Entwicklung und Implementierung eines Intrusion-Detection und -Prevention Systems zur Erkennung und Abwehr von gezielten Attacken und anormalen Ereignissen im LAN

weiter bestehen. Gegen den SQL Slammer Worm [45] beispielsweise ist die Methode nutzlos, weil er UDP verwendet. Umsetzen kann man diese Methode beispielsweise mit Snort und dem Flexible-Response Plug-In28 . Firewall umkonfigurieren Ein NIRS kann dazu verwendet werden, bei Bedarf eine Firewall umzukonfigurieren, oder die Access Control Lists f¨r das Routing zwischen u VLANs auf einem Layer-3-Switch zu andern. In beiden F¨llen kann man a ¨ • UDP und TCP Ports oder einzelne IP-Adressen sperren • Subnetze abtrennen und isolieren Entweder man begrenzt die Sperrung, indem sie nach einer bestimmten Zeit automatisch wieder aufgehoben wird, oder die Sperrung bleibt zeitlich unbegrenzt, als statischer Eintrag. In der Praxis wird die Methode tats¨chlich angewendet, Heise [46] berichtete a uber den Schweizer Provider Sunrise, der unter anderem www.microsoft.ch hostet, dass ¨ er die Absender-Adressen von Port-Scans f¨r zwanzig Minuten blockiert. u Ein NIRS, welches bei Bedarf eine Firewall umkonfiguriert, l¨sst sich ebenfalls mit dem a Open Source NIDS Snort realisieren. Das Output Plug-In SnortSam29 erzeugt aufgrund von Alarmen dynamisch neue Regeln f¨r viele g¨ngige Firewalls (laut Homepage des u a Projektes: Checkpoint Firewall-1, Cisco PIX firewalls, ACL eines Cisco Router, Netscreen firewalls, IP Filter (ipf), OpenBSD’s Packet Filter (pf), Linux IPchains, Linux IPtables, WatchGuard Firebox). Switchport deaktivieren Einen einzelnen Switchport zu deaktivieren erm¨glicht eio ne sehr gezielte Reaktion gegen den Verursacher eines Ereignisses. Nur der Angreifer wird durch die Maßnahme behindert. Alle ubrigen Rechner k¨nnen uneingeschr¨nkt o a ¨ weiterarbeiten. Die Methode ist allerdings nur im Intranet anwendbar, da administrativer Zugang zu den Switches ben¨tigt wird. Außerdem werden detaillierte Informationen o uber die Belegung der Switches im Intranet ben¨tigt. o ¨ Dem Autor ist keine Umsetzung der Idee bekannt. Per Simple Network Management Protocol (SNMP) ist die Abschaltung eines Interface (Switchport) bei jedem Managed Switch hersteller¨bergreifend m¨glich. u o Da der Rechner nach der Deaktivierung seines verwendeten Switchports nicht mehr uber eine Netzwerkverbindung verf¨gt, m¨sste der Administrator mit einem Datentr¨ger u u a ¨ [...]

Ein Sniffing NIRS nimmt keine aktive Rolle im Netzwerkbetrieb ein. Damit stehen die M¨glichkeiten eines Inline NIPS, beispielsweise ein Paket einfach nicht weiterzuleiten, o nicht zur Verf¨gung. Ein Sniffing NIRS reagiert stets nur. Das Ereignis hat bereits u stattgefunden. Meist ben¨tigt ein vollst¨ndiger Angriff jedoch noch nachfolgende Netzo a werkpakete, welche noch aufgehalten werden k¨nnen. Es gibt Folgende Methoden: o • TCP-Verbindungen zur¨cksetzen u • Firewall umkonfigurieren • Switchport deaktivieren • Switchport einem Quarant¨ne-VLAN zuordnen a • Accounts und Passw¨rter auf Applikationsebene sperren o • Gegenangriff TCP Reset Injection Die meisten Applikationsprotokolle setzen laut einem Seminar der Universit¨t Karlsruhe [41] in OSI Schicht 4 (Transportschicht) auf dem Transmissia on Control Protocol (TCP) auf. Wird eine verd¨chtige TCP-Verbindung zwischen zwei a Rechnern vom NIRS aufgesp¨rt, kann sie mit M¨glichkeiten des TCP-Standards (RFC u o 791 [42] und RFC 1323 [43]) beendet werden. Daf¨r wird an den Initiator und den u Empf¨nger des verd¨chtigen Paketes jeweils ein TCP-Paket mit einer g¨ltigen Sequenza a u nummer und den Flags r¨cksetzen (RST) oder beenden (FIN) gesendet. Nach dem Stanu dard f¨hrt dies zum Beenden der Verbindung. Aus einer anderen Perspektive betrachtet, u stellt genau diese M¨glichkeit eine Schwachstelle des Protokolls TCP dar: Heise Securio ty [44] schreibt uber Reset-Attacken auf Internetrouter, die sich uber das BGP (Border ¨ ¨ Gateway Protocol) austauschen. Die Methode hat ihre Schw¨chen darin, dass nur TCP-Verbindungen beendet werden a k¨nnen und nicht einmal das kann garantiert werden. Das Paket zum Zur¨cksetzen der o u Verbindung kann zu sp¨t ankommen und ignoriert werden, die Verbindung bleibt dann a [...]

Es gibt einige Parallelen zum Inline NIDS aus Kapitel 2.5.1. Ein Inline NIPS ist am ehesten mit einer Stateful Packet Inspection Firewall zu vergleichen. Dabei ist sie physikalisch in die Netzwerkverbindung zwischengeschaltet. W¨hrend beim NIDS noch betont a wurde, dass Netzwerkpakete ungefiltert weitergeleitet werden, ist es gerade der Sinn eines NIPS, potentiell gef¨hrliche Pakete nicht weiterzuleiten. a Genau wie eine Firewall, kann ein NIPS ein verd¨chtiges Paket fallen lassen (DROP ) a oder mit einer ICMP Nachricht beantworten (beispielsweise ICMP Destination Unre” achable“ ). Der Vorteil dabei ist, dass nur verd¨chtige Pakete, d.h. Pakete, auf die eine a bestimmte Regel zutrifft, herausgefiltert werden. Der ubrige Netzwerkverkehr bleibt un¨ angetastet. Ein Inline NIPS kann generell an Verbindungen zwischen Netzen eingesetzt werden, beispielsweise zwischen Internet und Intranet oder zwischen einzelnen VLANs des Intranet. Der Einsatz im Intranet setzt allerdings eine vorhandene, geeignete Netzwerksegmentierung mittels VLANing oder Subnetting voraus. Das Konzept ist f¨hig, komplette Netze a gegeneinander abzusichern. Feingranularer Schutz, wie die Isolation eines einzelnen Rechners, der im Intranet als Verbreitungsherd eines Computerwurms ausgemacht wurde, ist damit jedoch nicht m¨glich. o Ein Inline NIPS verursacht, wie jedes aktive Netzwerkger¨t, eine messbare Latenz bei a der Weiterleitung der Pakete. Weiterhin wird die Ausfallsicherheit des Netzwerkes beeintr¨chtigt, denn ein NIPS nutzt oft eine PC-Architektur und die verwendete Software hat, a wie jede andere auch, M¨ngel und Bugs. Wird die Software vom Angreifer identifiziert, a k¨nnen u.U. bekannte Schwachstellen genutzt werden [39]. Eine DoS-Attacke k¨nnte o o das NIPS blockieren, wodurch keine Pakete mehr durchgelassen werden. Im Worst Ca¨ se passieren alle Pakete das NIDS im Uberlastfall durch einen Implementierungsfehler ungesehen. Dann k¨nnte ein Cracker unbemerkt in das Netzwerk eindringen. Eine reduno dante oder parallele Ausf¨hrung des IPS k¨nnte Performance-Engp¨sse verhindern und u o a die Ausfallsicherheit steigern. Parallele Ausf¨hrungen zur Lastverteilung sind bereits u marktreif, wie die Firma VarySys mit dem IDS-Balancer [40] zeigt. Beispiele: Snort-Inline und Hogwash o Nach [36] ist die Software Snort-Inline 26 die beste M¨glichkeit, um mit Snort ein Inline NIPS aufzubauen. Ein weiteres, vergleichbares Open Source Projekt ist Hogwash 27 . Hogwash wurde von Anfang an als NIPS entwickelt. Es kann Pakete gezielt ver¨ndern, a um Angriffe unsch¨dlich zu machen und ist dabei auf OSI Schicht 2 v¨llig transparent. a o [...]