Neue Tarnmethoden für Hacker

Advanced Evasion Techniques bedrohen Netzwerke

15.11.2011
Von Hermann  Klein

Der richtige Blick – Normalisierung

Um auch Advanced Evasion Techniques zu erkennen, müssen IPS-Systeme mehr im Blick haben als nur Merkmale bekannter Schadcodemuster. Denn Sicherheitsapplikationen, die vom Zielhost empfangene Informationen mit Angriffssignaturen vergleichen müssen, können nicht einfach jedes einzelne Paket des Netzwerkverkehrs beobachten. Ebenso wenig reicht es, die Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente wieder zusammenzusetzen. Deshalb greifen die Funktionen eines klassischen IPS wie Fingerprinting oder signaturbasierte Erkennung, die normalerweise zum Schutz vor Exploits verwendet werden, bei AETs nicht. Sicherheitssysteme müssen vielmehr weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken, beispielsweise vom Endsystem nicht empfangene Datenpakete oder Protokolle, die auf unterschiedliche Arten entschlüsselt werden können. Der Mechanismus, der diese zusätzlichen Kontrollen umsetzt, heißt Normalisierung. Sicherheitsgeräte, die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichen Weise zusammen wie das Endsystem. Zusätzlich berücksichtigen sie auch alle relevanten Protokollschichten für jede Verbindung. Das verringert die Gefahr, dass Datenpakete, die sich nicht nach den Regeln des RFC 791 verhalten, unentdeckt am Sicherheitssystem vorbei ins Netzwerk gelangen können.