Intrusion Detection Systeme

Eindringlinge automatisch aufspüren

30.01.2007 | Autor / Redakteur: Stephan Augsten / Peter Schmitz

Haben Firewall und Virenscanner versagt, dann ist vielleicht bereits ein Hacker oder Malware in die sensitiven Bereiche des Netzwerks vorgedrungen. In diesem Fall helfen Intrusion Detection Systeme den Eindringling aufzuspüren und weiteren Schaden zu verhindern.

Es gibt zahlreiche Möglichkeiten, wie Schadcode ins Netzwerk gelangen kann. Selbst wenn der Admin seine Firewall und den Virenscanner im Griff hat und die meisten Anwender sich der Gefährlichkeit von USB-Memory-Sticks bewusst sind – ein einzelner, unachtsamer Kollege genügt.

Vielleicht fängt sich auch jemand einen brandaktuellen Trojaner ein, für den der Hersteller des Anti-Viren-Tools noch keine Signatur bereitgestellt hat.

So etwas lässt sich nicht hundertprozentig ausschließen. Insofern ist es wichtig, die möglichen Folgen einer Infektion oder eines Hackerangriffs über eine Hintertür so gering wie möglich zu halten. Die Vorraussetzung dafür ist, solche Eindringlinge rasch zu erkennen - Intrusion Detection Systeme (IDS) helfen dabei.

IDS-Klassifizierung

Anhand ihrer Architektur und Arbeitsweise lassen sich IDS voneinander unterscheiden, allerdings sind die Übergänge oft fließend. Die Arbeitsweise kann signaturgesteuert sein, die Muster liegen also in einer Datenbank ähnlich einer Virensignatur vor und werden mit den gefundenen Mustern verglichen.

Unbekannte Muster werden auf diese Weise allerdings nicht als Angriff gefunden, genau deshalb gibt es eine Abnormalitäten-Erkennung. Das IDS lernt also erst mit der Zeit, welche Datenströme und Aktivitäten im Netzwerk „normal“ sind und schlägt dann Alarm, wenn ein Vorgang davon abweicht. Viele IDS kombinieren beide Methoden.

Hinsichtlich ihrer Architektur unterscheidet man zwischen Netzwerk- und Host-basierten IDS. Ein Netzwerk-basiertes IDS kann ein komplettes Network-Segment überwachen, indem es über den Monitor-Port des Switches jeglichen Traffic kontrolliert.

Schwächen und Stärken des Monitoring

Hier erkennt man bereits eine große Schwachstelle der Netzwerk-basierter IDS: Bei gut ausgelasteten oder schnellen Netzwerken (z.B. Gigabit-LANs) kann der Monitor-Port nicht alle Daten weiterleiten – die Überwachung wird dadurch unvollständig.

Allerdings kann sich diese Variante der Eindringling-Erkennung nur zwischen zwei Rechner schalten. Von dort aus könnte es beispielsweise überprüfen, ob zwischen dem Webserver und dem Datenbankserver tatsächlich ausschließlich SQL-Requests in Richtung Datenbankserver laufen.

Übliche Angriffsmuster wie Denial-of-Service-Attacken oder Portscans lassen sich aber zuverlässig aufdecken. Auch Zugriffe auf typische Backdoor-Ports sind leichte Beute für ein Netzwerk-basiertes IDS.

Blick auf nur einen Teilnehmer

Während sich ein Netzwerk-basiertes IDS also auf die Überwachung der Kommunikation zwischen verschiedenen Netzwerkteilnehmern beschränkt, überprüft das Host-basierte IDS ein System.

Der Begriff „Host“ kann üblicherweise als „Server“ interpretiert werden. Dabei interessiert weniger, mit wem und wie diese Appliance kommuniziert – das Host-basierte IDS schaut vielmehr auf die Interna eines Betriebssystems.

Host-spezifische Gefahren und Anforderungen

Es muss also insbesondere vom OS unterstützt werden, was auch gleich den größten Nachteil eines Host-basierten IDS aufzeigt: Ist das jeweilige Betriebssystem und damit auch der Host kompromittiert, kann der Hacker auch das Intrusion-Detection-System manipulieren.

Um Eindringlinge zuverlässig aufzudecken, liest ein Host-basiertes IDS typischerweise die Logfiles des Betriebssystems und der Server-Software (Apache, IIS etc). Es wird also ein bestimmter Systemzustand vordefiniert, der beispielsweise über Checksummen auf Änderungen überprüft wird.

Nur gemeinsam sind sie stark

Eine komplette IDS-Infrastruktur besteht üblicherweise aus drei Komponenten:

  • den Sensoren, das sind die oben beschriebenen Netzwerk- und Hostbasierten Komponenten
  • einem zentralen Server, der alle Meldungen der Sensoren speichert
  • einer Reporting Console, die die aufgelaufenen Meldungen hinsichtlich ihrer Wichtigkeit an den Admin meldet

Spürnasen auf dem Laufenden halten

Um die Effizienz zu maximieren ist es besonders wichtig, die Sensoren entsprechend im Netzwerk zu verteilen, zu konfigurieren und zu trainieren. Auf diese Weise lassen sich false negatives (nicht entdeckte Vorfälle) beinahe auszuschließen und false positives (Fehlalarme) zu minimieren.

Hier gilt das Prinzip vom Jungen, der ständig nach Hilfe vor dem Wolf schreit: Niemand nimmt Warnungen ernst, die sich in den meisten Fällen als falsch herausstellen. Dies ist ein Problem von IDS im Allgemeinen, sie erfordern großes Knowhow beim Administrator oder im Systemhaus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002079 / Intrusion-Detection und -Prevention)