Praktikum IT-Sicherheit - Versuchshandbuch - Auf große Unternehmen werden jeden Tag zahlreiche Angriffe durchgeführt. Diese Angriffe dienen dem Zweck der Wirtschaftsspionage oder einfach der Störung der Funktionalität der IT-Systeme des Unternehmens. Zur automatischen Erkennung und Abwehr solcher Angriffe werden oftmals Intrusion Detection Systeme (IDS) bzw. Intrusion Prevention Systeme (IPS) eingesetzt. In diesem Versuch wird auf die allgemeine Funktionsweise solcher Systeme und die Konfiguration des NIDS Snort eingegangen. B.Sc. BG 24 M.Sc. AI MN 1 M.Sc. EB 10 IT-Sicherheit Aufgaben Intrusion Detection Aufgaben Intrusion BG 24 Detection MN 1 MEB 10 Aufgabe 1 – Allgemeine Fragen zu IDS a) Was verstehen Sie unter dem Begriff Intrusion Detection System? ............................................................................................................. ............................................................................................................. ............................................................................................................. b) Erläutern Sie die Unterschiede zwischen einem Network-IDS und einem Host-IDS. Welche Vor- und Nachteile habe die jeweiligen Systeme? ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. 2 Aufgaben Intrusion BG 24 Detection MN 1 MEB 10 c) Erläutern Sie die Methoden Signaturerkennung und Anomalieerkennung. Welche Vor- und Nachteile bieten diese Erkennungsmethoden? ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. 3 Intrusion BG 24 Detection MN 1 MEB 10 Aufgaben Aufgabe 2 – Einstellen des Open Source Network Intrusion Detection Systems Snort IDS: Benutzername: ids Passwort: ids angreifer: Benutzername: angreifer Passwort: angreifer server: Benutzername: server Passwort: server a) Damit Snort richtig funktioniert, muss die Basiskonfiguration angepasst werden. Die Konfigurationsdatei von Snort ist /etc/snort/snort.conf. Tragen Sie hier die Adresse für das eigene Netz (HOME_NET) und als externes Netz (EXTERNAL_NET) any ein. Stellen Sie die HTTP_SERVERS-Variable und die SQL_SERVERS-Variable auf die IP-Adresse des Servers ein, alle anderen Server-Variablen können auskommentiert werden. Den Rest der Konfigurationsdatei können Sie vorerst so belassen. ............................................................................................................. ............................................................................................................. ............................................................................................................ ............................................................................................................. b) Führen Sie von dem Angreifer aus einen Portscan (SYN-Scan der Ports 1 bis 100) auf den Server aus. Verwenden Sie hierzu das Programm nmap. Wechseln Sie auf das Intrusion Detection System und öffnen dort in einem Browser die Seite http://localhost/acidbase. Wurde der Portscan erkannt? Wenn nein, schauen Sie in der Konfigurationsdatei, ob das Erkennen von Portscans (preprocessor sfportscan) aktiviert ist. Falls nicht, aktivieren Sie dies. ............................................................................................................. ............................................................................................................. 4 Intrusion BG 24 Detection MN 1 MEB 10 Aufgaben ............................................................................................................. c) Führen Sie erneut einen Portscann, wie in b) durch. Wird der Portscann diesmal erkannt? Wenn ja, schauen Sie sich die Details zu dem Portscann an (http://localhost/acidlab). Woraus schließt Snort, dass hier ein Portscann vorliegt? ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. d) Führen Sie nun vom Angreifer aus eine TFTP-Attacke auf den Server durch. Verwenden Sie hierzu das Programm tftpbrute.pl (Pfad /pentest/passwords/tftpbruteforce/). Wechseln Sie zu dem IDS und schauen Sie, ob die Attacke erkannt wurde. Wenn ja, suchen Sie in den Snort-Regeln (/etc/snort/rules) durch welche Regel der Angriff erkannt wurde. Schreiben Sie diese Regel auf. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. 5 Intrusion BG 24 Detection MN 1 MEB 10 Aufgaben Aufgabe 3 – Schreiben einer eigenen Snort Regel a) Starten Sie vom Angreifer aus das Programm synflood welches in dem Ordner /root/synflood/ liegt. Attackieren Sie den Port 80 auf dem Server. Beenden Sie den Angriff mit Strg+c. Wurde die Synflood-Attacke von dem IDS erkannt? ............................................................................................................. ............................................................................................................. b) Starten Sie auf dem Server das Programm wireshark und danach erneut die synflood-Attacke. Nach einigen Sekunden beenden Sie den Angriff und schauen in wireshark, welche Eigenschaften die synflood-Pakete besitzen (Tipp: TCP-Flags, Payload). Notieren Sie die wichtigen Eigenschaften. ............................................................................................................. ............................................................................................................. ............................................................................................................. c) Nun soll eine passende Snort-Regel erstellt werden, mit der das IDS in der Lage ist den Angriff zu erkennen. Verwenden Sie beim erstellen der Regel die zuvor festgestellten Eigenschaften. Schreiben /etc/snort/synflood.rules und binden Konfigurationsdatei ein. Starten mit Sie diese Sie ihre Regel anschließend den in in Snort-Dienst die Datei der Snort- neu (sudo /etc/init.d/snort restart). Schreiben Sie ihre Snort-Regel auf. ............................................................................................................. ............................................................................................................. ............................................................................................................. 6 Aufgaben Intrusion BG 24 Detection MN 1 MEB 10 ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. ............................................................................................................. d) Überprüfen Sie, ob der Angriff nach erneutem Starten erkannt wird. ............................................................................................................. ............................................................................................................. 7