Konzeptpapier für eine Diplomarbeit über
"Protocol Intrusion Detection"

Juan Altmayer Pizzorno

September 1997

zuletzt geändert im: Januar 1998

Einführung

Die zunehmende Vernetzung einzelner Systeme, der Anschluß von bisher isolierten Netzen an das öffentliche Internet und nicht zuletzt die kommerzielle Nutzung dieser Netze eröffnen scheinbar unbegrenzte Möglichkeiten, doch wachsen damit auch die Risiken, denen diese Systeme ausgesetzt sind. In der Regel wird die Sicherheit dieser Rechner durch unterschiedliche Mechanismen unterstützt, die Einbruchsversuche abzuwehren versuchen, doch es ist unmöglich, Systeme zu konstruieren die sowohl absolut sicher sind als auch weiterhin sinnvolle Kommunikation erlauben. So erscheint es wünschenswert zusätzlich ein unabhängiges Einbruchserkennungssystem (Intrusion Detection System, ID-System, IDS) zu schalten.

Ein typisches ID-System verwendet statistische Mittel und/oder Regel-basierte Systeme um Einbrüche zu erkennen, und bezieht Protokolldaten aus einem oder mehreren Rechnern ein. Mit statistischen Mitteln wird versucht, zwischen normalen und anormalen Ereignisse zu unterscheiden, wobei anormale Ereignisse gemeldet werden (Anomaly Detection). Regel-basierte Systeme werden verwendet, um bekannte Angriffe wiederzuerkennen (Misuse Detection).

Angriffe basieren immer auf Sicherheitsschwächen, die verschiedene Ursachen haben können. So sind mögliche Angriffe z.B. durch Sicherheitsschwächen im Entwurf oder in der Implementierung von TCP/IP-Netzwerkprotokolle zu verursacht [1][2][3]. Mit Protocol Intrusion Detection wird hier der Versuch bezeichnet, solche protokollspezifischen Angriffe zu erkennen.

Im Internet spielt das Domain Name Service (DNS) [4][5] eine wichtige Rolle. Als verteilte Datenbank organisiert, liefern diese Systeme Abbildungen zwischen den benutzerfreundlichen Domain-Namen und den unterschiedlichen Informationen, die benötigt werden, um Netzwerkdienste zu erbringen. Wird das DNS erfolgreich angegriffen, so kann es zu unterschiedlichen Sicherheitsproblemen kommen [3][6].

Zielsetzung

Ziel der Diplomarbeit ist es, ein Protocol Intrusion Detection-Werkzeug zu implementieren und zu dokumentieren, das eingesetzt werden kann, um Protokollangriffe gegen das DNS zu erkennen. Dieses Werkzeug soll modular erweiterbar sein und aus drei Hauptkomponenten bestehen: einer Datenerfassungskomponente, die den Zugriff auf Netzwerkdaten erlaubt, einer Modul-API, die die erfaßten Daten weiter an die (mögl. mehreren) Modulen leitet und einem Detektionsmodul, der die Protokollangriffe erkennt.

Viele Details der Implementierung stehen derzeit noch nicht fest, da sie sich erst durch den Lernprozeß während der Arbeit ergeben werden.

Literatur

[1] S. M. Bellovin, Security problems in the TCP/IP protocol suite, ACM Computer Comm. Review, vol. 19, no. 2, pp. 32-48, April 1989.

[2] J. Schmidt, Kidnapping im Netz, cít - Magazin für Computer Technik, Oktober 1997, pp. 142-144.

[3] V. Mraz, K. Weidner, Falsch Verbunden, cít - Magazin für Computer Technik, Oktober 1997, pp. 286-290.

[4] P. Mockapetris, RFC-1034 Domain Names - Concepts and Facilities. Network Working Group, November 1987.

[5] P. Mockapetris, RFC-1035 Domain Names - Implementation and Specification. Network Working Group, November 1987.

[6] C. L. Schuba, Addressing Weaknesses in the Domain Name System Protocol, Master's Thesis, Purdue University, August 1993.