Intrusion Detection-Systeme
(IDS) sind ein weiteres Tool, mit dem Sicherheitsadministratoren
ihre Ausstattung für die Netzwerkabsicherung verstärken können. Die heutigen IDS lassen
sich
in zwei grundsätzliche Kategorien einteilen: Erstens die passiven Systeme, die lediglich den
Datenverkehr, der über sie geleitet wird, überwachen und anhand von Richtlinien und Regeln
alle verdächtigen Daten erfassen und protokollieren. Diese können dann vom Sicherheitsteam
analysiert werden, entweder als Sicherheitsrisiko erkannt oder freigegeben werden.
Die zweite Kategorien
von Intrusion Detection-Systemen sind aktive Strukturen, die nicht nur
Vorgänge erfassen und protokollieren, sondern auch versuchen, potenzielle Bedrohungen und
Angriffe seitens der Eindringlinge abzuwehren. Diese Systeme werden mittlerweile allgemein
entweder als IPS (Intrusion Prevention Systems) oder als IDP (Intrusion Detection and
Prevention) bezeichnet.
Sowohl die IDS
als auch die IDP wenden ähnliche Verfahren an, um voraussichtliche Angreifer
oder Gefahren im Netzwerk aufzuspüren. Grundlage der meisten Systeme bildet dabei eine
Datenbank mit Signaturen, die bei der Entdeckung neuer Bedrohungen aktualisiert wird.
Herkömmliche
Firewalls filtern den Datenverkehr, aber sie analysieren bekanntlich nicht den
Inhalt eines Datenpakets. Sie können nicht feststellen, ob die Nutzlast destruktive Code-
Elemente enthält oder nicht. Das können nur IDS-Systeme. Beide Systeme und Mechanismen
sind also komplementär und die Firewall-Regelbasis kann sogar bei der Planung der Filter und
Festlegung der Sicherheitsrichtlinien für die Sensoren innerhalb des IDS gute Dienste leisten.
Seit Einführung des ersten IDS in den 80er-Jahren ist der Markt erheblich gewachsen.
Netzwerk
und Host basierte IDS
Traditionell
gibt es zwei grundlegende Typen von Intrusion Detection Systemen: Netzwerk
basierte Intrusion Detection Systeme und Host basierte Intrusion Detection Systeme mit
Agenten oder Sensoren im ganzen Netzwerk, die von einer Zentralkonsole aus verwaltet
werden.
Ein
Netzwerk IDS bietet vor allem Schutz gegen externe Bedrohungen. Ein Host IDS
untersucht die Log-Files und Dateien auf dem Ziel- Server und konzentriert sich somit auf die
Aktionen der Anwender, mögen diese nun authentifiziert sein oder nicht.
Ein
Netzwerk IDS beobachtet den gesamten Netzwerkverkehr auf einem Segment. Man
benötigt dazu Hardware – typischerweise ein dediziertes Windows NT System mit zwei
Netzwerkkarten. Die zweite Netzwerkkarte ist mit dem VLAN Management verbunden. Das
Netzwerk IDS überprüft jedes Paket und vergleicht den Inhalt mit bekannten Angriffs-
Signaturen auf der Basis von Mustern, Sequenzen und Protokollen. Sobald ein Netzwerk IDS
eine verdächtige Signatur identifiziert, löst es unverzüglich Alarm aus. Wenn ein solches
System
korrekt implementiert ist, kann es wirksam gegen netzwerkbasierte Denial-of-Service
Attacken, gegen Port-Scans, die Nutzung von Hintertür- Programmen (wie zum Beispiel Back
Office), gegen DNS- und ICMP-Angriffe, um nur ein paar Möglichkeiten zu nennen, eingesetzt
werden.
Neben
Netzwerk IDS gibt es auch noch so genannte Hybrid IDS. Im Gegensatz zu Netzwerk
IDS werden Hybrid IDS direkt auf einem individuellen Zielsystem installiert. Ein Hybrid IDS
analysiert dann den gesamten Datenverkehr von und zu diesem Gerät. Hybrid IDS haben zum
Beispiel in geswitchten Umgebungen deutliche Vorteile gegenüber Netzwerk IDS. In
geswitchten Umgebungen wäre nämlich bei einem Netzwerk IDS ein entsprechendes
Sensorelement auf jedem einzelnen Segment erforderlich.
Mittlerweile
gibt es auch Sensoren, die beispielsweise Host IDS mit Hybrid IDS
zusammenbringen. Auch stack-orientierte IDS-Sensoren, also solche, die eng mit dem TCP/IP-
Protokollstack zusammenwirken, sind im Kommen. Mit solchen Sensoren können Pakete über
sämtliche Schichten des OSI-Modells hindurch analysiert werden. Auf diese Weise kann das
IDS selbst Pakete aus dem Stack entfernen, bevor das Betriebssystem oder die Anwendung
die destruktive Sequenz verarbeiten und dadurch ein Sicherheitsproblem produzieren. Stack-
basierte IDS können auch gegenüber einigen Formen der Verschlüsselung sehr effizient
sein.
Dies ergibt sich aus dem engen Zusammenspiel von TCP/IP-Stack und IDS. Der TCP/IP
Stack entschlüsselt ein destruktives Paket, danach erkennt dann das stack- basierte IDS die
Schadsoftware und schlägt Alarm.
1. Unser Know-how
