9.3. Netzwerk-basierte IDS
Netzwerk-basierte Intrusion-Detection-Systeme funktionieren anders als host-basierte IDS. Die Design-Philosophie eines netzwerk-basierten IDS ist das Scannen von Netzwerkpaketen am Router oder Host, Pr�fen von Paket-Informationen und das Logging jeglicher verd�chtiger Pakete in einer speziellen Log-Datei mit erweiterten Informationen. Basierend auf diesen verd�chtigen Paketen kann ein netzwerk-basiertes IDS deren eigene Datenbank mit Signatur bekannter Netzwerkattacken scannen und einen Gewichtigkeitsgrad f�r jedes Paket festlegen. �bersteigt der Grad der Gewichtigkeit einen bestimmten Wert, wird eine Warn-E-Mail oder eine Nachricht �ber Mobil-Pager an die Mitarbeiter des Sicherheitsteams abgeschickt, sodass diese die Art der Anomalie weiter pr�fen k�nnen.
Netzwerk-basierte IDS werden mit wachsendem Internet immer beliebter. IDS, die gro�e Mengen an Netzwerkaktivit�ten scannen und verd�chtige �bertragungen erfolgreich mit Tags versehen k�nnen, sind in der Sicherheitsindustrie hoch angesehen. Durch die Unsicherheit des TCP/IP-Protokolls wurde es unumg�nglich, Scanner, Schn�ffler und andere Netzwerkpr�f- und Erkenntools zu entwickeln, die Sicherheitsbr�che durch unter anderem folgende Netzwerkaktivit�ten verhindern:
Die meisten netzwerk-basierten IDS erfordern, dass das Netzwerkger�t des Hostsystems auf Promiscuous gesetzt wird, was dem Ger�t erlaubt, jedes Paket im Netzwerk abzufangen. Der Promiscuous-Moduskann durch den Befehl ifconfig z.B. wie folgt gesetzt werden:
Das Ausf�hren von ifconfig ohne Optionen zeigt, dass eth0 sich nun im Promiscuous-Modus (PROMISC) befindet.
eth0 Link encap:Ethernet HWaddr 00:00:D0:0D:00:01
inet addr:192.168.1.50 Bcast:192.168.1.255 Mask:255.255.252.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:6222015 errors:0 dropped:0 overruns:138 frame:0
TX packets:5370458 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2505498554 (2389.4 Mb) TX bytes:1521375170 (1450.8 Mb)
Interrupt:9 Base address:0xec80
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:21621 errors:0 dropped:0 overruns:0 frame:0
TX packets:21621 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1070918 (1.0 Mb) TX bytes:1070918 (1.0 Mb) |
Durch das Verwenden eines Tools wie tcpdump (mit Red Hat Enterprise Linux ausgeliefert) k�nnen wir den Verkehr im Netzwerk sehen:
tcpdump: listening on eth0
02:05:53.702142 pinky.example.com.ha-cluster > \
heavenly.example.com.860: udp 92 (DF)
02:05:53.702294 heavenly.example.com.860 > \
pinky.example.com.ha-cluster: udp 32 (DF)
02:05:53.702360 pinky.example.com.55828 > dns1.example.com.domain: \
PTR? 192.35.168.192.in-addr.arpa. (45) (DF)
02:05:53.702706 ns1.example.com.domain > pinky.example.com.55828: \
6077 NXDomain* 0/1/0 (103) (DF)
02:05:53.886395 shadowman.example.com.netbios-ns > \
172.16.59.255.netbios-ns: NBT UDP PACKET(137): QUERY; BROADCAST
02:05:54.103355 802.1d config c000.00:05:74:8c:a1:2b.8043 root \
0001.00:d0:01:23:a5:2b pathcost 3004 age 1 max 20 hello 2 fdelay 15
02:05:54.636436 konsole.example.com.netbios-ns > 172.16.59.255.netbios-ns:\
NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:05:56.323715 pinky.example.com.1013 > heavenly.example.com.860:\
udp 56 (DF)
02:05:56.323882 heavenly.example.com.860 > pinky.example.com.1013:\
udp 28 (DF) |
Beachten Sie, dass die Pakete, die nicht f�r unseren Computer bestimmt waren (pinky.example.com), noch von tcpdump gescannt und geloggt werden.
9.3.1. Snort
Auch wenn tcpdump ein n�tzliches Pr�ftool darstellt, wird es nicht als wahres IDS betrachtet, da es Pakete nicht auf Anomalien analysiert und markiert. tcpdump druckt alle Paketinformationen auf dem Ausgabebildschirm oder in einer Logdatei, ohne Analyse oder Ausarbeitung. Ein richtiges IDS analysiert die Pakete, markiert potentiell sch�dliche Pakete und speichert diese in einem formatierten Log.
Snort ist ein IDS, das f�r umfassendes und akkurates Logging von b�swilligen Netzwerkaktivit�ten und Benachrichtigung von Administratoren bei potentiellen Br�chen entwickelt wurde. Snort verwendet die Standard-libcap-Bibliothek und tcpdump als Paket-Logging-Backend.
Das beste Feature von Snort, zus�tzlich zur Funktionalit�t, ist das flexible Attacken-Signatur-Subsystem. Snort hat eine st�ndig aktualisierte Attacken-Datenbank, die �ber das Internet erg�nzt und aktualisiert werden kann. Benutzer k�nnen Signaturen basierend auf Netzwerkattacken erstellen und diese an die Snort-Signatur-Mailinglisten weitergeben (unter https://www.snort.org/lists.html), sodass alle Benutzer von Snort hiervon profitieren. Diese Ethik der Community, Informationen zu teilen, hat Snort zu einem der aktuellsten und robustesten netzwerk-basierten IDS gemacht.
| Hinweis |
---|
| Snort wird nicht mit Red Hat Enterprise Linux ausgeliefert und wird nicht unterst�tzt. Es wurde in diesem Handbuch als Referenz f�r Benutzer, die Interesse an der Evaluation dieses Tools haben, gegeben. |
Weitere Informationen zu Snort finden Sie auf der offiziellen Webseite unter https://www.snort.org/.