IDAPS - Das Sicherheitsnetzwerk

Respontec IDAPS ist ein Intrusion Detection & Prevention System mit dem Fokus auf interne Sicherheit. Es bietet neben IDS-Standardtechnik ein generisches Verfahren zur symptomatischen Erkennung von Man-In-The-Middle-Angriffen und automatisierte, fälschungssichere Gegenmaßnahmen.

Struktur und Aufbau

IDAPS ist ein transparentes und zentral verwaltetes Sicherheits-Netzwerk, welches im Sinne eines Schutzschildes als ein Aufsatz auf ein Firmennetzwerk konzipiert ist. Es ist vollständig unsichtbar und beeinflusst den ordnungsgemäßen Netzverkehr in keiner Weise.

Das System überwacht mit Hilfe elektronischer Wachhunde, den so genannten „WatchDogs“, den gesamten Datenverkehr des Netzwerks und ist somit in der Lage, Angreifer aus dem internen Netz zu entlarven und zu isolieren.

Der Manager erstellt Statistiken und Logdateien, welche zur Analyse der gefährlichen Netzwerkaktivitäten genutzt werden können.
Das zentrale Information-Control-Center (ICC), in Form einer Web-Applikation, dient zur Überwachung aller sicherheitsrelevanten Informationen im Netzwerk, die von den WatchDogs gemeldet werden.
Die Steuerung, Konfiguration und Analyse des Gesamtsystems wird über das ICC abgewickelt, das einfach und komfortabel alle wichtigen Funktionen aus einer Hand bietet.
Die Überwachung des Netzverkehrs und die Gegenmaßnahmen werden durch die WatchDogs realisiert. Der Vorteil dieser Lösung ist die einfache Erweiterbarkeit der Komponenten und die optimale Anpassungsfähigkeit an dynamische Netzwerkstrukturen.

IDAPS stellt ein Rahmenwerk dar, welches auch für zukünftige, ständig an neue Sicherheitsanforderungen angepasste Lösungen im Bereich der IT-Sicherheit perfekt geeignet ist.

Funktionsweise / Fallbeispiel

Der zentrale Ansatz unserer Lösung ist ein Zusammenspiel zwischen IDAPS und den aktiven Netzwerkkomponenten, den Switches. Da Switches die Knotenpunkte eines Netzwerkes darstellen, bieten sie eine optimale Erkennungsmöglichkeit für jede Art von Angriffen und speziell für interne Netzwerk- und Protokollattacken. Diese Herangehensweise ermöglicht es, den Angreifer zu entdecken und genau zu lokalisieren.
Diese hohe Genauigkeit mit welcher der Angreifer adressiert werden kann, macht auch eine sehr präzise Gegenmaßnahme möglich.

Dieses Verfahren liefert einen wirkungsvollen Schutzmechanismus gegen Angriffe im internen Netzwerk, da Aggressoren schnell und effizient vom Rest des Netzwerks abgeschottet werden, bevor sie weiteren Schaden anrichten können.

IDAPS - Features

» Symptomatische Man-In-The-Middle-Erkennung

» Proaktive Gegenmaßnahmen

Snort-Signaturen

• Buffer Overflows & Format-String Exploits
  (Bekannte Angriffe auf Software-Applikationen die auf Buffer-Overflows und Format-String-Schwachstellen basieren)


• Port-Scans
  (Suche nach offenen und angreifbaren Ports)


• CGI-Angriffe
  (Angriffe auf Web-Applikationen, z.B. PHP, ASP)


• Abfrage von SMB und Netbios-Shares
  (Zugriff auf Windows-Freigaben oder Samba)


• Backdoor-Zugriffe
  (Entfernter Zugriff auf bekannte Betriebsystem-Hintertüren)


• Distributed / Denial of Service Angriffe
  (Flooding-Angriffe auf Netzwerkressourcen, um Systeme zu überlasten)


• Viren und Trojaner
  (Programme mit Schadroutinen, die ein System beeinträchtigen)

Generischer Shellcode-Detektor

Respontec IDAPS verfügt über einen generischen Shellcode-Detektor.
Der "Shellcode" ist eine Schadensroutine, die bei Buffer-Overflow- und Format-String-Angriffen in das jeweilige Zielsystem eingeschleust wird und dem Angreifer dazu dient, das System unter seine Kontrolle zu bringen.
Shellcode sind maschinenlesbare Intruktionen, die direkt von dem Prozessor des Zielsystems interpretiert werden können und besteht meist aus Op-Codes in Hexadezimal-Notation.

Beispiel:

"\x31\xc0" // xorl %eax,%eax
"\x31\xdb" // xorl %ebx,%ebx
"\xb0\x17" // movb $0x17,%al
"\xcd\x80" // int $0x80

Dieser Shellcode ist ein Beispiel für einen 'setuid(0);' Systemaufruf (x86/Linux).
Das Einschleusen von Shellcode ist von zentraler Bedeutung bei Angriffen, die auf Buffer-Overflows und Format-String-Schwachstellen basieren.

Respontec IDAPS verfügt über ein generisches Verfahren, um solchen Shellcode zu erkennen und ist somit in der Lage, sogar unbekannte 0day-Exploits abzuwehren.