Suchen

Tarn-Techniken für Hacker-Attacken, Teil 1

Advanced Evasion Techniques – Geschichte und Morphologie

Seite: 3/3

Inspektion des Datenverkehrs

IPS-Geräte überprüfen den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS-Systeme) oder unterbrechen die Verbindung (IPS-Systeme).

Geräte, die den Datenverkehr inspizieren, verwenden dafür unterschiedliche Techniken. Am meisten verbreitet sind Protokollanalyse oder Signaturerkennung. Dabei gleicht das Sicherheitssystem den Datenverkehr mit bekannten Angriffsmustern von Schädlingen oder auch Evasions ab.

Die Anzahl der bekannten Exploits und Schwachstellen ist riesig und steigt weiterhin ständig. Allerdings entwickeln sich auch die Inspektionsfunktionen von IPS-Produkten entsprechend rasch weiter. Wird eine neue IT-Bedrohung bekannt, können Administratoren meist innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementieren.

Eine Schwachstelle von IPS ist jedoch die Tatsache, dass „empfangene Fragmente gespeichert werden müssen, bis alle Fragmente wieder zu einem ganzen IP-Datenpaket zusammengesetzt werden können“ (Newsham & Ptacek, 1998). Deshalb müssen IDS- und IPS-Architekturen alle möglichen Arten kennen, nach denen das Zielsystem die Fragmente wieder zusammensetzen könnte – und dafür muss das IPS-System selbst alle diese Möglichkeiten abdecken.

Neue Herausforderungen

Neben der IP-Fragmentierung gibt es weitere bekannte Evasion-Techniken, die beispielsweise auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren. Auch mit diesen Varianten kommen die meisten Sicherheitssysteme gut zurecht. Mit den so genannten Advanced Evasion Techniques (AETs) stehen sie jedoch aktuell vor ganz neuen Herausforderungen.

AETs kombinieren neue Tarnmethoden mit bekannten Evasion-Techniken und können so nahezu alle Netzwerk-Sicherheitslösungen umgehen. Mit 2180 möglichen Kombinationen sind Sicherheitssysteme vollkommen überfordert. Teil zwei des Beitrags zeigt, wie sich AETs von bekannten Evasion-Techniken unterscheiden und welche Netzwerke besonders gefährdet sind.

Inhalt

  • Seite 1: Was eine „Evasion“ ausmacht
  • Seite 2: Arbeitsweise von Evasions
  • Seite 3: Inspektion des Datenverkehrs

Hermann Klein ist als Country Manager DACH für Stonesoft tätig.

(ID:2052488)