleitung  16

3.2  Produkt Matrix.  16

3.3  Kurzvorstellung der Produkte.  18

4.  Vergleich der Softwarelösungen.  20

4.1  „Prelude 0.8.1“  20

4  2 „RealSecure 6 7“  32

3

5.  IDS in der Praxis.  44

5.1  Einleitung  44

5.2  Entwicklung der Angriffskomplexität.  45

5.3  Einige der bekanntesten Angriffe  46

5.4  Testreihe mit Angriffen  47

5.5  Realisierung einer eigenen Signatur.  55

5.6  Warnmeldungen  61

5.7  Reaktionen bei erkanntem Angriff  62

5.8  Tests im Internet  63

6.  Kosten-Nutzen-Betrachtung  68

6.1  Dokumentation  68

6.2  Installation  69

6.3  Konfiguration  70

6.4  Managebarkeit  71

6.5  Integration in die bestehende IT-Infrastruktur  71

6.6  Performance und Skalierbarkeit  71

6.7  Stabilität.  72

6.8  Preis / Leistung  73

7.  Fazit und Ausblick  74

7.1  Zusammenfassung  74

7.2  Ausblick.  76

7.3  Fazit  77

8.  Anhang.  78

8.1  Abkürzungen  78

8.2  Verwendete Programme  79

8.3  Literatur-Verzeichnis.  79

8.4  Wichtige Links  80

8.5  Newsgroups  80

8  6 Danksagung  80

4

1. Einleitung

1.1 Aufgabenstellung

Das Ziel im Rahmen dieser Diplomarbeit für die Firma BASF IT Services B.V. ist es einen Vergleich zwischen der vorhandenen kommerziellen Intrusion Detection Software „RealSecure“ und einer kostenlosen OpenSource-Lösung namens „Prelude“ anzustellen. Dieser Vergleich soll sowohl die Features, als auch Integration, Kosten und Nutzen berücksichtigen, da die BASF IT Services B.V. im Rahmen ihres Managed Security Konzeptes ihren Kunden maßgeschneiderte und kostengünstige IDS Produkte anbieten möchte.

1.2 Eidesstattliche Erklärung

Hiermit erkläre ich an Eides Statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne Benutzung anderer als der angegebenen Quellen und Hilfsmittel während meines 8. Semesters im Zeitraum vom 2. März 2003 bis zum 31. Mai 2003 bei der Firma BASF IT Services B.V erstellt habe. Alle Ausführungen, die wörtlich oder sinngemäß übernommen wurden, sind als solche gekennzeichnet. Die Diplomarbeit wurde in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde vorgelegt.

Ludwigshafen, den 31.05.2003

..................................................... Denis Aumüller

5

2. Einführung in das Thema IDS

Intrusion:

„Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren“ 1

2.1 Definition „Intrusion Detection“

Als Intrusion-Detection (ID) wird die aktive Überwachung von Computersystemen und / 2

oder -netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch bezeichnet. Das Ziel von Intrusion-Detection besteht darin, aus allen im Überwachungsbereich stattfindenden Ereignissen diejenigen herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.

2.2 Was ist ein „Intrusion Detection System“ (IDS) ?

Intrusion Detection Systeme (IDS) sind Software- oder Hardware-Systeme, die anhand festgesetzter Regeln eine Verbindung erlauben oder blockieren. Zusätzlich überwachen und überprüfen sie den gesamten Komplex der Kommunikation im Netzwerk, lesen die Datenpakete aus, orientieren sich an normaler Netzkommunikation und erkennen daher Angriffe bereits im Vorfeld anhand verdächtiger Netzaktivitäten.

¹ Heberlein, Levitt, Mukherjee [ 1991 ]

² http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=572

6

2.3 Wieso IDS einsetzen?

Nicht erst seit dem SQL-Slammer Wurm, der alleine einen wirtschaftlichen Schaden von ca. 1.2 Milliarden USD verursacht hat, wird klar dass Rechner und Netzwerke durch 3

ausgeklügelte Sicherheitsmaßnahmen geschützt werden müssen. Zum Schutz der Netze vor unbefugten Zugriffen existieren bereits Firewalls und Authentifizierungsmechanismen. Firewalls können das Einbruchsrisiko zwar reduzieren aber nie eliminieren. Fehler in Programmen, nachlässige Konfigurationen oder leichtsinnige Benutzer eröffnen immer wieder neue Angriffsmöglichkeiten. Die meisten Sicherheitseinrichtungen gehen davon aus, dass die Gefahren von außerhalb des Netzes kommen, dabei wird ein großer Teil der Angriffe von autorisierten Nutzern durchgeführt oder zumindest vorbereitet. Es gilt also, weitere Möglichkeiten zu finden, auch diese Sicherheitslücken zu schließen. Dabei sollen Einbrüche, die eine Firewall von außen passieren konnten und Einbrüche, die von innen aus dem eigenen Netz kommen, erkannt werden.

³ http://www.tecchannel.de/news/20030203/thema20030203-9826.html http://www.silicon.de/cls/Security/07_020301_t.html

7

Intrusion Detection Systeme können Angriffe sowie andere Sicherheitsverletzungen entdecken und dokumentieren, damit dadurch das eigene Sicherheitsdesign verbessert werden kann. Ebenso ermöglichen sie Angriffe selbständig zu unterbinden, z.B. durch Rekonfiguration der Firewall.

2.4 Arten von IDS

IDS bieten grundsätzlich zwei unterschiedliche Ansätze, wie und wo der Datenverkehr überwacht wird:

1. Netzwerkbasierte Intrusion Detection Systeme 2. Hostbasierte Intrusion Detection Systeme

2.4.1. Netzwerkbasierte Intrusion Detection Systeme

Netzwerkbasierte Intrusion Detection Systeme (NIDS) erfassen den gesamten Datenverkehr in einem Netzwerksegment, analysieren die Daten und ermitteln anhand eines definierten Regelwerkes (z.B. anhand von Signaturen) ob es sich um einen Angriff handelt.

Damit ein Intrusion Detection System den gesamten Datenverkehr mitlesen kann, muss es sinnvoll in ein zu überwachendes Netzwerksegment integriert werden. Über ein „Sniffer-Interface“ werden alle Daten, die über das Netzwerkkabel transferiert werden, mitgelesen und an ein Analysemodul übertragen.

8

Dieses „Sniffer-Interface“ muss direkt in das zu überwachende Netzwerksegment integriert werden und wird im „Promiscuous Mode“ betrieben. Um das IDS nicht selbst zum Ziel 4

von Angriffen werden zu lassen, werden die Systeme in den „Stealth Mode“ versetzt, d.h. es wird kein Netzwerkprotokoll auf das Interface gebunden. Das System antwortet somit nicht mehr auf Anfragen und ist im Netzsegment quasi nicht mehr „sichtbar“. Ein 1.Level Filter im NIDS bestimmt, welcher Datenverkehr wichtig ist, und welcher ignoriert werden kann, um die Performance zu steigern und „normalen“ Verkehr zu ignorieren.

2.4.2. Hostbasierte Intrusion Detection Systeme

Hostbasierte Intrusion Detection Systems (HIDS) beziehen ihre Daten primär aus Logfiles, unter Unix z.B. durch SysLog, unter Windows 2000 / XP wäre dies das System-/Ereignisbzw. Sicherheits-Protokoll. Wird eine Abweichung von der eingestellten Security Policy durch das HIDS festgestellt, wird sofort eine entsprechende Aktion ausgeführt - z.B. der Zugriff auf die Datei verweigert.

Die Netzwerkkommunikation eines Systems wird oftmals überhaupt nicht in die Analyse einbezogen, was dazu führt, dass selbst banale Portscans nicht erkannt werden können. 5

Der Nutzen einer nur auf diese Komponente beschränkte Intrusion Detection Lösung bleibt unter den heute bestehenden Bedrohungspotentialen sehr fraglich. HIDS verlieren deswegen zunehmend an Bedeutung und werden durch NNIDS (Æ Kapitel 2.4.4) oder „Intrusion Prevention Systeme“ (Æ Kapitel 7.2) zunehmend abgelöst.

⁴ Im „Promiscuous Mode“ empfängt die Netzwerk-Karte den kompletten Datenverkehr in ihrem Segment, nicht nur die für sie bestimmten Daten.

⁵ Prüfung aller TCP / UDP Ports eines Systems/Netzwerks, um festzustellen ob sich dahinter angreifbare Network Services befinden

9

2.4.3. Stackbasierte Intrusion Detection Systeme

Ein Stackbasiertes IDS ist eine neue Technologie, die tief in den TCP/IP-Stack des Betriebsystems eingreift. Dies ermöglicht es den Weg der Pakete durch jede OSI-Schicht zu verfolgen und schon vorher abzufangen, bevor das Betriebsystems oder die Applikation das Paket überhaupt verarbeiten kann. In der Praxis gibt es allerdings noch keine konkreten Produkte.

2.4.4. Nodebased-Network Intrusion Detection Systeme

Im Gegensatz zu NIDS werden Nodebased Network Intrusion Detection Systems (NNIDS) direkt auf einem Zielsystem installiert. Moderne NNIDS analysieren den gesamten Datenverkehr von und zu einem Computersystem, analysieren Vorgänge auf Betriebsystemebene (z.B. Zugriffe auf Systemdateien, fehlgeschlagene Anmeldeversuche) und bieten rudimentäre Methoden zum Blocken von Netzwerkpaketen bei der Erkennung von Angriffen („Firewalling“).

Der große Vorteil von NNIDS liegt darin, dass typische Probleme wie sie in komplexen Netzwerkumgebungen auftreten umgangen werden können. Nachteilig an NNIDS ist, dass Produktivsysteme angefasst werden müssen und Rechenleistung, wenn auch nur minimal, zur Verfügung stellen müssen. Zudem arbeiten NNIDS nicht im „Stealth Mode“ und stellen somit zunächst selbst ein Ziel für Angriffe dar.

2.4.5. Hybrid IDS

Diese Systeme sind eine Mischung aus Host- und Netzwerkbasierten IDS, mit den Vorteilen des jeweiligen IDS. Die später vorgestellte OpenSource Lösung „Prelude“ ist ein Beispiel für eine Hybrid IDS, d.h. es existiert ein HIDS- und ein NIDS-Sensormodul.

10

2.4.6. Stärken der jeweiligen Lösungen

NIDS HIDS

• günstig • erkennt systemspezifische Angriffe

• erlaubt Paket Analyse • funktioniert in verschlüsselten / geswitchten

• überwacht ganze Netzsegmente Umgebungen

• Echtzeit Erkennung • kann gezielt spezielle Systeme überwachen

• Betriebsystem-unabhängig • keine zusätzliche Hardware erforderlich

In jedem Fall verlangsamen Intrusion Detection Systeme den Host auf dem sie installiert sind. Aus diesem Grund sollten gerade NIDS als eigenständige Systeme (‚dedicated systems’) angelegt werden, da weitere Anwendungen das System sonst zu stark ausbremsen würden.

2.5 Erkennung von Angriffsmustern

Als Signaturen werden im IDS-Kontext Muster bezeichnet, die auf einen bekannten Angriff oder missbräuchliches Systemverhalten hinweisen. Bei signaturgestützten IDS erfolgt die Definition des zu erkennenden Angriffs auf der Basis definierter Angriffsmuster. Das IDS alarmiert, sobald ein solches Muster zutrifft. Vorteil dieser Methode ist die leichte Verständlichkeit des Vorgehens. Nachteilig ist, dass praktisch alle Angriffe in sämtlichen Modifikationen aufgezählt werden müssen, damit sie erkannt werden können.

11

2.5.1 Anomalieanalyse

Als Anomalieanalyse werden Auswertungsmethoden bezeichnet, bei denen die Abweichung des Systems von seinem Normalverhalten erkannt und gemeldet wird:

• Protokollanalyse

• Anomalieerkennung auf Basis statistischer Daten

• Anomalieerkennung auf Basis von Künstlicher Intelligenz

• Anomalieerkennung auf Basis von Honeypots.

2.5.1.1. Protokollanalyse

Bei der Protokollanalyse wird der Netzverkehr auf Anomalien untersucht. Das Normalverhalten ist dabei durch Protokollspezifikationen definiert. Es wird geprüft, ob der Kommunikationsverkehr den zugrunde liegenden Protokollspezifikationen genügt. Da im Bereich von IP-basierten Netzen viele Angriffe darauf beruhen, dass von den spezifizierten Protokollen abgewichen wird, kann hierdurch eine recht zuverlässige Angriffserkennung erfolgen.

Die Methode weist eine hohe Geschwindigkeit auf, da im Gegensatz zur Signaturerkennung keine Vielzahl von Signaturen getestet werden muss. Nachteilig an dieser Methode ist, dass diejenigen Angriffe, die auf Unschärfen oder Fehlern in der Protokollspezifikation beruhen, nicht erkannt werden.

2.5.1.2. Anomalieerkennung auf Basis statistischer Daten

Bei der Anomalieerkennung auf Basis statistischer Daten wird davon ausgegangen, dass das Systemverhalten im Angriffsfall signifikant von einem durch statistische Kennwerte festgelegten Normalverhalten abweicht.

12

Um das Normalverhalten eines Systems zu definieren, werden für unterschiedliche Objekte (Nutzer, Dateien, Anwendungen, etc.) und zugehörigen „Verhaltensweisen“ (Anzahl von Fehlversuchen bei der Anmeldung, Tageszeiten des Zugriffs, Nutzungshäufigkeit, Zugriffsdauer, etc.) statistische Kennwerte (Mittelwert, Varianz, etc.) ermittelt. Anhand der statistischen Kennwerte ermittelt das IDS, ob das aktuelle Verhalten signifikant vom Normalverhalten abweicht. Dieses Verfahren wird bis dato kaum in der Praxis eingesetzt, da die Definition des „Normalverhaltens“ sich sehr komplex gestaltet.

2.5.1.3. Anomalieerkennung auf Basis von Künstlicher Intelligenz (KI) Analog zur manuellen Anomalieanalyse auf Basis statistischer Daten werden Verfahren der KI eingesetzt, um die bei manueller Analyse notwendige Intuition maschinell zu kompensieren. Hierdurch kann eine Steigerung der Verarbeitungsgeschwindigkeit erzielt werden, jedoch ist auch hier aufgrund hoher Fehlerraten eine manuelle Nachbearbeitung notwendig und beabsichtigt - in der Praxis werden allerdings noch keine KI-basierten Lösungen angeboten.

2.5.1.4. Anomalieerkennung auf Basis von Honeypots

Honeypots sind dedizierte IT-Systeme die keine produktive Funktion erfüllen, sondern ausschließlich „Fallen“ für Angreifer darstellen, in dem sie produktive oder auch besonders sicherheitskritische Systeme vortäuschen.

Ein Honeypot hat ein sehr einfaches Normalverhalten, das darin besteht, dass es keine oder nur eine geringe Anzahl vordefinierter Zugriffe auf das System gibt. Honeypots eignen sich sehr gut für eine Anomalieanalyse, da im wesentlichen sämtliche Zugriffe und Aktivitäten - ausgenommen der vordefinierten Zugriffe - als anormal einzustufen und damit beobachtenswert sind. Hierdurch lässt sich eine vollständige Aufzeichnung und Nachuntersuchung von Angriffen, aber auch dem Fehlverhalten anderer IT-Systeme realisieren.

13

2.2 Einsatz in einem geswitchten Netzwerk

Switches erzeugen aus Performance und Sicherheitsgründen eine Punkt-zu-Punkt Verbindung zwischen Sender und Empfänger, womit folglich dieser Datenverkehr auf normalen Weg nicht von einem Intrusion Detection System beobachtet werden kann.

In der Praxis werden hauptsächlich die zwei folgenden Verfahren angewendet um dieses ⁶ Problem zu lösen: 1. Monitoring via SPAN Port 2. Monitoring via TAP

Für die Tests wurde die SPAN-Port Lösung eingesetzt. Die zweite Lösung ist allerdings aus den unten noch zu erwähnenden Gründen vorzuziehen, da hier der komplette Netzwerkverkehr abgehört werden kann ohne negative Beeinflussung der Performance.

⁶ http://www.snort.org/docs/iss-placement.pdf

14

2.2.1. Monitoring via SPAN-Port

Die meisten Switches bieten die Möglichkeit den Datenverkehr bestimmter Ports an einen Monitorport, auch „SPAN“ (Switched Port Analyser) genannt, weiterzuleiten.

Vorteile:

• Kern-Infrastruktur muss nicht verändert werden

• Keine zusätzliche Hardware notwendig

Nachteile:

• Jede zusätzliche Port-Kopie kann den SPAN Port überlasten

IDS Sensor

• Ohne aktivierten „Stealth Mode“ ist die IDS angreifbar

• Der Switch wird durch jede weitere Kopie spürbar verlangsamt

• Fehler wie zu kleine / zu große / defekte Pakete werden nicht am SPAN Port gespiegelt

2.2.1.1. Konfiguration Auf einem CISCO Switch lässt sich SPAN wie folgt konfigurieren: ⁷ Æ SPAN einschalten sw> set span enable

Æ alle Pakete von Port 3/1 & 3/2 zu Port 5/3 kopieren sw> set span 3/1, 3/2 5/3 both Æ SPAN Konfiguration betrachten sw> show span

⁷ http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/sw_5_5/cnfg_gd/span.htm

15

2.2.2.

Monitoring via TAPS TAPs 8

zu Überwachungszwecken. Sie sind grundsätzlich mit einem Hub mit drei Anschlüssen vergleichbar, weisen jedoch an einem der Anschlüsse eine Sperr-Funktion auf: Über den TAP wird der Verkehr auf der Kommunikationsstrecke abgegriffen, es können jedoch keine Datenpakete in die Kommunikation hineingespielt werden.

Selbst falls es einem Angreifer gelingt, über den vom Sensor überwachten Datenstrom den Netzsensor zu Fehlfunktionen zu verleiten, ist somit eine aktive Rückkopplung des Sensors auf die überwachte Strecke ausgeschlossen.

Vorteile:

• Stört nicht den Datenverkehr

• Infrastruktur muss nicht verändert werden

• Schützt IDS vor direkten Zugriffen

• Fehler wie zu große / kleine oder mit CRC-Fehler behaftete Pakete können

beobachtet werden Nachteile:

• Teuer, ab 500 EUR / TAP, nur wenige Anbieter

• Unterstützt ohne Modifikationen keine Möglichkeit der Response („RST senden“)

• Kann normalerweise nicht den Datenverkehr in beide Richtungen beobachten ⁸ http://www.linksplitter.de/index2.html

16

3. Produktvorstellung

3.1 Einleitung

Im Rahmen dieser Diplomarbeit wurden die beiden Intrusion Detection Systeme „RealSecure“ der amerikanischen Sicherheitsfirma „Internet Security Systems (ISS)“ und die französischen OpenSource Lösung „Prelude“ getestet.

3.2 Produkt Matrix

Ein Überblick über die Leistungsfähigkeit der zwei unterschiedlichen Systeme findet sich in der nachfolgenden Produktmatrix:

Product Real Secure 7.0 Network Sensor Prelude 0.8.1

Product Type IDS with IR IDS, Intrusion Response planned

Platforms Windows NT,2000, XP, Unix, IPSO, Linux Linux, FreeBSD, should work with: Solaris

Management Platform Windows NT, 2000,XP, Unix Unix, Web-based (PERL / PHP), GTK, JAVA-based

planned

Trial Software yes, from Website downloadable free

Development started in / current release: 1994 / 2002 - Version 7 1998, hybrid + distributed: 2001 / version: 0.81

Standards

10/100/1000 Mps

Token Ring / FDDI

Processes 802.1q (VLAN) frames

optimised hi-speed packet driver interfaces

Full-duplex via span port

native duplex sensor support

Detection Technology

Detection Technology

Protocol analysis

Pattern Matching

detection |

Detects Anomalies no yes

Understands > 60 application level protocols

Unicode aware

Optimized Dual-processor performance

Stateful packet inspection technology

Supports monitoring of multiple interface connection

On single host

TCP Stream / HTTP session Reassembly

Stealth Monitoring interface

IP Fragment Reassembly

Automatic signature updates

ARP attack detection

Snort syntax signatures support

User-defined signatures with Reg Ex.

Rules / Signatures:

Dropped packet notification