Aufgaben

Werbung
Praktikum IT-Sicherheit
- Versuchshandbuch -
Auf große Unternehmen werden jeden Tag zahlreiche Angriffe
durchgeführt. Diese Angriffe dienen dem Zweck der
Wirtschaftsspionage oder einfach der Störung der Funktionalität
der IT-Systeme des Unternehmens. Zur automatischen
Erkennung und Abwehr solcher Angriffe werden oftmals
Intrusion Detection Systeme (IDS) bzw. Intrusion Prevention
Systeme (IPS) eingesetzt. In diesem Versuch wird auf die
allgemeine Funktionsweise solcher Systeme und die
Konfiguration des NIDS Snort eingegangen.
B.Sc. BG 24
M.Sc. AI MN 1
M.Sc. EB 10
IT-Sicherheit
Aufgaben
Intrusion Detection
Aufgaben
Intrusion BG 24
Detection MN 1
MEB 10
Aufgabe 1 – Allgemeine Fragen zu IDS
a) Was verstehen Sie unter dem Begriff Intrusion Detection System?
.............................................................................................................
.............................................................................................................
.............................................................................................................
b) Erläutern Sie die Unterschiede zwischen einem Network-IDS und einem Host-IDS.
Welche Vor- und Nachteile habe die jeweiligen Systeme?
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
2
Aufgaben
Intrusion BG 24
Detection MN 1
MEB 10
c) Erläutern Sie die Methoden Signaturerkennung und Anomalieerkennung. Welche
Vor- und Nachteile bieten diese Erkennungsmethoden?
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
3
Intrusion BG 24
Detection MN 1
MEB 10
Aufgaben
Aufgabe 2 – Einstellen des Open Source Network Intrusion Detection Systems
Snort
IDS:
Benutzername: ids
Passwort: ids
angreifer:
Benutzername: angreifer
Passwort: angreifer
server:
Benutzername: server
Passwort: server
a) Damit Snort richtig funktioniert, muss die Basiskonfiguration angepasst werden.
Die Konfigurationsdatei von Snort ist /etc/snort/snort.conf. Tragen Sie hier die
Adresse für das eigene Netz (HOME_NET) und als externes Netz (EXTERNAL_NET)
any ein. Stellen Sie die HTTP_SERVERS-Variable und die SQL_SERVERS-Variable
auf die IP-Adresse des Servers ein, alle anderen Server-Variablen können
auskommentiert werden. Den Rest der Konfigurationsdatei können Sie vorerst so
belassen.
.............................................................................................................
.............................................................................................................
............................................................................................................
.............................................................................................................
b) Führen Sie von dem Angreifer aus einen Portscan (SYN-Scan der Ports 1 bis 100)
auf den Server aus. Verwenden Sie hierzu das Programm nmap. Wechseln Sie auf
das Intrusion Detection System und öffnen dort in einem Browser die Seite
http://localhost/acidbase. Wurde der Portscan erkannt? Wenn nein, schauen Sie
in der Konfigurationsdatei, ob das Erkennen von Portscans (preprocessor
sfportscan) aktiviert ist. Falls nicht, aktivieren Sie dies.
.............................................................................................................
.............................................................................................................
4
Intrusion BG 24
Detection MN 1
MEB 10
Aufgaben
.............................................................................................................
c) Führen Sie erneut einen Portscann, wie in b) durch. Wird der Portscann diesmal
erkannt?
Wenn
ja,
schauen
Sie
sich
die
Details
zu
dem
Portscann
an
(http://localhost/acidlab). Woraus schließt Snort, dass hier ein Portscann vorliegt?
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
d) Führen Sie nun vom Angreifer aus eine TFTP-Attacke auf den Server durch.
Verwenden Sie hierzu das Programm tftpbrute.pl (Pfad /pentest/passwords/tftpbruteforce/). Wechseln Sie zu dem IDS und schauen Sie, ob die Attacke erkannt
wurde. Wenn ja, suchen Sie in den Snort-Regeln (/etc/snort/rules) durch welche
Regel der Angriff erkannt wurde. Schreiben Sie diese Regel auf.
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
5
Intrusion BG 24
Detection MN 1
MEB 10
Aufgaben
Aufgabe 3 – Schreiben einer eigenen Snort Regel
a) Starten Sie vom Angreifer aus das Programm synflood welches in dem Ordner
/root/synflood/ liegt. Attackieren Sie den Port 80 auf dem Server. Beenden Sie
den Angriff mit Strg+c. Wurde die Synflood-Attacke von dem IDS erkannt?
.............................................................................................................
.............................................................................................................
b) Starten Sie auf dem Server das Programm wireshark und danach erneut die
synflood-Attacke. Nach einigen Sekunden beenden Sie den Angriff und schauen in
wireshark, welche Eigenschaften die synflood-Pakete besitzen (Tipp: TCP-Flags,
Payload). Notieren Sie die wichtigen Eigenschaften.
.............................................................................................................
.............................................................................................................
.............................................................................................................
c) Nun soll eine passende Snort-Regel erstellt werden, mit der das IDS in der Lage
ist den Angriff zu erkennen. Verwenden Sie beim erstellen der Regel die zuvor
festgestellten
Eigenschaften.
Schreiben
/etc/snort/synflood.rules
und
binden
Konfigurationsdatei
ein.
Starten
mit
Sie
diese
Sie
ihre
Regel
anschließend
den
in
in
Snort-Dienst
die
Datei
der
Snort-
neu
(sudo
/etc/init.d/snort restart). Schreiben Sie ihre Snort-Regel auf.
.............................................................................................................
.............................................................................................................
.............................................................................................................
6
Aufgaben
Intrusion BG 24
Detection MN 1
MEB 10
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
.............................................................................................................
d) Überprüfen Sie, ob der Angriff nach erneutem Starten erkannt wird.
.............................................................................................................
.............................................................................................................
7
Herunterladen