Zum Inhalt springen
LAM Academy

AB 04 — IDS und IPS

Mein Fortschritt0/1 (0 %)

Einführung in IDS und IPS

Abschnitt betitelt „Einführung in IDS und IPS“

IDS vs. IPS: Was ist der Unterschied?

Nicht alle IT-Experten sind sich über IDS vs. IPS im Klaren, auch wenn diese Konzepte für die allgemeine Netzwerksicherheit wichtig sind. Stellen Sie sich das so vor: Sicherheitswarnungen und Reaktionen gehören zusammen. Eine Einbruchalarmanlage nützt Ihnen nicht viel, wenn sie nicht auch die Kriminalität abschreckt. Andererseits hilft es nicht, wenn die Polizei bei Ihnen zu Hause auftaucht, wenn es sich um einen Fehlalarm handelt. Manchmal reicht eine Warnung aus, und manchmal ist eine gut abgestimmte Reaktion erforderlich. Sie können diese Ideen im Wesentlichen auf die IT-Sicherheit übertragen, um die Funktion von Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) zu verstehen.

Was ist IDPS?

Es ist wichtig zu beachten, dass sowohl Intrusion-Detection- als auch Intrusion-Prevention-Systeme wichtige Bestandteile der Netzwerkintegrität sind und Konzepte umfassen, die Sie möglicherweise bei IT-Sicherheitsmaßnahmen und -entscheidungen berücksichtigen sollten. Manchmal überschneiden sich die Systeme, manchmal werden sie kombiniert oder gemeinsam als IDPS bezeichnet. Obwohl IPS zu einer immer dominanteren Sicherheitsmethode wird, ist es wichtig, mit beiden vertraut zu sein. In diesem Artikel gebe ich einen Überblick darüber, was Sie über IDS und IPS wissen müssen. Außerdem zeige ich jedem Unternehmen, das eine bessere Strategie zur Erkennung oder Verhinderung von Eindringlingen benötigt, den Einstieg in die Sicherheitstools.

Was ist ein Intrusion Detection System?

Ein IDS überwacht Ihr Netzwerk auf mögliche gefährliche Aktivitäten, einschließlich böswilliger Handlungen und Verstöße gegen Sicherheitsprotokolle. Wenn ein solches Problem erkannt wird, benachrichtigt ein IDS den Administrator, ergreift jedoch nicht unbedingt weitere Maßnahmen. Es gibt verschiedene Arten von IDS und verschiedene Erkennungsmethoden.

• Network Intrusion Detection System (NIDS): Ein Network Intrusion Detection System (NIDS) überwacht Pakete, die in ein Netzwerk oder einen Teilbereich eines Netzwerks ein- und ausgehen. Es könnte den gesamten Datenverkehr oder nur einen Teil davon überwachen, um Sicherheitsbedrohungen zu erkennen. Ein NIDS vergleicht potenzielle Eingriffe mit bekanntem abnormalem oder schädlichem Verhalten. Diese Option wird für Unternehmen bevorzugt, da sie eine viel breitere Abdeckung bietet als hostbasierte Systeme.

• Host-Intrusion-Detection-System (HIDS): Ein Host-Intrusion-Detection-System läuft auf einem einzelnen Host (z. B. einem Computer oder einem Gerät) und überwacht ihn. Es überwacht möglicherweise den Datenverkehr, überwacht aber auch die Aktivität von Clients auf diesem Computer. Beispielsweise könnte ein HIDS den Administrator warnen, wenn ein Videospiel auf private Dateien zugreift, auf die es nicht zugreifen sollte und die nichts mit seinen Vorgängen zu tun haben. Wenn HIDS-Änderungen im Host erkennen, vergleicht es diese mit einer festgelegten Prüfsumme und benachrichtigt den Administrator, wenn ein Problem vorliegt.

HIDS kann in Verbindung mit NIDS zusammenarbeiten und so eine zusätzliche Abdeckung für sensible Workstations bieten und alles abfangen, was NIDS nicht abfängt. Schädliche Programme können sich möglicherweise an einem NIDS vorbeischleichen, ihr Verhalten wird jedoch von einem HIDS erfasst.

Arten von Einbruchmeldesystemen

Es gibt zwei Haupttypen von Intrusion-Detection-Systemen, die Sie kennen sollten, um sicherzustellen, dass Sie alle Bedrohungen in Ihrem Netzwerk abwehren. Signaturbasiertes IDS ist traditioneller und möglicherweise bekannter, während Anomalie basiertes IDS maschinelle Lernfunktionen nutzt. Beide haben ihre Vorteile und Grenzen:

• Signaturbasiert: Signaturbasiertes IDS basiert auf einer vorprogrammierten Liste bekannter Angriffsverhalten. Diese Verhaltensweisen lösen die Warnung aus. Zu diesen „Signaturen“ können Betreffzeilen und Anhänge in E-Mails gehören, von denen bekannt ist, dass sie Viren enthalten, Remote-Anmeldungen, die gegen die Unternehmensrichtlinien verstoßen, und bestimmte Bytesequenzen. Es ähnelt Antivirensoftware (der Begriff „signaturbasiert“ stammt ursprünglich von Antivirensoftware).

Signaturbasiertes IDS ist beliebt und effektiv, aber nur so gut wie seine Datenbank bekannter Signaturen. Dies macht es anfällig für neue Angriffe. Darüber hinaus können Angreifer ihre Angriffe häufig tarnen, um gemeinsame Signaturen zu vermeiden, die dann erkannt werden. Darüber hinaus verfügt das umfassendste signaturbasierte IDS über riesige Datenbanken zur Überprüfung, was große Bandbreitenanforderungen an Ihr System bedeutet.

• Anomalie basiert: Anomalie basiertes IDS beginnt mit einem Modell des normalen Verhaltens im Netzwerk und benachrichtigt dann einen Administrator, wenn es eine Abweichung von diesem Modell des normalen Verhaltens erkennt. Anomalie basiertes IDS beginnt bei der Installation mit einer Trainingsphase, in der es normales Verhalten „lernt“. KI und maschinelles Lernen waren in dieser Phase Anomalie basierter Systeme sehr effektiv.

Anomalie basierte Systeme sind in der Regel nützlicher als signaturbasierte, da sie neue und unerkannte Angriffe besser erkennen können. Allerdings können sie viele Fehlalarme auslösen, da sie nicht immer gut zwischen Angriffen und harmlosem anomalem Verhalten unterscheiden.

Was ist ein Intrusion Prevention System?

Einige Experten betrachten Intrusion-Prevention-Systeme als eine Teilmenge der Intrusion-Detection. Tatsächlich beginnt jede Einbruchsprävention mit der Einbruchserkennung. Sicherheitssysteme können jedoch noch einen Schritt weiter gehen und laufende und zukünftige Angriffe stoppen. Wenn ein IPS einen Angriff erkennt, kann es Datenpakete ablehnen, Befehle an eine Firewall erteilen und sogar eine Verbindung trennen.

IDS und IPS ähneln sich in ihrer Implementierung und Funktionsweise. IPS kann auch netzwerk- oder hostbasiert sein und auf Signatur- oder Anomalie Basis arbeiten.

Arten von Intrusion-Prevention-Systemen

Zu einer robusten IT-Sicherheitsstrategie sollte ein Intrusion-Prevention-System gehören, das dabei helfen kann, viele notwendige Sicherheitsreaktionen zu automatisieren. Wenn Risiken auftreten, kann ein Präventionstool möglicherweise schnell helfen, den Schaden gründlich zu beheben und das gesamte Netzwerk zu schützen.

• Netzwerkbasierte Intrusion Prevention Systems (NIPS): Wie der Name schon sagt, deckt ein NIPS alle Ereignisse in Ihrem Netzwerk ab. Die Erkennung erfolgt signaturbasiert.

• Network Behavior Analysis (NBA): NBA ähnelt NIPS insofern, als es eine netzwerkweite Abdeckung bietet. Aber im Gegensatz zu NIPS operiert die NBA mit Anomalien. Wie das Anomalie basierte IDS benötigt NBA eine Trainingsphase, in der es die Grundnorm des Netzwerks erlernt.

NBA verwendet auch eine Methode namens Stateful Protocol Analysis. Hier wird die Grundnorm vom Anbieter vorprogrammiert und nicht während der Schulungsphase gelernt. In beiden Fällen sucht das IPS jedoch eher nach Abweichungen als nach Signaturen.

• Wireless-based Prevention Systems (WIPS): Der Schutz Ihres Netzwerks bringt seine ganz eigenen Herausforderungen mit sich. Geben Sie WIPS ein. Die meisten WIPS verfügen über zwei Komponenten, darunter Overlay-Überwachung (Geräte, die in der Nähe von Zugangspunkten installiert werden, um die Funkfrequenzen zu überwachen) und integrierte Überwachung (IPS nutzt die APs selbst). Die Kombination dieser beiden, was sehr häufig vorkommt, wird als „hybrides Monitoring“ bezeichnet.

• Hostbasierte Intrusion Prevention Systeme (HIPS): HIPS leben auf einem einzelnen Host und schützen ihn und bieten eine granulare Abdeckung. Sie werden am besten in Verbindung mit einem netzwerkweiten IPS verwendet.

Unterschiede zwischen IDS und IPS

Es gibt mehrere Unterschiede zwischen diesen beiden Systemtypen. IDS warnt nur vor potenziellen Angriffen, während IPS dagegen vorgehen kann. Außerdem ist IDS nicht inline, sodass der Datenverkehr nicht darüber fließen muss. Der Datenverkehr muss jedoch über Ihr IPS fließen. Darüber hinaus führen Fehlalarme für IDS nur zu Warnungen, während Fehlalarme für IPS zum Verlust wichtiger Daten oder Funktionen führen können.

Die beste IDS/IPS-Software

Zu diesem Zeitpunkt hat IPS IDS in der IT-Branche weitgehend überholt. Und meine Top-Auswahl enthält Elemente von beidem.

Eine Intrusion-Detection-Software kann den Anforderungen (und mehr) von IT-Experten gerecht werden. Wenn Sie Schwierigkeiten haben, mit den manuellen Anforderungen von IDS für mehrere Netzwerke Schritt zu halten, können Sie mit der IDS-Software viele dieser Prozesse automatisieren. Wie ich bereits erwähnt habe, ist ein IDS nur so gut wie die Liste der Bedrohungen, die es katalogisiert hat, und ein IDS-Tool wie SolarWinds®Threat Monitor stellt regelmäßig Updates zu seinen bekannten Bedrohungen aus den führenden Datenbanken bereit. Darüber hinaus ist es prüfungsbereit und stellt Ihnen die gesamte benötigte Dokumentation zur Verfügung.

Snort

Abschnitt betitelt „Snort“

Was ist Snort?

Neben vielen kommerziellen Soft- und Hardware-IDS-Lösungen ist Snort ein weit verbreitetes IDS auf Open-Source-Basis. Obwohl sich Snort selbst als „Lightweight Network Intrusion Detection Tool“ bezeichnet, verfügt es über flexible Konfigurationsmöglichkeiten und zahlreiche Funktionen, die es zu einem vielseitig einsetzbaren IDS machen.

Snort ist ursprünglich für UNIX-Systeme geschrieben worden, wurde aber auch auf Windows portiert. Das Snort-Hauptprogramm wird immer noch über Kommandozeilenbefehle und Konfigurationsdateien gesteuert. Es existiert jedoch ein Windows-Verwaltungstool namens IDSCenter, das versucht, die Konfigurationsmöglichkeiten in einer grafischen Oberfläche ver-einfacht darzustellen.

Um auf einem Windows-Rechner Snort zu installieren, benötigen Sie das Snort-Distributionsarchiv sowie Bibliotheksdateien, die den direkten Zugriff auf die Netzwerkhardware ermöglichen.

Der TCP/IP-Stack von Windows kann vom IDS nicht genutzt werden, da das IDS im sogenannten Promiscuous Mode alle Netzwerkpakete analysieren soll, die die Netzwerkkarte passieren.

Zusätzlich sollen diese Pakete auch auf Netzwerkebene auf falsch gesetzte Flags, Fragmentierung und Ähnliches untersucht werden. Eine Bibliothek, die diese Funktionen zur Verfügung stellt, ist WinPCap (Windows-Packet-Capture) Version 4.1.3, welche zuerst installiert werden muss.

Für Snort gibt es eine Reihe von grafischen Oberflächen, die sehr unterschiedlich im Leistungs- umfang sind. An dieser Stelle ist ein großer Unterschied zu kommerziellen IDS/IPS zu finden, die meist sehr leistungsfähige grafische Oberflächen haben. Snort selbst, als Kommandozeilentool, ist jedoch nach wie vor auch für Windows-Systeme erhältlich (Version 2.9.18.1, Nov. 2021).

Kernstück des IDS sind die Konfiguration der sogenannten Präprozessoren, welche die von der Netzwerkkarte empfangenen Daten vorverarbeiten, und die Konfiguration der IDS-Regeln (rules).

Mittels der Präprozessoren ist Snort in der Lage, den empfangenen Datenstrom so zu verarbeiten, dass z. B. fragmentierte Pakete reassembliert werden.

Die eigentliche Intelligenz des IDS liegt in den Regeln, welche die Signaturen für bekannte Angriffe enthalten. In Snort liegen diese Signaturen in Textdateien vor, die von der Open-Source-Community aktualisiert werden und auch vom Administrator selbst erweitert werden können.

Voraussetzungen hierfür sind genaue Kenntnisse der typischen Merkmale des Sicherheitsproblems und entsprechende Programmierkenntnisse des Administrators.

Weniger Aufwand dürfte es für Sie allerdings sein, die Snort-Regeln manuell oder automatisch von der Website www.snort.org zu beziehen. Snort wurde von SourceFire entwickelt, welche 2013 von der Firma Cisco übernommen wurde, um deren Security-Portfolio zu ergänzen.

Arbeitsumgebung

Abschnitt betitelt „Arbeitsumgebung“

Alle Aufgaben dieses Kurses werden wir in virtuellen Maschinen in VMware oder VirtualBox durchführen. Aus diesem Grund erstellen wir zunächst unsere Arbeitsumgebung für Linux.

Aufgaben

Abschnitt betitelt „Aufgaben“

  • Erklären Sie den Hauptzweck eines IDS und IPS. Untermauern Sie Ihre Erklärungen zwischendurch durch ein Bild.

  • Erklären Sie den Installationsprozess von Snort.

  • Wie lauten Pfad und Name der Snort-Standardkonfigurationsdatei?

  • Welcher Befehl führt Snort als IDS aus?

  • Welcher Befehl führt Snort als IPS aus?

  • Erstellen Sie die Datei local.rules im Snort-Regelverzeichnis mit den folgenden 3 Regeln:

  • Der gesamte TCP-Verkehr von überall zu foxi.lu wird mit der Meldung „An foxi.lu“ protokolliert.

  • Der gesamte TCP-Verkehr von foxi.lu nach irgendwohin wird mit der Meldung „Von foxi.lu“ protokolliert.

  • Der gesamte TCP-Verkehr von irgendwo nach irgendwo, der das Wort „Passwort“ enthält, wird mit der Meldung „Passwort“ protokolliert.

  • Mit welchem ​​Befehl kann Snort den Inhalt (einschließlich Anwendungsdaten und ausführlicher Ausgabe) der Protokolldatei anzeigen?

  • Optional: Installieren Sie Suricata und wiederholen Sie die Schritte 3 bis 6 unter Suricata.

Erstelle für die obenstehende Fragen ein Word und PDF-Dokument. Überprüfen sie jeweils ob ihre Konfigurationen immer richtig funktioniert haben.

Lernkontrolle

Abschnitt betitelt „Lernkontrolle“
Wo ist der Unterschied zwischen IDS und IPS?