Mobile Systems III INFORMATIK

Weitere Magazine

Empfehlungen

Info

154 Intrusion Detection in mobilen Netzwerken 7.2.5 Arten der Angriffe Um kategorisieren zu können bei welchen Angriffen welche Methode geeignet scheint wird nun vorgestellt, in welche drei Arten Angriffe unterschieden werden können[1]. Im Folgenden sind diese Arten danach geordnet, welche Schwierigkeit sie beim Detektieren bereiten. Well Known Intrusions: Angriffe dieser Art sind sehr leicht zu finden. Sie sind bereits gut bekannt und demnach sind deren Angriffsstrukturen in jeder aktuellen Datenbank eingetragen. Der Grund dafür liegt einmal in der Einfachheit der Angriffssignatur, die zudem von Angriff zu Angriff auch kaum oder keine Variationen benutzen. Zum anderen liegt es daran, dass Angriffe dieser Art meist ein ganz bestimmtes Sicherheitsloch benutzen, wodurch die Lokalisierbarkeit erheblich vereinfacht wird, ebenso die Abwehr durch eventuelle Updates, die dieses Loch schließen. Aufgrund der gegebenen attack signature wird hierfür Signature Detection bevorzugt. Generalizable Intrusions: Diese Eingriffe ins System kann man mit etwas mehr Aufwand auch noch finden. Sie haben häufig komplexere Variationen, beispielsweise in Form von variierenden Petrinetzen, und benutzen nicht nur ein Sicherheitsloch, sondern greifen durch mehrere auf einmal an. Das macht sie etwas schwerer zu entdecken, aber mit Compound Intrusion Detection und kombinierter Intrusion Detection bestehen gute Chancen, dass man sie aufspüren kann um darauf zu reagieren. Unknown Intrusions: Es kann vorkommen, dass diese Angriffe noch nicht ausreichend studiert worden sind, oder komplett unbekannt sind. Solch ein Angriff nutzt in der Regel ein Sicherheitsloch, das zuvor noch nicht gefunden oder nicht weiter beachtet wurde. Dadurch sind sie sehr schwer zu finden. Lediglich Anomalien können auf ihre Existenz hinweisen, weshalb man auch nur Anomaly Detection gegen diese Angriffe einsetzen kann. 7.3 Möglichkeiten des Einsatzes von Intrusion Detection Dieses Kapitel beschäftigt sich damit, auf welche Art ein Intrusion Detection System eingesetzt werden kann.
Lars Langer 155 7.3.1 Netzwerkbasiert und Rechnerbasiert Ein ID System kann zur Überwachung von Netzwerken oder Rechnern verwendet werden. Im Folgenden wird auf diesen Unterschied genauer eingegangen. Netzwerkbasiert: Ein Intrusion Detection System wird in diesem Fall dazu verwendet, ein Netzwerk zu überwachen[1]. Diese Anwendung ist für einen Angreifer unsichtbar, da das System lediglich die anfallenden Daten abhören muss. Man spricht deshalb auch davon, dass netzwerkbasierte ID im ’Stealth-Modus’ operieren. Trotz ihrer Aufgabe den gesamten Netzwerkverkehr zu überwachen, besteht auch hier die Möglichkeit, die Verfahren einer zentralen Kontrolleinheit unterstellen zu können. Üblicherweise versucht man die Auditdaten, falls möglich, an einem Engpass wie einem Router, Gateway etc. abzugreifen und der Prüfung zu unterziehen. Da gerade in einem Netzwerk eine Vielzahl verschiedener Vorgänge und Zustände auftreten, nicht zuletzt weil mehrere Systeme das Netzwerk benutzen, bietet sich Anomaly Detection weniger an und man setzt statt dessen fast immer auf Signature Detection. Das zieht natürlich nach sich, dass bei der Erkennung neuer Angriffe unweigerlich Probleme auftreten. Das erfordert das ständige Aktualisieren der Signature-Datenbanken über das Netz. Auch diese können während eines Angriffs in das Netzwerk in Mitleidenschaft gezogen werden. Konflikte gibt es derzeit auch mit kryptographisch geschützten Verbindungen, da die aktuellen Daten nur in Klartextform mit den vorliegenden Daten der Signaturdatenbank verglichen werden können. IDS schauen hierbei nicht nur in die Protokollköpfe, sondern auch in die Nutzdaten. Da dies bei verschlüsselten Verbindungen nicht möglich ist, kann das Intrusion Detection System die Daten nicht überwachen. Es sei darauf hingewiesen, dass kryptographisch geschützte Verbindungen auch weniger anfällig für Angriffe sind, da sie durch die Verschlüsselung selbst für einen höheren Grad an Sicherheit sorgen. Die verschlüsselten Daten können normalerweise nur vom Sender und Empfänger genutzt werden. Dadurch wird dieses Problem eher nebensächlich. Nur bei internen Bedrohungen kann diese Situation zu Gefahr werden. Man kann auch nicht davon ausgehen, hier generelle Lösungen zu finden, da die Verschlüsselung ja darauf ausgelegt ist, dass sie niemand fremdes entziffern kann, auch nicht das ID System. Rechnerbasiert: Im Gegensatz zum netzwerkbasierten Intrusion Detection System was den Verkehr verschiedener Rechner kontrolliert, beschäftigt sich hier das ID System mit dem Prüfen der Auditdaten eines einzelnen <strong>Systems</strong>, Teilsystems oder Users[1]. Die Durchsuchung läuft im Wesentlichen in den sicherheitsrelevanten Protokolldateien des Rechners ab. Beispielsweise versucht man Eindringlinge in Kernel Logfiles, Router Logs, Firewall Logs oder Logfiles von Anwendungsprogrammen aufzudecken. Die Integrität dieser und ähnlicher systemrelevanter Daten erhalten hier die höchste Priorität.
Seite 1 und 2:
Mobile Systems III Burkhard STILLER
Seite 3 und 4:
Introduction The Information System
Seite 5:
Inhaltsverzeichnis 5 1 War Driving
Seite 8 und 9:
8 War Driving - An Approach to Loca
Seite 10 und 11:
10 War Driving - An Approach to Loc
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33:
32 Neue VPN-Lösungen Inhaltsverzei
Seite 34 und 35:
34 Neue VPN-Lösungen 2.2 Virtual P
Seite 36 und 37:
36 Neue VPN-Lösungen Gateway-to-Ho
Seite 38 und 39:
38 Neue VPN-Lösungen 2.3.1 Authent
Seite 40 und 41:
40 Neue VPN-Lösungen Die symmetris
Seite 42 und 43:
42 Neue VPN-Lösungen Abbildung 2.9
Seite 44 und 45:
44 Neue VPN-Lösungen Durch diese Z
Seite 46 und 47:
Seite 48 und 49:
Seite 50 und 51:
50 Neue VPN-Lösungen Unterstützun
Seite 52 und 53:
52 Neue VPN-Lösungen [17] http://w
Seite 54 und 55:
54 Realtime Networking in Wireless
Seite 56 und 57:
Seite 58 und 59:
Seite 60 und 61:
Seite 62 und 63:
Seite 64 und 65:
Seite 66 und 67:
Seite 68 und 69:
Seite 70 und 71:
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
78 Micro-Mobility in IP-based Netwo
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
100 Micro-Mobility in IP-based Netw
Seite 102 und 103:
102 Micro-Mobility in IP-based Netw
Seite 104 und 105: 104 Micro-Mobility in IP-based Netw
Seite 106 und 107: 106 Quality of Service in Wireless
Seite 120 und 121: Literaturverzeichnis [1] Quality of
Seite 122 und 123: 122 Moderne Konzepte für Sicherhei
Seite 144 und 145: Literaturverzeichnis [1] Schily for
Seite 148 und 149: 148 Intrusion Detection in mobilen
Seite 164 und 165: Literaturverzeichnis [1] S. Axelsso
Seite 166 und 167: 166 Software Environments for Mobil
Seite 190: Literaturverzeichnis [1] GNU Projec
Alle anzeigen

Mobile Systems III INFORMATIK

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?