Channel Security

Ab dieser Folge wird eine weitere Kategorie von Schutzsystemen vorgestellt: Intrusion-Detection- und Prevention-Systeme. Den Anfang machen Intrusion-Detection-Systeme (IDS). Dabei handelt es sich um Systeme zur automatischen Erkennung von Angriffen auf Netzwerke oder einzelne Rechner. Vereinfacht kann man sie als Systeme beschreiben, die die Logfiles der verschiedenen Netzwerkgeräte wie zum Beispiel Server, Firewalls und Router analysieren und die dabei gewonnenen Erkenntnisse mit bekannten Angriffsmustern vergleichen oder statistisch auswerten.

Man unterscheidet sie nach dem Funktionsprinzip zwischen hostbasierten und netzwerkbasierten Systemen. Die Kombination beider Prinzipien führt zu hybriden bzw. verteilten (Distributed) Intrusion-Detection-Systemen.

Hostbasierte Intrusion-Detection-Systeme

Ein hostbasiertes IDS schützt immer genau einen Rechner (Host), indem es dessen Netzwerkverkehr, Betriebs- und Dateisystem überwacht. Es wird auf dem zu schützenden System installiert und kann dadurch sehr gut an dessen jeweilige Bedürfnisse angepasst werden. Eine Untergruppe der hostbasierten IDS sind die so genannten System Integrity Verifiers. Diese prüfen Dateien und Verzeichnisse mithilfe von Hash-Werten auf ihre Echtheit und erkennen dadurch Manipulationen durch Schadprogramme wie Trojaner, Viren und Root-Kits.

Vorteile hostbasierter IDS

• Es können Angriffe erkannt werden, die netzwerkbasierte IDS aufgrund einer Verschlüsselung des Netzwerkverkehrs oder fehlender lokaler Informationen nicht erkennen können.
• Es können sehr genaue Aussagen über einen Angriff gemacht werden, da Informationen über die Reaktion des überwachten Rechners vorliegen.
• Da nur der für das jeweilige System bestimmte Netzwerkverkehr überwacht werden muss, ist das Datenaufkommen gering genug, um eine vollständige Kontrolle sicherzustellen.

Nachteile hostbasierter IDS

• Hostbasierte IDS müssen auf jedem zu überwachenden Rechner installiert werden und belasten dessen Ressourcen.
• Sie müssen an Betriebssystem und Anwendungen des jeweiligen Hosts angepasst sein.
• Da hostbasierte IDS auf dem jeweiligen Rechner installiert sind, können sie gleichzeitig mit diesem angegriffen werden.
• Eine laufende Integritätsüberwachung belastet das System, sodass meist nur in bestimmten Abständen eine Kontrolle stattfindet. Eine zu häufige Kontrolle belastet das System zu stark, während eine zu seltene Kontrolle das Risiko eines erfolgreichen und unerkannten Angriffs erhöht.

Netzwerkbasierte Intrusion-Detection-Systeme

Ein netzwerkbasiertes IDS überwacht ein komplettes Netzwerk (bzw. ein Netzwerksegment), indem es alle darin übertragenen Pakete analysiert und auf verdächtige Muster untersucht. Aufgrund der anfallenden Datenmengen sind den Überwachungsmöglichkeiten eines einzelnen netzwerkbasierten IDS Grenzen gesetzt. Beim Erreichen dieser Grenze müssen mehrere Systeme kombiniert werden oder ein Teil des Netzwerkverkehrs kann nicht überwacht werden.

Vorteile netzwerkbasierter IDS

• Die Rechner im zu überwachenden Netz werden nicht zusätzlich belastet.
• Ein netzwerkbasiertes IDS kann ein gesamtes Netzwerk überwachen.
• Es können netzbasierte Angriffe auf mehrere Ziele erkannt werden, die von hostbasierten IDS mangels ausreichender Informationen nicht als verteilte Angriffe erkannt werden können.
• Angriffe auf einen Rechner im überwachten Netz stören die Funktion des IDS nicht.
• Netzwerkbasierte IDS können vor potenziellen Angreifern verborgen werden, sodass sie nur schwer anzugreifen sind.

Nachteile netzwerkbasierter IDS

• Wird die maximal verarbeitbare Datenmenge überschritten, ist keine vollständige Überwachung des Netzwerkverkehrs mehr möglich. Eine lückenlose Überwachung ist nur in Netzwerken mit begrenztem Durchsatz oder begrenzter Auslastung möglich.
• In geswitchten, lastverteilten oder redundant ausgelegten Netzwerken ist eine lückenlose Überwachung nur mit zusätzlichem Aufwand möglich.
• Netzwerkbasierte IDS können nur die Reaktionen eines angegriffenen Rechners berücksichtigen, die sich in dessen Netzwerkverkehr widerspiegeln.
• Verschlüsselter Netzwerkverkehr kann nicht überwacht werden.

Hybride bzw. verteilte (Distributed) Intrusion-Detection-Systeme

Diese verbinden host- und netzwerkbasierte IDS, indem sie die gewonnenen Daten mehrerer host- und netzwerkbasierter IDS in einem zentralen Managementsystem zusammenfassen. Die einzelnen IDS sind dann Sensoren des Managementsystems.

Konzepte zur Einbruchserkennung

Zur Erkennung eines Einbruchs gibt es zwei Verfahren: Den Vergleich des aufgezeichneten und aktuellen Verhaltens mit bekannten Angriffssignaturen (Signaturerkennung, Signature Detection) und die statistische Analyse (Anomalieerkennung, Anomaly Detection). Beide Verfahren mit ihren Vor- und Nachteilen wurden bereits bei der Analyse der Firewall-Logfiles in About Security #38 vorgestellt.

In der nächsten Folge wird das Thema Intrusion-Detection-Systeme vertieft. Dann geht es unter anderem um die Positionierung des IDS im Netzwerk.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

• About Security #42: Intrusion-Detection-Systeme – Grundlagen
• About Security #43: Intrusion-Detection-Systeme – Positionierung
• About Security #44: IDS-Kommunikation
• About Security #45: IDS in hochverfügbaren Netzen
• About Security #46: Angriffe auf IDS
• About Security #47: Beispiele für IDS-Regeln
• About Security #48: Umsetzung der IDS-Beispiele mit Snort
• About Security #49: Intrusion Prevention