Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Das Netzwerk im Blick

Das Netzwerk im Blick

10. September 2007, 16:36 Uhr |

Intrusion-Detection-Systeme – Angriffe und Sicherheitsverletzungen sind zeitnah erkennbar. So können Verfügbarkeit und Integrität der IT gewährleistet werden.

Die Zunahme der großen Vernetzungen zwischen Menschen und in und mit Organisationen führt dazu, dass Sicherheitslücken immer unsichtbarer werden. Es ist heutzutage nicht mehr so eindeutig, ob Informationen authentisch, Absender echt und Prozesse geschützt sind, denn die IT und der Kommunikationsfluss werden komplexer und durch die Vernetzung schwerer zu kontrollieren. Um Netzwerke gegen Manipulationen sicherer zu machen, braucht es deshalb fein abgestimmte Sicherheitsmechanismen, die den IT-Administrator in seiner Arbeit unterstützen und den Anwender vor Risiken warnen. Das bedeutet jedoch auch, dass die Abwehr ohne umfassende Konzepte ins Leere geht und die Verantwortlichen zumindest in die Nähe rechtlicher Konsequenzen bringen kann.

Da Netzwerke elementare Bestandteile wie auch die Basis für Geschäftsprozesse sind, ist die Abhängigkeit und Durchdringung des wirtschaftlichen, ja des gesamten gesellschaftlichen Lebens vollzogen worden. Um diese Wichtigkeit zu unterstreichen hat dies sogar 2002 die OECD in einer Richtlinie für die Sicherheit von Informationssystemen und Netzwerken aufgegriffen. Gefordert wurde eine Kultur der Sicherheit, in der Informationen nach den Kriterien Vertraulichkeit, Integrität und Verfügbarkeit behandelt werden.

Intelligente Maßnahmen durch IDS
Firewall und Anti-Virus-Programme sind inzwischen Standards im IT-Sicherheitsumfeld geworden. Diese wichtigen Security-Maßnahmen sind jedoch nicht wirklich intelligent oder arbeiten reaktiv, so dass auf ganz neue Bedrohungen nur begrenzt oder gar nicht reagiert werden kann. Eine Antwort auf die neuen Bedrohungsarten können Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) sein. Sie sind im Idealfall in der Lage, zeitnah Einbrüche und Sicherheitsverletzungen, auch bisher unbekannter Art, auf Grund von Verhaltensmustern zu erkennen, zu warnen und unter Umständen abzuwehren. Die Arbeitsweise von IDS und IPS ist annähernd gleich. Im wesentlichen sind drei Funktionalitäten in einem IDS enthalten:

  • Sammeln von Daten, wie Datenpakete im Netzwerk oder lokale Daten wie Dateien auf einem Host.
  • Analyse der Daten hinsichtlich Mustern, wie verdächtige, wiederkehrende Aktionen und
  • Ergebnispräsentation mittels Reports, Meldungen und Alarme.

Bei einem IPS wird die Funktionalität noch um ergebnisorientierte Gegenmaßnahmen erweitert. Eine Gegenmaßnahme könnte beispielsweise sein, eine neue Firewall-Regel zu schalten, die einen Port schließt oder IP-Adressen sperrt.

Klassifizierung der Systeme
Man unterscheidet hostbasierte Systeme, die auf einem einzelnen Rechner laufen, netzwerkbasierte Systeme, die verteilt in Netzwerken arbeiten, sowie Hybrid-Systeme, die sowohl auf einem Host arbeiten als auch den Netzwerkverkehr untersuchen. Da inzwischen auch auf UTM-Lösungen IDS-Funktionalitäten verfügbar sind, kann man auch von einem vierten Typus sprechen, da sie eine Teilfunktion im Verbund eines übergreifenden Sicherheitssystems zu sehen sind.

Ein netzwerkbasiertes Intrusion-Detection-System (NIDS) überwacht den Datenverkehr in einem Netzwerk. Im Idealfall wird der gesamte Datenverkehr untersucht. Damit das NIDS nicht überlastet wird, empfiehlt es sich, einzelne Segmente einzurichten. Hostbasierte Intrusion-Detection-Systeme (HIDS) analysieren die Daten, die nur den Host betreffen. Dies können beispielsweise Systemdateien oder Logfiles sein. Deshalb sind genauere Informationen über einen einzelnen Host möglich. Network-Node-based-Intrusion-Detection-Lösungen (NNIDS) arbeiten sowohl auf einem Host als auch im Netzwerk.

Methoden der Angriffserkennung
Grundsätzlich lässt sich sagen, dass ein IDS in der Regel eine hohe Rechenleistung benötigt, denn sowohl das Datenaufkommen auf einem Host als auch in einem Netzwerk kann erheblich sein. Genau das ist auch ein Nachteil der Systeme, denn je besser das Datenaufkommen untersucht werden soll, um so mehr Leistung wird benötigt.

Die wesentlichen Erkennungsmethoden beruhen auf dem sogenannten Pattern-Matching, also der Erkennung von Mustern innerhalb von Datenpaketen, und der Anomalieerkennung. Ähnlich wie bei einem Virenscanner werden dabei Patternfiles verwendet, die zu einem Abgleich von bekannten Angriffsmustern dienen. Da Angriffe häufig über manipulierte Datenpakete durchgeführt werden, können zusätzlich die allgemeinen Protokollspezifikationen verwendet werden. In ihnen ist festgelegt, wie ein Datenpaket aufgebaut ist.

Entsprechen Datenpakete dieser Spezifikation nicht, kann unter Umständen davon ausgegangen werden, dass ein Angriff vorliegt. Die Anomalieerkennung ist eine weitere Möglichkeit, das Netzwerk zu schützen. Dabei werden Datenpakete im Netzwerk oder das Systemverhalten von Hosts nach statistischen Ausreißern oder logischen Verhaltensmustern untersucht. Das Normalverhalten eines Systems oder Netzes wird hierzu zuerst in einer Liste festgelegt. Diese Liste enthält Punkte wie nicht erfolgreiche Anmeldeversuche, Art von Datenpaketen, Datenlasten zu Tageszeiten oder Nutzungshäufigkeit. Abweichungen hiervon führen dann zu einer Ergebnispräsentation wie der Benachrichtigung des IT-Administrators oder im Fall eines IPS zu Gegenmaßnahmen wie der Sperrung von Ports oder IP-Adressen.

Fazit
IDS können Angriffe und Sicherheitsverletzungen zeitnah erkennen. Auf dieser Basis können Verfügbarkeit und Integrität von Systemen und Diensten erhöht werden. Nachteilig dabei ist heute leider noch, dass diese Systeme einer ständigen Pflege und Überwachung unterliegen müssen und ein tiefes Verständnis in Protokolle und Anwendungen dafür nötig ist. Die Interpretation, ob ein Angriff vorliegt oder eine IDS-Meldung keine relevante Bedeutung hat, trägt der IT-Administrator.

Gerade IPS sind derzeit noch mit Vorsicht zu behandeln. Da sichergestellt sein muss, dass Geschäftsprozesse nicht einfach irrtümlich angehalten werden, ist hier eine wohldurchdachte Strategie notwendig. Denn der Port, der gesperrt wird, kann auch den benötigten Geschäftsprozess betreffen. Sicherheit ist deshalb ein laufender Prozess, der immer wieder der Abstimmung und Überprüfung bedarf. Aber auch die Hersteller sind aufgerufen, verantwortlich mit dem Thema IDS umzugehen und den Anwender über diese Sachverhalte nicht im Unklaren zu lassen.

Lutz Hausmann
Securepoint

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
HP Deutschland GmbH

HP Deutschland GmbH
STULZ GmbH

STULZ GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Zyxel Networks A/S

Zyxel Networks A/S
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
easybell GmbH

easybell GmbH