Channel Security

In dieser Folge geht es zuerst um den Einsatz von Intrusion-Detection-Systemen in Kombination mit Switches, danach um Angriffe auf bzw. das Umgehen von Intrusion-Detection-Systemen.

IDS und Switches

Da hostbasierte IDS Bestandteil des zu überwachenden Rechners sind und dessen Netzwerkverbindung zur Kommunikation verwenden können, spielt die Art des Netzes für sie im Prinzip keine Rolle. Anders hingegen bei den netzwerkbasierten Sensoren verteilter IDS (das Gleiche gilt entsprechend für netzwerkbasierte IDS). Da ein Switch Punkt-zu-Punkt-Verbindungen zwischen den jeweiligen Kommunikationspartnern aufbaut, kann ein an einen normalen Switch-Port angeschlossener Sensor nur die Pakete sehen, die direkt an ihn gerichtet sind.

Um dieses Problem zu umgehen, haben viele Switches einen Monitoring-Port für den Anschluss von Netzwerkanalysatoren und ähnlichen Geräten. An diesen Port werden alle vom Switch empfangenen Pakete weitergeleitet. Wird an einen solchen Port ein netzwerkbasierter Sensor angeschlossen, kann er theoretisch alle vom Switch empfangenen Pakete kontrollieren. Praktisch kann es dabei zu Problemen kommen, wenn die Übertragungs- und Verarbeitungskapazität an ihre Grenzen stößt: Bei einem voll ausgelasteten Switch mit n normalen Ports und einem Monitoring-Port müssen Monitoring-Port und angeschlossener Sensor die n-fache Kapazität eines normalen Ports verarbeiten können. Auch ist der Monitoring-Port ein mögliches Angriffsziel: Schafft es ein Angreifer, den Monitoring-Port in irgendeiner Form zu beeinträchtigen, kann er danach unbeobachtet vom Intrusion-Detection-System sein Unheil anrichten.

Angriffe auf und Umgehen von netzwerkbasierte(n) Systeme(n)

Für Angriffe auf netzwerkbasierte Sensoren und das Umgehen von netzwerkbasierten Sensoren verteilter IDS bzw. netzwerkbasierte IDS gibt es mehrere Möglichkeiten. Hier sollen nur einige aufgezählt werden:

• Blenden des Sensors
  Der Sensor bzw. das IDS wird so stark ausgelastet, dass ein Angriff auf das überwachte Netz nicht erkannt werden kann. Ein IDS hat keine Möglichkeit, den Netzwerkverkehr zu drosseln, wenn seine Verarbeitungskapazität an ihre Grenzen stößt. Reicht die Kapazität nicht aus, muss es einen Teil der empfangenen Pakete verwerfen. Dies kann bis zum vollständigen Ausfall des Sensors führen, wenn immer mehr Leistung für den Empfang der Pakete verwendet wird und immer weniger Leistung für ihre Verarbeitung zur Verfügung steht. Ein solcher Angriff ist von innen relativ leicht zu realisieren. Für einen Angriff aus dem Internet muss der Angreifer auf Verfahren zurückgreifen, die mit geringem Aufwand zu einer hohen Auslastung im überwachten Netz führen. Eine Möglichkeit dafür sind beispielsweise Smurf- oder Fraggle-Angriffe (siehe About Security #58).
  
  
• Blenden des Event-Speichers
  Die Speicherkapazität des IDS wird mit so vielen unwichtigen bzw. falschen Daten gefüllt, dass Informationen über einen Angriff nicht erkannt, nicht erfasst oder mit aktuelleren Daten überschrieben werden.
  
  
• Denial-of-Service
  Ein IDS entspricht im Prinzip einem vollwertigen TCP/IP-Stack mit verschiedenen Diensten. Dadurch ist es auch für übliche Angriffe wie beispielsweise SYN-Floods (siehe About Security #58) anfällig. Auch die Analyseroutinen für die verschiedenen unterstützten Protokolle sind unter Umständen anfällig für Denial-of-Service-Angriffe.
  
  
• Langsame Port-Scans
  Da die IDS große Datenmengen verarbeiten müssen, erkennen sie langsame Port-Scans unter Umständen nicht, da sie keinen Zusammenhang zwischen den verschiedenen Paketen feststellen.
  
  
• Umgehen der Signaturerkennung
  Die Signaturerkennung kann in manchen Fällen umgangen werden, indem ein bekannter Angriff etwas abgeändert wird. So können zur Erkennung eines Angriffs auf eine Pufferüberlauf-Schwachstelle zum Beispiel mehrere Muster zur Erkennung bekannter Angriffe eingesetzt werden. Schon eine leichte Änderung des Angriffs reicht dann aus, um nicht erkannt zu werden. Ein Muster, das überlange Parameter erkennt, kann dagegen nicht umgangen werden: Entweder der Parameter ist zu lang oder er ist es nicht.
  
  
• HTTP-Request-Smuggling
  Ein Angreifer kann mit einem HTTP-Request-Smuggling-Angriff (siehe About Security #17 ff. ) seine Absichten vor dem IDS verbergen: Das IDS sieht unsinnigen oder harmlosen Netzwerkverkehr, der auf dem Zielsystem jedoch anders interpretiert wird und Schaden anrichtet.
  
  
• Senden zusätzlicher Pakete
  Ein IDS kann unter Umständen durch das Senden von Paketen getäuscht werden, die zwar beim IDS, nicht aber beim Zielsystem ankommen, weil zum Beispiel ein dazwischen liegender Router sie verwirft. So könnte z.B. dem IDS das Ende einer Verbindung vorgetäuscht werden, die für das angegriffene System weiter besteht. Dafür kann zum Beispiel ein FIN-Paket mit entsprechend gesetztem TTL-Feld (Time to Live) verwendet werden.

Damit sind die theoretischen Grundlagen von Intrusion-Detection-Systemen abgeschlossen. In der nächsten Folge geht es mit einem praktischen Beispiel weiter.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

• About Security #42: Intrusion-Detection-Systeme – Grundlagen
• About Security #43: Intrusion-Detection-Systeme – Positionierung
• About Security #44: IDS-Kommunikation
• About Security #45: IDS in hochverfügbaren Netzen
• About Security #46: Angriffe auf IDS
• About Security #47: Beispiele für IDS-Regeln
• About Security #48: Umsetzung der IDS-Beispiele mit Snort
• About Security #49: Intrusion Prevention