Konfiguration der Eindringversuchserkennung (Intrusion Detection)
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Der ISA Server bietet neben den Firewall- und Proxyfunktionen auch eine Eindringversuchserkennung. Dazu muss als Installationsart der Firewall- oder Integrierte Modus verwendet werden; im Cachemodus steht diese Funktion nicht zur Verfügung.
Microsoft hat diesen Bestandteil von ISS (www.iss.net/isaserver) lizenziert; ISS bietet darüber hinaus für den ISA weitere Komponenten an, die mehr Erkennungsmuster für Angriffsversuche mitbringen. Sobald die Eindringversuchserkennung aktiviert ist, erkennt der ISA Angriffsversuche und kann darauf reagieren. Es besteht die Möglichkeit, das Ereignis nur im Ereignisprotokoll zu vermerken, z.B. dem Administrator eine E-Mail zu senden, Dienste herunter zu fahren oder Anwendungen auszuführen.
Aktiviert wird die Eindringversuchserkennung in den Eigenschaften der IP-Paketfilter:
Anschließend hat man folgende Erkennungsmuster auf IP-Paketebene zur Verfügung:
- Windows-Out-of-Band (WinNuke)
Tritt auf, wenn Angreifer einen Out-of-Band-Angriff oder Denial of Service (DoS)-Angriff gegen einen Computer ausführen. Ein DoS-Angriff ist ein Versuch, einen Computer oder ein Netzwerk lahm zu legen. Dieser Angriff kann dazu führen, dass der Computer nicht mehr antwortet oder die Netzwerkverbindung verliert. Dazu wird ein Sicherheitsloch in Windows-Betriebssystemen (für das ein Patch seit Windows NT 4.0 ServicePack 4 existiert!) ausgenutzt und an Port 139 ein leeres IP-Paket gesendet, welches das TCP Flag Urgent gesetzt hat. - Land
Damit bezeichnet man die Methode, wenn Eindringlinge eine TCP-Verbindung mit einer gefälschten Quell-IP-Adresse und Portnummer aufbauen, welche mit der Ziel-IP-Adresse und Portnummer übereinstimmt. Spoofing bezieht sich auf das Überlisten eines Computers, um Informationen zu erhalten, welche unberechtigten Zugriffe mit Hilfe einer falschen IP-Adresse erlauben. Ein Land-Angriff kann bewirken, dass Computer nicht mehr reagieren und so auch für berechtigte Benutzer nicht mehr zur Verfügung stehen. - Ping-of-Death
Mit Ping-of-Death-Angriffen wird versucht, einen Computer außer Kraft zu setzen, in dem ICMP Echo Request-Paketen große Datenmengen hinzugefügt werden. Bei dieser Attacke sendet der Angreifer ICMP-Pakete mit einer Nutzdatengröße von mindestens 65.510 Byte. Diese werden fragmentiert zum Zielsystem übertragen und dort wieder zusammengesetzt. Inklusive des ping-Headers ergibt das ein IP-Paket, das größer ist als die maximal zulässige Größe von 65.536 Byte. Bei IP-Implementierungen, die einen solchen Overflow nicht abfangen, kommt es dann zum Systemabsturz - IP-Half-Scan
Treten auf, wenn Eindringlinge wiederholt versuchen, eine Verbindung zum Zielcomputer herzustellen und die TCP-Pakete bestimmte Flags enthalten. Die bestimmten Flags sind Sync = 1. Daraufhin sendet der Ziel Server die Flags Sync=1 und zusätzlich das ACK=1 Flag. Als nächstes müsste der Angreifer ein IP Paket senden das nur noch das Ack=1 Flag gesetzt hat, das tut er aber nicht (ein halber Port Scann also). Dieser Vorgang kann darauf hindeuten, dass nach offenen Ports gesucht wird. - UDP-Bomb
Tritt auf, wenn Eindringlinge versuchen, ein illegales UDP-Paket zu senden. Ein UDP-Paket, das aus illegalen Werten in bestimmten Feldern aufgebaut ist, bringt den Computer zum Absturz, sobald das Paket empfangen wird. - Port-Scan
Ein Port-Scan (All-Port-Scan) tritt auf, wenn Angreifende versuchen, Zugriff auf mehr als die vorkonfigurierte Anzahl der Ports zu erhalten. Der Administrator definiert einen Portbereich (siehe Bild), wodurch die Anzahl der Porte festgelegt wird, die für den Zugriff verfügbar sind. Eindringlinge verwenden das Scannen von Ports, um offene Ports eines Computers zu finden. Offene Ports stellen einen Eingang in diese Computersysteme dar und dadurch kann versucht werden, einen Angriff über einen oder mehrere dieser Ports durchzuführen.
Nachdem alle Einstellungen vorgenommen wurden, müssen der Firewall- und Webproxydienst neu gestartet werden:
Neben der Eindringversuchserkennung auf IP-Paketfilterebene kann der ISA Server auf der Anwendungsebene Angriffsversuche identifizieren. Dafür gibt es (ebenfalls von ISS) zwei Anwendungsfilter:
- DNS intrusion detection filter
- POP intrusion detection filter
Der DNS-Eindringungserkennungsfilter stellt folgende Optionen zur Verfügung:
- DNS-Hostnamenüberlauf
Tritt ein, wenn eine Antwort eines DNS-Servers für einen Hostnamen eine bestimmte feste Länge überschreitet. Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen, welche die Länge des Hostnamens nicht überprüfen bewirken, dass die internen Puffer überlaufen. sobald der Hostname kopiert wird. Dieser Angriff kann es einem Angreifer ermöglichen, beliebige Befehle auf dem angegriffenen Computer auszuführen. - DNS-Längenüberlauf
Tritt ein, wenn eine IP-Adresse ein Feld enthält, dessen Wert größer als 4 Byte ist. Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen, die DNS-Suchen durchführen einen internen Pufferüberlauf bewirken. Dieser Angriff kann es einem Angreifer ermöglichen, beliebige Befehle auf dem angegriffenen Computer auszuführen. - DNS-Zonenübertragung von privilegierten Ports (1-1024)
Ein DNS-Zonentransfer von privilegierten Ports tritt auf, wenn ein Clientsystem zur Übertragung von Zonen von einem internen DNS-Server eine DNS-Clientanwendung verwendet. Die Quellportnummer ist eine privilegierte Portnummer (zwischen 1 und 1024), die einen Clientprozess anzeigt. - DNS-Zonentransfer von hohen Ports (über 1024)
Ein DNS-Zonentransfer von hohen Ports tritt auf, wenn ein Clientsystem zur Übertragung von Zonen von einem internen DNS-Server eine DNS-Clientanwendung verwendet. Die Quellportnummer ist eine privilegierte Portnummer (zwischen 1 und 1024), die einen Clientprozess anzeigt.
Der POP-Eindringungserkennungsfilter bietet keine Konfigurationsoptionen an.
Der POP-Eindringungserkennungsfilter fängt für das interne Netzwerk bestimmten POP-Datenverkehr zum Zweck der Analyse ab. Der Anwendungsfilter überprüft insbesondere POP-Pufferüberlaufangriffe. Ein POP-Pufferüberlaufangriff tritt dann auf, wenn ein Remoteangreifer versucht, als Superuser eines POP-Servers Zugriff zu erhalten, indem ein interner Puffer auf dem Server zum Überlaufen gebracht wird.
Man könnte ggfs. noch den SMTP-Filter in den Bereich Eindringversuchserkennung aufnehmen, da dieser Anwendungsfilter SMTP-Kommandos abweisen sowie den Mailverkehr überwachen kann. Hierfür wird es ein eigenes Kapitel "Nachrichtenüberwachung" geben, weshalb an dieser Stelle nicht näher darauf eingegangen wird.
Folgende vordefinierten Alarme gehören quasi zur Eindringversuchserkennung:
Die Konfiguration der Alarme wird hier beschrieben..
Stand: Friday, 28. August 2009/DR.
