E-Book, Deutsch, 159 Seiten
Stein Intrusion Detection System Evasion durch Angriffsverschleierung in Exploiting Frameworks
1. Auflage 2010
ISBN: 978-3-8366-3828-9
Verlag: Diplomica Verlag
Format: PDF
Kopierschutz: 0 - No protection
E-Book, Deutsch, 159 Seiten
ISBN: 978-3-8366-3828-9
Verlag: Diplomica Verlag
Format: PDF
Kopierschutz: 0 - No protection
Ein erhöhter Schutzbedarf von IT-Systemen kann durch Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systeme bzw. Intrusion Prevention Systeme (IDS/IPS) gewährleistet werden, die bestimmten Datenverkehr blockieren oder Angriffe erkennen und verhindern sollen. Ein Beispiel für einen Angriff ist das Ausnutzen einer Sicherheitslücke durch einen Exploit mit dem Ziel eigenen Code auszuführen und die Kontrolle über das IT-System zu erlangen. Exploiting Frameworks stellen für solche Angriffe eine Art Baukasten dar, mit dem ein Angreifer den Exploit anpassen und automatisiert gegen ein Zielsystem ausführen kann. Viele Angriffe werden jedoch durch Schutzmaßnahmen wie IDS erkannt bzw. im Falle von Intrusion Prevention Systemen (IPS) abgewehrt. Um eine Erkennung derartiger Angriffe zu verhindern, existieren mehrere kombinierbare Techniken, die jeweils auf verschiedenen Schichten des ISO OSI Modells angewendet werden, um die Mechanismen von IDS/IPS zur Erkennung von Angriffen zu umgehen. In einigen Exploiting Frameworks, wie z.B. dem Metasploit Framework (MSF), SAINT Exploit oder Core Impact, sind bereits einige der Techniken zur Verschleierung von Angriffen implementiert. Dies stellt ein Risiko für Unternehmen dar, da erfolgreiche Angriffe auf IT-Systeme in diesem Fall nicht mehr durch IDS erkannt werden können. In diesem Buch werden Techniken und Konzepte analysiert und bewertet, mit denen Angriffe so gestaltet werden, dass sie nicht von IDS/IPS erkannt werden können (Insertion, Evasion und Obfuscation). Durch die Integration dieser Techniken in Exploiting Frameworks wird zudem der Beitrag von Exploiting Frameworks unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen untersucht. Mehrere ausgewählte NIDS werden unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen bewertet. Hierzu werden die Grundlagen von Exploiting Frameworks, IDS/IPS und von Techniken zur Verschleierung von Angriffen dargestellt und eine Testumgebung sowie Testszenarien erstellt, in denen am Beispiel des Metasploit Exploiting Frameworks und mehreren Network Intrusion Detection Systemen (NIDS) die Untersuchungen durchgeführt werden. Als NIDS wird u.a. Snort eingesetzt.
Autoren/Hrsg.
Weitere Infos & Material
2;Abbildungsverzeichnis;7
3;Tabellenverzeichnis;9
4;Listingverzeichnis;10
5;Abkürzungsverzeichnis;10
6;1 Einleitung;15
6.1;1.1 Ausgangssituation;15
6.2;1.2 Forschungsstand;16
6.3;1.3 Zielsetzung der Studie;16
6.4;1.4 Aufbau der Studie;17
6.5;1.5 Notation;17
7;2 Grundlagen von Exploiting Frameworks und Intrusion Detection Systemen;18
7.1;2.1 Grundlegende Begriffe;18
7.1.1;2.1.1 Sicherheitslücke (Vulnerability);18
7.1.2;2.1.2 Exploit;19
7.1.3;2.1.3 Pufferüberlauf (Buffer Overflow);21
7.1.4;2.1.4 Shellcode;23
7.1.5;2.1.5 Spoofing;24
7.1.6;2.1.6 Denial of Service;25
7.2;2.2 Funktionsweise von Exploiting Frameworks;26
7.2.1;2.2.1 Aufgaben;26
7.2.2;2.2.2 Architektur;27
7.2.3;2.2.3 Metasploit Framework (MSF);28
7.2.3.1;2.2.3.1 Architektur;29
7.2.3.2;2.2.3.2 Benutzerschnittstellen;30
7.3;2.3 Funktionsweise von Intrusion Detection Systemen (IDS);32
7.3.1;2.3.1 Definition Intrusion Detection;32
7.3.2;2.3.2 Definition Intrusion Detection System;32
7.3.3;2.3.3 Taxonomie von IDS;32
7.3.4;2.3.4 Komponenten eines IDS;33
7.3.4.1;2.3.4.1 Netz-basierte Sensoren;33
7.3.4.2;2.3.4.2 Host-basierte Sensoren;34
7.3.5;2.3.5 Methoden der Angriffserkennung;35
7.3.5.1;2.3.5.1 Erkennung von Angriffsmustern;35
7.3.5.2;2.3.5.2 Anomalieerkennung;35
7.3.6;2.3.6 Intrusion Protection Systeme (IPS);35
7.3.7;2.3.7 Falschmeldungen (False Positives und False Negatives);35
7.3.8;2.3.8 Sourcefire Snort (IDS/IPS);36
7.3.8.1;2.3.8.1 Architektur und Funktionsweise;36
7.3.8.2;2.3.8.2 Preprozessoren;37
7.3.8.3;2.3.8.3 Signaturen;38
8;3 Konzepte zur Verschleierung von Angriffen;40
8.1;3.1 Allgemeine Verschleierungs-Techniken;40
8.1.1;3.1.1 Insertion / Injection;40
8.1.2;3.1.2 Evasion;42
8.1.3;3.1.3 Denial of Service;42
8.1.4;3.1.4 Obfuscation;44
8.2;3.2 Angriffstechnik der Sicherungsschicht (OSI-Schicht 2);44
8.3;3.3 Angriffstechniken der Netzwerkschicht (OSI-Schicht 3);45
8.3.1;3.3.1 Ungültige IP-Header Felder;46
8.3.2;3.3.2 IP Optionen;46
8.3.3;3.3.3 Fragmentierung von IP-Paketen;47
8.4;3.4 Angriffstechniken der Transportschicht (OSI-Schicht 4);49
8.4.1;3.4.1 Ungültige TCP-Header Felder;50
8.4.2;3.4.2 TCP Optionen;50
8.4.3;3.4.3 TCP Stream Reassembly;51
8.4.4;3.4.4 TCP Control Block (TCB);51
8.5;3.5 Angriffstechniken der Anwendungsschicht (OSI-Schicht 5-7);52
8.5.1;3.5.1 Coding Evasion;52
8.5.2;3.5.2 Directory-Traversal Evasion;52
8.5.3;3.5.3 Evasion durch polymorphen Shellcode;52
9;4 Verschleierung von Angriffen in Exploiting Frameworks;54
9.1;4.1 Verschleierung von Angriffen im Metasploit Framework;54
9.1.1;4.1.1 Implementierte Insertion- und Evasion Techniken;55
9.1.2;4.1.2 Implementierte Obfuscation Techniken;55
9.1.2.1;4.1.2.1 Verschleierung des Angriffscodes;55
9.1.2.2;4.1.2.2 Verschleierung des Shellcode;57
9.1.3;4.1.3 Filterung von erkennbaren Angriffen auf Clientseite (IPS-Filter Plugin);58
9.2;4.2 Verschleierung von Angriffen in Core Impact;59
9.3;4.3 Verschleierung von Angriffen in SAINT exploit;59
10;5 Bewertung von NIDS unter dem Gesichtspunkt von Evasion Techniken;60
10.1;5.1 Bewertungsparameter für Network Intrusion Detection Systeme;60
10.2;5.2 Entwurf der Testumgebung;65
10.2.1;5.2.1 Anforderungsanalyse;65
10.2.2;5.2.2 Auswahl der zu evaluierenden Network Intrusion Detection Systeme;65
10.2.3;5.2.3 Auswahl der Testverfahren;67
10.2.3.1;5.2.3.1 Tests der Evasion Techniken der Netzwerk- und Transportschicht;68
10.2.3.2;5.2.3.2 Tests der Obfuscation Techniken der Anwendungsschicht;74
10.2.4;5.2.4 Konfiguration der Testumgebung;81
10.3;5.3 Realisierung der Testumgebung;83
10.3.1;5.3.1 Einrichtung der Virtuellen Maschinen in VirtualBox;83
10.3.1.1;5.3.1.1 Einrichtung des Metasploit Exploiting Frameworks;83
10.3.1.2;5.3.1.2 Einrichtung der Netzwerkkomponenten (Hub, Router);84
10.3.1.3;5.3.1.3 Einrichtung des NIDS Snort;87
10.3.1.4;5.3.1.4 Einrichtung des NIDS / IPS Untangle;89
10.3.1.5;5.3.1.5 Einrichtung des NIDS Bro;91
10.3.1.6;5.3.1.6 Einrichtung des NIDS Securepoint;92
10.3.1.7;5.3.1.7 Einrichtung der Zielsysteme;92
10.3.2;5.3.2 Integration der Cisco Appliances;92
10.3.2.1;5.3.2.1 Einrichtung des Cisco 2620 Routers (IP Plus);93
10.3.2.2;5.3.2.2 Einrichtung des Cisco 4215 Sensors;94
10.4;5.4 Durchführung der Tests;97
10.5;5.5 Auswertung der Testergebnisse;98
10.5.1;5.5.1 Auswertung der Protokolldateien;98
10.5.2;5.5.2 Darstellung der Testergebnisse;100
10.5.3;5.5.3 Zusammenfassende Bewertung der NIDS;103
10.5.4;5.5.4 Zusammenfassung;105
11;6 Ansätze zur verbesserten Erkennung von verschleierten Angriffen;109
11.1;6.1 Maschinelles Lernen für Echtzeit-Intrusion-Detection;109
11.2;6.2 Verbesserung von NIDS durch Host-basierte Informationen;109
11.3;6.3 Verwendung von Grafikprozessoren zur Mustererkennung;110
11.4;6.4 Dynamische Taint-Analyse zur Erkennung von Angriffen;111
11.5;6.5 Normalisierung von Netzverkehr zur Beseitigung von Mehrdeutigkeiten;112
11.6;6.6 Active Mapping;113
12;7 Zusammenfassung und Fazit;115
13;Literaturverzeichnis;117
14;A Bewertungsparameter der evaluierten NIDS;122
15;B Konfigurationen;129
15.1;B.1 Snort Version 2.8.4.1 - Konfigurationsdatei snort.conf;129
15.2;B.2 Cisco 4215 IDS Sensor - Konfiguration;133
16;C Quellcode;135
16.1;C.1 Metasploit Framework Obfuscation Test Script (msfauto.sh);135
16.2;C.2 Metasploit IDS Filter Plugin (ids_filter.rb);145
16.3;C.3 Metasploit Exploit ms08_067_netapi Modulinformationen;148
16.4;C.4 Metasploit Verschleierungs-Optionen des Moduls ms08_067_netapi;151
17;Stichwortverzeichnis;153
18;Autorenprofil;158
