Buffl
Buffl
Informationssicherheit

IDS

CK
by Clemens K.

Was wird unter einer Intrusion verstanden? Nennen Sie auch andere Erläuterungen dieses Begriffs. Was spricht für den Begriff Incident? Was bedeutet dieser?

Intrusion (Störung, Verletzung, Eindringen): Erfolgreicher lesender oder schreibender, aber nicht erlaubter Zugriff auf Daten bzw. Ausführung von Programmen durch organisationsfremde Personen, also von außen.

Incident: Zusammenfassender Oberbegriff von Intrusion und Misuse (= Intrusion von innen), also ein Vorfall, bei dem etwas Unerlaubtes geschah.

Nennen Sie mindestens fünf Aufgaben, die ein gutes IDS realisieren sollte.

  • Erkennen aktuell laufender und früher erfolgter Angriffe

  • Feststellen von nicht erlaubten Modifikationen und Zugriffen

  • Analyse der Probleme und deren Einschätzung

  • Unterbrechen oder Beenden betroffener Prozesse oder Verbindungen

  • Bericht- und Alarmnachrichten-Erstellung bzw. -versendung

Wie kann ein IDS feststellen, warum eine Modifikation bestimmter Dateien während eines Angriffs erfolgte?

Durch eine zuvor erstellte Kopie der Datei bzw. des Hashs, mit der das IDS die aktuelle Datei bzw. den Hash in bestimmten Zeitabständen abgleicht. Warum eine Modifikation der Datei vorgenommen wurde, kann nur ein Mensch feststellen, nicht aber das IDS.

Was wird im Rahmen der Computerforensik getan? Nennen Sie mindestens zwei typische Arbeiten.

Forensische Werkzeuge werden meist nach Feststellen eines Schadenfalls, aber auch während eines Angriffs angewendet.

Zwei typische Arbeiten:

  • Erfassen von relevanten Spuren mit Beweis ihrer Originalität

  • Nachweis der Herkunft der Spuren

Nennen Sie mindestens 3 Bsp. für Anomalien, die Hinweise auf eine Intrusion liefern, und erläutern Sie für welche Ereignisse diese Anomalien Indizien sind.

  • Ein verreister Mitarbeiter loggt sich ein (nicht Mitarbeiter, sondern Angreifer)

  • Auf Daten, die kaum jemanden interessieren, wird häufig zugegriffen (nicht Mitarbeiter, sondern Angreifer)

  • Zugriff auf Daten aus Backups (Daten werden geklaut)

Eine Firma hat ein lokales Netzwerk und über eine Firewall einen Anschluss ans Internet. Wo könnten die HIDS und wo die NIDS sinnvollerweise positioniert werden?

HIDS: alle Server und Endgeräte, wo Kommunikation von außen stattfindet

NIDS: hinter der Firewall

Was ist ein Honeypot? Durch welche Maßnahmen bzw. welche Art von Software wird ein Honeypot typischerweise realisiert?

Spezielles System, das absichtlich Angriffe zulässt, um die Art und Technik der Angriffe studieren zu können. Ein Honeypot simuliert einen Rechner mit gewollten Sicherheitslücken und ist eine Software mit Monitor-Funktion, die auf einer virtuellen Maschine läuft.

Eine Firma hat ein lokales Netzwerk und über eine Firewall einen Anschluss ans Internet. Wo könnten die Honeypots positioniert werden?

Entweder vor der Firewall oder dahinter in der DMZ (Demilitarized Zone)

Wie kann ein IDS zu einem DoS-Angriff mißbraucht werden? Ist das zu verhindern?

Durch absichtlich produzierte Fehlalarme. Ist zu verhindern durch Einschränkungen bei der Überwachung von Ports, Fehlermeldungen usw.

Was ist eine Policy? Welche Aufgabe wird mit der expliziten Formulierung von Policies gelöst?

Eine Policy ist eine Sicherheitsrichtlinie oder ein Regelsystem, das den Umgang mit der EDV aus dem Blickwinkel der Sicherheit festlegt.

  • Klärung, was ein Angriff ist

  • Klärung, wie der Schutz vor Angriffen gestaltet werden soll

  • Klärung, wer was tun darf bzw. muss (Rechte / Pflichten)

Beschreiben Sie drei Beispiele für Regeln, die in eine Policy aufgenommen werden sollten.

  • Physikalische Sicherheit: Schlüssel zu Räumen, Anweisung immer sofort abzuschließen

  • Authentifizierung: Passwörter und deren Länge, Dauer der Benutzung usw.

  • Behandlung externer Medien: Erlaubnis zum Mount? Benutzung eigener USB-Sticks erlaubt?

Tripwire gehört zu der Gruppe der HIDS. Wie arbeitet tripwire?

  • Policy für die Überwachung definieren

  • Datenbank der zu überwachenden Dateien erstellen

  • Tripwire starten und Logdateien regelmäßig überprüfen

Snort ist ein NIDS. Kann snort Portscanns erkennen? Wie arbeitet snort?

Snort kann Portscans erkennen, wenn die ICMP-Pakete vom selben Host an verschiedene Ports des Systems in kurzen Zeitabständen kommen.

Worin liegt der größte Schwachpunkt von tripwire? Wie können Sie diesen Schwachpunkt verhindern bzw. schützen?

-Für jede Datei darf maximal nur eine Regel zutreffen, ansonsten arbeitet tripwire recht instabil. Das führt dazu, dass viele Regeln erstellt werden müssen, um Ausnahmen zu modellieren

Wie arbeitet intern ein NIDS wie snort? Beschreiben Sie den prinzipiellen Algorithmus.

-Regeln definieren (in conf)

-Netzwerk -> Sniffer -> Preprocessor -> Detection Engine (Regeln) -> Alerts Logging (Regeln) -> Syslog/DB/WinPopUp

Sie wollen snort angreifen. Wie könnten Sie dies bewerkstelligen?

-Werkzeug stick generiert anhand der (öffentlichen) snort-Regeln vorsätzlich Falsch-Positive Pakete, um systematisch falsche Alarme auszulösen (Ftester)

Sie haben snort erfolgreich installiert und konfiguriert. Wie können Sie praktisch testen, ob Ihre Installation in Ordnung ist?

-Mit dem folgenden Aufruf wird die Konfiguration geprüft: snort -i eth3 -T -c /etc/snort/snort.conf

Kann snort Zugänge bei Feststellung eines Angriffs sperren?

Es kann keine Zugänge sperren, sondern nur den Netzwerksverkehr analysieren und auswerten.

Sollten Policies schriftlich formuliert werden? Müssen Policies auch in

Algorithmen zur Prüfung auf Einhaltung formulierbar sein?

Was bedeuten die Kürzel HIDS und NIDS? Worin liegen die Unterschiede in der Arbeitsweise dieser Systeme?

Join Course
Preview

Author

Clemens K.

Information

Last changed

Report course
© 2023 Buffl GmbH