Kryptografie (22) : Network-based IDS

Hier wird das Network-based IDS genauer vorgestellt. Ein Network-based IDS setzt auf der Ebene der IP-Pakete an und betrachtet die folgenden Teile eines IP-Paketes [1]:

• IP-Header
  Hier werden die einzelnen Felder analysiert. Besonders interessant sind die Felder Header Length, Fragment Offset, Time To Live (Netzwerksprünge), Source Address und Destination Address.

• TCP-Header
  Wenn Teile einer TCP-Verbindung in IP-Paketen verpackt sind, dann wird auch der TCP-Header und die darin enthaltenen Daten betrachtet. Das können dann die SYN-, ACK- oder FIN-Flags sein.

• ICMP-Nachrichten
  Das Internet Control Message Protocol (ICMP) wurde ursprünglich entwickelt, um Netzprobleme zu erkennen und Fehler zu melden. Das Kommando ping benutzt beispielsweise ICMP-Nachrichten um zu erkennen, ob ein entfernter Rechner erreichbar ist. Angreifer benutzen dieses Protokoll, um Informationen über ein Netz zu sammeln und damit einen Angriff vorzubereiten.

Angriffssignaturen

Ein Network-based IDS hat die Aufgabe, verdächtige oder gefährliche Pakete im Netz zu erkennen. Was aber sind verdächtige oder gefährliche Pakete? Hier folgt eine (unvollständige) Auflistung über die grundsätzlichen Probleme, auf die man achten sollte:

• Fragmentierte Pakete
  Mit Hilfe von fragmentierten Paketen wird häufig versucht, einen gefährlichen Inhalt zu tarnen. Außerdem kann man mit
  ihnen einen Denial of Service Angriff versuchen. Durch Überschwemmen eines Systems mit fragmentierten Paketen, wobei man aber immer darauf verzichtet, das letzte Fragment zu senden, kann man ein System möglicherweise überlasten. Es muss Ressourcen reservieren und die Fragmente zwischenspeichern, bis ein Paket komplett ist und weiter verarbeitet werden kann. Man erkennt fragmentierte Pakete daran, dass das more fragments Bit im IP-Header gesetzt ist.

• Undefinierte Kombinationen von Statusbits
  In einem TCP oder IP-Header enthalten Statusbits Informationen über das Paket und den Zustand der Verbindung. Wenn gar keine Statusbits in einem TCP-Header gesetzt sind, so deutet das auf einen Angriffsversuch hin. Bei der normalen Benutzung von TCP kommt dieser Fall nicht vor.
  Neben den SYN- und ACK-Bits zum Aufbau einer Verbindung nach dem Handshake gibt es auch das FIN-Bit zum Beenden einer Verbindung. Pakete, in denen SYN- und FIN-Bit gesetzt sind, sind verdächtig, da das beim normalen Einsatz nicht vorkommt. Auch ACK-Pakete, in denen die acknowledgement number auf Null gesetzt ist, sind verdächtig.

• IP-Pakete für nicht angebotene Dienste
  Hat man auf keinem seiner Systeme bspw. den Dienst File Transfer Protocol (FTP) aktiviert, so kann es eigentlich auch keine Datenpakete an Port 21 geben. Alle Pakete mit diesem Ziel sind merkwürdig und können auf einen Portscan hindeuten.

• Informationsbeschaffung durch Scanning
  Angreifer beginnen mit der Beschaffung von möglichst vielen Informationen über das Angriffsziel. Dazu kann man beispielsweise einen Security Scanner (NMAP) [2] benutzen.

Zwei bekannte und oft eingesetzte Network-based Intrusion Detection Systeme sind TCPdump [3] und Snort [4].

Mit Hilfe des Programms TCPdump kann man Pakete, die am Netzwerkinterface (z. B. der Ethernet-Karte des Rechners) vorbeikommen, protokollieren.
Snort ist frei verfügbar und wird in vielen Linux-Distributionen direkt mitgeliefert. Da es frei verfügbar ist, hat es viele Anhänger. Sie stellen nach neuen Angriffen immer wieder neue Regeln zur Erkennung dieser Angriffe zur Verfügung. Außerdem wird das Programm ständig gepflegt und weiter entwickelt.

• Quellen
  [1] Gopalkrishna N. Prabhu et. al. Network Intrusion Detection System. In: Int. Journal of Engineering Research and Applications, Volume 4, Issue 4, Appril 2014, p.70f [letzter Zugriff: 28.09.19, 14:33]
  [1] https://nmap.org/ [letzter Zugriff: 30.09.19, 18:22]
  [2] https://www.tcpdump.org/ [letzter Zugriff: 29.09.19, 16:00]
  [3] https://www.snort.org/ [letzter Zugriff: 30.09.19, 19:11]