Folien als PDF-Datei

Transcrição

Sondervorlesung „Netz-Sicherheit“
IDS Evasion: Eine technische Einführung
Tillmann Werner, Edwin Reusch
CERT-Bund, Bundesamt für Sicherheit in der Informationstechnik
Universität Bonn, 4. Juli 2007
BSI
 Bundesamt für Sicherheit in der Informationstechnik, Bonn
 Drei Fachabteilungen + Verwaltungsabteilung
 Abteilung 1: „Sicherheit in Anwendungen, KRITIS und im Internet“
 Referat 121 - CERT-Bund, „Computer-Notfallteam für Bundesbehörden“
 Aufgaben von CERT-Bund
 Veröffentlichen von Advisories zu aktuellen Schwachstellen
 Monitoring und Bewertung der Bedrohungslage im Internet
 Incident Handling bei sicherheitskritischen Vorfällen (im Bereich Bund)
 Anlassbezogene Analyse von Schadprogrammen und Angriffen
 Point-of-Contact für internationale CERTs
© Tillmann Werner, Edwin Reusch, BSI
4. Juli 2007
Folie 2
Agenda
 Einleitung – Signaturbasierte Network Intrusion Detection Systems
 Praktische und theoretische Grenzen
 Überblick über klassische Evasion-Techniken
 Evasion mit fragmentierten IP-Paketen
 Evasion mit speziellen TCP-Segmenten
 Evasion auf Anwendungsebene
 Gegenmaßnahmen und Ausblick
4. Juli 2007
Folie 3
Überblick: Network Intrusion Detection Systems
 Ein Network Intrusion Detection System ist eine spezielle, netzwerkfähige
Komponente zur Feststellung von Angriffen gegen IT-Systeme.
 Dazu wird der Netzverkehr passiv mitgelesen und anhand hinterlegter
Signaturen auf bestimmte Eigenschaften hin untersucht.
 Wird eine solche Signatur getriggert, kann ein Alarmierungsprozess
angestoßen werden.
Netz
Signaturen
Network Intrusion Detection System
Alarmierung
4. Juli 2007
Folie 4
Praktische Grenzen signaturbasierter IDS
 Um Netzverkehr korrekt klassifizieren zu können,
muss ein IDS wissen, wie dieser vom
Zielsystem interpretiert wird.
 In größeren Netzen ist dies dem passiven IDS
praktisch unmöglich.
Netzverkehr
 Verschiedene Betriebssysteme
verhalten sich unterschiedlich.
Signaturen
NIDS
 Ohne Detailkenntnis über das Netz
entstehen so zwangsläufig Mehrdeutigkeiten.
4. Juli 2007
Folie 5
Theoretische Grenze signaturbasierter IDS
 Lässt sich ein optimales signaturbasiertes IDS formal beschreiben?


Eingabe a


Signaturen 1-n
0

NIDS χA(a)
4. Juli 2007
1
Folie 6
 Ist es für jede Signatur möglich zu entscheiden,
ob sie auf eine beliebig gewählte Eingabe passt?
 Obige Frage kann als Instanz des Entscheidungsproblems
aufgefasst werden: Eine Menge A heißt entscheidbar,
falls die charakteristische Funktion von A
berechenbar ist.
 Ist
berechenbar?
Oder in der Terminologie der Automatentheorie: Ist A entscheidbar?
4. Juli 2007
Folie 7
 Programmiersprachen wie C, C++ oder Java sind turing-vollständig,
das heißt, ihre Mächtigkeit ist (unter bestimmten Annahmen) äquivalent mit
der einer Turing-Maschine.
 Ein Angriff kann Funktionen in einer turing-vollständigen Sprache enthalten.
Turing-vollständige Sprachen sind vom Typ 0, also semi-entscheidbar:
 Das IDS basiert ebenfalls auf einer turing-vollständigen Sprache,
simuliert also seinerseits eine Turingmaschine.
 Damit wäre für ein optimales IDS das Halteproblem zu lösen.
4. Juli 2007
Folie 8
 Eine alternative Betrachtung basiert auf dem Satz von Rice:
Sei S eine nicht-triviale Teilmenge der turing-berechenbaren
Funktionen. Dann ist die Sprache
L(S) := { M | M berechnet eine Funktion aus S }
nicht entscheidbar.
 Extensionale Eigenschaften von Programmen können mit einem IDS,
das beliebige Programme verarbeiten muss, nicht entschieden werden.
Konkret: Es ist im Allgemeinen nicht möglich zu entscheiden,
ob observierte Daten einen Angriff darstellen, oder nicht.
4. Juli 2007
Folie 9
Agenda
 Einleitung – Signaturbasierter NIDS
4. Juli 2007
Folie 10
Klassische Evasion-Techniken – Injection
 Injection: Das IDS verarbeitet ein Paket, welches vom Opfersystem
nicht verarbeitet wird.
 Der Angreifer fügt dazu zusätzliche Pakete in die (eventuell permutierten)
Angriffsdaten ein.
T
X
T
C
A
A
K
Paket wird verworfen
A
T
X
T
A
C
K
A
Intrusion Detection System
T
T
Opfersystem
A
C
K
!
d
e
k
Hac
Quelle: [1]
4. Juli 2007
Folie 11
Beispiel: Zu allgemeine Regeln auf dem IDS
 Injection-Beispiel:
IP-Pakete mit ungültiger Prüfsumme werden vom IDS nicht verworfen.
IP-Paket
IP-Paket
IP-Paket
IP-Paket
ungültige Prüfsumme
IP-Paket
IP-Paket
IDS:
IP-Paket
IP-Paket
IP-Paket
=
=
≠
4. Juli 2007
!
ed
k
c
Ha
Opfer:
IP-Paket
IP-Paket
Die Signatur wird
nicht getriggert.
Folie 12
Klassische Evasion-Techniken – Evasion
 Evasion: Das IDS verarbeitet ein Paket nicht, welches vom Opfersystem
verarbeitet wird.
 Der Angreifer gestaltet dazu ein Paket der Angriffsdaten so, dass es vom
IDS, aber nicht vom Opfer verworfen wird.
T
T
C
A
A
K
Paket wird verworfen
A
T
T
C
K
A
Intrusion Detection System
T
T
Opfersystem
A
C
K
!
d
e
k
Hac
Quelle: [1]
4. Juli 2007
Folie 13
Beispiel: Zu restriktive Regeln auf dem IDS
 Evasion-Beispiel:
IP-Pakete mit bestimmten IP-Optionen werden vom IDS verworfen,
weil dieses irrtümlich der Policy einer konkreten Implementierung folgt.
IP-Paket
IP-Paket
IP-Paket
IP-Paket
mit IP-Option Record Route
Opfer:
IP-Paket
IP-Paket
IDS:
IP-Paket
IP-Paket
=
=
IP-Paket
IP-Paket
≠
4. Juli 2007
!
ed
k
c
Ha
IP-Paket
Die Signatur wird
nicht getriggert.
Folie 14
Klassische Evasion-Techniken – DoS
 Denial-of-Service: Das IDS wird mit Angriffen geflutet.
 Sind alle Ressourcen des IDS belegt,
so werden weitere Angriffe nicht erkannt.
 Tatsächliche Angriffe werden zwischen Scheinangriffen leicht übersehen.
Fake
Fake
Fake
Fake
Fake
Fake
Fake
Echt
!
d
e
ack
H
NIDS
4. Juli 2007
Folie 15
Agenda
4. Juli 2007
Folie 16
Fragmentation
Increasingly sophisticated attackers have begun to exploit the
more subtle aspects of the Internet Protocol; fragmentation of
IP packets […] poses several potential problems […].
Quelle: RFC1858: Security Considerations for IP Fragment Filtering
Internet Protocol Header:
0
3 4
7 8
15 16
Version
IHL
Type of Service
Identification
Time to Live
18 19
31
Total Length
D M
Fragment Offset
Header Checksum
Protocol
Source Address
Destination Address
4. Juli 2007
Folie 17
Unterschiedliche Reassembly-Strategien
1. Fragment
2. Fragment
3. Fragment
4. Fragment
BSD:
BSD-right:
Linux:
First:
RFC791:
Quelle: [2]
4. Juli 2007
Folie 18
IP Reassembly Timeout des IDS
Angriff
1. Fragment
2. Fragment
Signatur-Match
Opfer:
1. Fragment
IDS:
1. Fragment
4. Juli 2007
Folie 19
Angriff
1. Fragment
2. Fragment
Signatur-Match
Opfer:
1. Fragment
IDS:
o
1. Fragment
me
Ti
ut
4. Juli 2007
Folie 20
Angriff
1. Fragment
2. Fragment
Signatur-Match
Opfer:
IDS:
1. Fragment
2. Fragment
!
ed
k
c
Ha
2. Fragment
4. Juli 2007
Folie 21
IP Reassembly Timeout des Opfers
Angriff
1. Fragment
2. Fragment
2. Fragment
Signatur-Match
Opfer:
2. Fragment
IDS:
2. Fragment
3. Fragment
4. Juli 2007
Folie 22
Angriff
1. Fragment
2. Fragment
2. Fragment
Signatur-Match
Opfer:
t
u
o
2. Fragment
e
m
i
T
IDS:
2. Fragment
3. Fragment
4. Juli 2007
Folie 23
Angriff
1. Fragment
2. Fragment
Opfer:
1. Fragment
IDS:
1. Fragment
2. Fragment
3. Fragment
Signatur-Match
3. Fragment
2. Fragment
4. Juli 2007
3. Fragment
Folie 24
Angriff
1. Fragment
2. Fragment
Opfer:
1. Fragment
IDS:
1. Fragment
2. Fragment
3. Fragment
Signatur-Match
3. Fragment
e
ab
2. Fragment
g
i
e
Fr
4. Juli 2007
3. Fragment
Folie 25
Angriff
1. Fragment
2. Fragment
Opfer:
IDS:
1. Fragment
2. Fragment
3. Fragment
Signatur-Match
2. Fragment
2. Fragment
4. Juli 2007
3. Fragment
!
d
e
ack
H
Folie 26
Agenda
4. Juli 2007
Folie 27
IDS Evasion mit TCP
 Im Zusammenhang mit TCP lassen sich zwei grundlegende Arten
von Evasion-Angriffen unterscheiden:
 Ähnlich wie auf IP-Ebene kann der TCP Stream manipuliert werden,
so dass Nutzdaten vom IDS nicht korrekt interpretiert werden.
 Ein Angreifer kann gezielt dafür sorgen, dass das IDS ungültige
State-Informationen führt.
Transmission Control Protocol Header:
0
7 8
Source Port
15 16
31
Destination Port
Sequence Number
Acknowledgement Number
Offset
Reserved
Flags
Window
Checksum
Urgent Pointer
Options
4. Juli 2007
Folie 28
TCP Session Splicing
 Mit Daten in mehreren, sehr kleinen TCP-Segmenten kann das
Pattern Matching des IDS umgangen werden (Session Splicing).
 Das Opfersystem setzt die Segmente wieder zum TCP Stream zusammen,
das IDS nicht.
Opfer:
IDS:
GET http://evilsite.org
GET ht
tp://evil
d!
e
k
ac
H
site.org
≠
…evilsite…
4. Juli 2007
Die Signatur wird
nicht getriggert.
Folie 29
TCP Segment Permutation
 Ein weiterer Angriff besteht darin, die TCP-Segmente in permutierter
Reihenfolge zu senden, um das Zusammensetzen zu erschweren.
 Setzt das IDS den Stream anhand der Segment-Reihenfolge zusammen,
schlägt das Pattern Matching fehl.
1. Segment
2. Segment
3. Segment
4. Segment
4. Segment
1. Segment
3. Segment
2. Segment
4. Juli 2007
Folie 30
Strategien beim TCP Stream Reassembly
 Damit im IDS ein Reassembly der TCP Streams erfolgen kann,
ist ein Tracking der verwendeten Sequenznummern erforderlich.
 Oft kann der Synchronisations-Algorithmus mit speziell konstruierten
Segmenten gezielt attackiert werden.
1. Segment
2. Segment
3. Segment
4. Segment
MS Windows:
Unix/Linux:
4. Juli 2007
Folie 31
Injection/Evasion-Angriff mit Urgent Data
 Verschiedene Betriebssysteme interpretieren den Urgent Pointer
im TCP Header unterschiedlich.
 Dies kann wiederum ausgenutzt werden, wenn das IDS und das Opfer
eines Angriffs abweichende Strategien verwenden.
3 Bytes
3 Bytes
3 Bytes
Urgent Data, Urgent Pointer = 3
BSD:
RFC793:
RFC1122:
Quelle: [3]
4. Juli 2007
Folie 32
Manipulation der State Table mit RST-Segmenten
 Ein TCP-Verbindungsaufbau (SYN, SYN/ACK, ACK) führt zu einem
Eintrag in der State Table des IDS.
Angreifer
Router
Router
Router
Zielsystem
State Table:
Quell-IP-Adresse und -Port
Ziel-IP-Adresse und -Port
IDS
Session State: ESTABLISHED
4. Juli 2007
Folie 33
 Vorgetäuschter Verbindungsabruch:
RST-Segment mit TTL kleiner als die Anzahl der Hops zum Zielsystem
 Der Router reagiert mit einer ICMP-Nachricht Type 11, Code 0
(TTL EXCEEDED IN TRANSIT), die vom IDS nicht verarbeitet wird.
Angreifer
Router
Router
Router
Zielsystem
State Table:
t
h
c
s
Quell-IP-Adresse und ö
-Port
l
e
g
Ziel-IP-Adresse
und -Port
g
a
tr
n
i
E
IDS
4. Juli 2007
Folie 34
 Der Angreifer kann nun Daten über die noch existente Verbindung senden.
 Das IDS kann dafür keine Zuordnung vornehmen, weil kein passender
Eintrag in der State Table vorhanden ist.
Angreifer
Router
Router
?
Zielsystem
State Table:
t
h
c
s
Quell-IP-Adresse und ö
-Port
l
e
g
Ziel-IP-Adresse
und -Port
g
a
tr
n
i
E
IDS
Router
4. Juli 2007
Folie 35
Manipulation der State Table – TCP Port Overriding
IP Header
TCP Header
0
34
7
DPORT
0
SYN-Segment
3 4
7 8
1. Fragment:
MF, Offset=0
80
2. Fragment:
MF, Offset=0
25
3. Fragment:
15 16
Offset=16
 Bei unterschiedlichen Reassembling-Strategien erhält das IDS ein
SYN-Segment an Port 80 und das Opfer ein SYN-Segment an Port 25.
4. Juli 2007
Folie 36
Agenda
4. Juli 2007
Folie 37
Manipulation der Anwendungschicht
IP Header
TCP Header
Nutzdaten
 Neben den vorgestellten Techniken (IP Fragmentation, Session Splicing, …)
existieren weitere Methoden, um Signaturen für Nutzdaten auszuhebeln.
 Üblicherweise werden die Daten dabei ohne Änderung der Semantik
so umgeformt, dass Signaturen nicht mehr greifen.
 Um derartig transformierte Angriffe erkennen zu können, muss ein IDS
über entsprechende Logik auf Anwendungsebene verfügen.
4. Juli 2007
Folie 38
Beispiele für manipulierte Nutzdaten
 HTTP unterstützt als URL-Kodierung neben ASCII auch
Percent Encoding, UTF8 und Unicode.
GET%20%7E/cgi.bin%3Fani.jpg%3D1
 Verzeichnisangaben in Protokollen wie telnet und ftp können um redundante
Directory-Traversal-Anteile ergänzt werden.
/./etc/../etc/.//passwd
 Polymorpher Shellcode kann signaturbasiert nur schwer erkannt werden.
XOR-Decoder
codierter Shellcode
4. Juli 2007
Folie 39
URL-Verschleierung in HTTP-GET-Requests
 HTTP-GET-Request:
GET ~/cgi-bin?ani.jpg=1
 UTF8-Codierung:
GET%20%7E/cgi.bin%3Fani.jpg%3D1
GET ~/cgi.bin?ani.jpg=1
 URL-Codierung:
%47%45%54%20%7E%2F%63%67
%69%2E%62%69%6E%3F%61%6E
%69%2E%6A%70%67%3D%31
 Je mehr Variationen möglich sind, desto mehr Logik ist im IDS notwendig.
Quelle: [4]
4. Juli 2007
Folie 40
Agenda
4. Juli 2007
Folie 41
Gegenmaßnahmen – Active Mapping
 Bestimmte Injection- und Evasion-Angriffe können verhindert werden,
wenn ein IDS aktiv ermitteln kann, wie das zu schützende Netz
beschaffen ist.
 Mit Active Mapping wird versucht, Betriebssystem-Versionen und aktive
Dienste zu bestimmen.
NIDS
Systeme:
MS Windows 2000
Linux 2.6.x
Sun Solaris 9
4. Juli 2007
Folie 42
Gegenmaßnahmen – Normalisierung
 Mit vor- und nachgeschalteten Normalisierern können mehrdeutige Daten
vereinheitlicht werden. Allerdings bedeutet dieses Setup einen massiven
Eingriff in die Netzstruktur.
 Das IDS wird nur mit eindeutig interpretierbaren Paketen konfrontiert.
Normalizer
NIDS
4. Juli 2007
Normalizer
Folie 43
Quellen und Links
 [1] Insertion, Evasion and Denial-of-Service: Eluding Network Intrusion Detection
http://insecure.org/stf/secnet_ids/secnet_ids.pdf
 [2] Active Mapping: Resisting NIDS Evasion Without Altering Traffic
http://www.icir.org/vern/papers/activemap-oak03.pdf
 [3] Phrack 0x0b, Line Noise, NIDS Evasion Method named “SeolMa”
http://phrack.org/issues.html?issue=57&id=3
 [4] UTF8 Encoder/Decoder
http://wwwrsphysse.anu.edu.au/~mxk121/javascript/jsUTF8.html
 [5] IDS Evasion with Unicode
http://www.securityfocus.com/infocus/1232
 [6] IDS Evasion Techniques and Tactics
 [7] Evading NIDS, revisited
 [8] RFC 815 - IP Datagram Reassembly Algorithms
http://www.faqs.org/rfcs/rfc815.html
 [9] RFC 1858 - Security Considerations for IP Fragment Filtering
http://www.faqs.org/rfcs/rfc1858.html
4. Juli 2007
Folie 44
Kontakt
Bundesamt für Sicherheit in der
Informationstechnik (BSI)
Tillmann Werner, Edwin Reusch
Referat 121 – CERT-Bund
Godesberger Allee 185-189
53175 Bonn
Tel: +49 (0)1888 9582-5110
Fax: +49 (0)1888 9582-5427
[email protected]
[email protected]
http://www.bsi.bund.de
http://www.cert-bund.de
4. Juli 2007
Folie 45

Folien als PDF-Datei

Transcrição

Documentos relacionados

1929 Theater im Reusch

Handballfortbildung in Neckarsulm

Pleitegeier auf den Rathausspitzen

Herzlich Willkommen auf unserem Stand!

Zertifikat - Carlsberg Deutschland

Sondervorlesung „NetzSicherheit“: Honeypots Elektronische Köder

4691W4 FISCHER Zertifikat 9001 deutsch

Im Justizministerium Mecklenburg

IDS: Trends und Herausforderungen 2007

LARS-Projekte Maschinenbau 2016 Interaktives Excel-Skript