Channel Security

In dieser Folge erfahren Sie, welche Vor- und Nachteile die verschiedenen möglichen Positionen eines Intrusion-Detection-Systems im Netzwerk haben. Bei hostbasierten IDS ist die Positionierung kein Problem, da jeder zu schützende Rechner sein eigenes hostbasiertes IDS bekommt. Die einzige Entscheidung, die zu treffen ist, ist die Auswahl der zu schützenden Rechner. Bei netzwerkbasierten IDS und den netzwerkbasierten Sensoren eines verteilten IDS wird es etwas komplizierter.

Das Beispielnetzwerk

Folgendes fiktive Netzwerk soll als Beispiel dienen:
Eine Firewall, bestehend aus zwei Paketfiltern und einem oder mehreren Application Level Gateways, befindet sich zwischen zu schützendem Netz und dem Internet. In der demilitarisierten Zone befinden sich ein Applikationsserver (AS), ein Webserver (WS), ein Datenbankserver (DBS) und ein Mailserver (MS). Ob diese über ein gemeinsames oder jeweils separate Application Level Gateways mit dem Netzwerk verbunden sind, ist in diesem Fall unerheblich. Zur Vereinfachung zeigt die Grafik ein gemeinsames Application Level Gateway (ALG).

Ein einzelnes netzwerkbasiertes IDS

Ein netzwerkbasiertes IDS überwacht den gesamten Netzwerkverkehr im jeweiligen Netzwerksegment. Oder salopp formuliert: Es sieht alles, was an seiner Netzwerkschnittstelle vorbeikommt. Soll nur ein einzelnes netzwerkbasiertes IDS eingerichtet werden, scheint die Entscheidung einfach zu sein: Damit das IDS allen ein- und ausgehenden Netzwerkverkehr überwachen kann, muss es am Zugang zum Internet positioniert werden. Aber kommt es vor den äußeren Paketfilter oder besser dahinter in die DMZ?

	NIDS = netzwerkbasiertes IDS

	NIDS = netzwerkbasiertes IDS

Ein vor dem äußeren Paketfilter positioniertes netzwerkbasiertes IDS kann zusätzliche Informationen über den Kontext eines Angriffs liefern und Angriffe auf den Paketfilter erkennen. Dafür muss es aber auch alle Pakete verarbeiten, die der äußere Paketfilter anschließend sofort verwirft. Außerdem wird es selbst nicht durch den Paketfilter geschützt.

Befindet sich das netzwerkbasierte IDS hinter dem äußeren Paketfilter, muss es nur die vom Paketfilter akzeptierten Pakete verarbeiten. Dafür kann es aber keine Angriffe auf den Paketfilter erkennen und sieht unter Umständen nur einen Teil der zu einem komplexen Angriff gehörenden Pakete, wenn der Paketfilter bereits Teile des Angriffs ausgefiltert hat.

Sehr stark vereinfacht kann man sagen, dass ein IDS vor dem Paketfilter (oder allgemein der Firewall) alle Angriffe und dahinter nur Einbrüche erkennen kann.

Wo ein einzelnes netzwerkbasierte IDS positioniert wird, hängt also im Wesentlichen von den gewünschten Informationen ab. Meist reicht eine Positionierung in der DMZ aus.

Ein so positioniertes netzwerkbasiertes IDS kann den Netzwerkverkehr innerhalb des geschützten Netzes nicht überwachen. Nur die Daten, die vom inneren Paketfilter in die DMZ weitergeleitet werden, können beobachtet werden. Um Angriffe im geschützten Netz zu erkennen, die nicht von außen kommen, müsste das IDS im geschützten Netz positioniert werden.

Mehrere netzwerkbasierte IDS

Eine optimale und lückenlose Überwachung ist nur mit mehreren netzwerkbasierten IDS möglich. Da jedes IDS nur das eigene Netzwerksegment überwachen kann, wird für jedes Segment ein eigenes netzwerkbasiertes IDS benötigt. Im Beispiel muss also ein netzwerkbasiertes IDS im geschützten Netz positioniert werden. Besteht dies aus mehreren Teilnetzen, wird für jedes Teilnetz ein IDS benötigt. Ein weiteres IDS ist für die demilitarisierte Zone zuständig. Besteht das Netzwerk in der demilitarisierten Zone aus mehreren Teilnetzen, ist wieder für jedes Teilnetz ein IDS notwendig. Insgesamt könnte dies z.B. folgendermaßen aussehen:

Je ein netzwerkbasiertes IDS überwacht die beiden Teilnetze im geschützten Netz, das Teilnetz aus Applikationsserver, Datenbankserver und Webserver sowie die demilitarisierte Zone. Dadurch können auch Angriffe innerhalb der einzelnen Teilnetze erkannt werden.

Erweiterung des Beispiels um hostbasierte IDS

Zusätzlich zu den netzwerkbasierenden IDS sollen hostbasierte IDS für den Applikationsserver, den Webserver, den Datenbankserver, den Mailserver sowie zwei wichtige Rechner im geschützten Netz verwendet werden:

	HIDS = hostbasiertes IDS

Sensoren eines verteilten IDS

Für die Positionierung der netzwerkbasierten und hostbasierten Sensoren eines verteilten Intrusion-Detection-Systems gilt das Gleiche wie bei den netzwerkbasierten und hostbasierten IDS. Zusätzlich wird ein Managementsystem benötigt, dass die gesammelten Daten zusammenfasst und auswertet. Die Kommunikation zwischen den verschiedenen Sensoren und dem Managementsystem kann entweder über das normale Netzwerk, in einem separaten IDS-Netz oder einer separaten DMZ erfolgen. Entsprechend befindet sich auch das Managementsystem im jeweiligen Netz. Vor- und Nachteile dieser Ansätze werden in der nächsten Folge beschrieben.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

• About Security #42: Intrusion-Detection-Systeme – Grundlagen
• About Security #43: Intrusion-Detection-Systeme – Positionierung
• About Security #44: IDS-Kommunikation
• About Security #45: IDS in hochverfügbaren Netzen
• About Security #46: Angriffe auf IDS
• About Security #47: Beispiele für IDS-Regeln
• About Security #48: Umsetzung der IDS-Beispiele mit Snort
• About Security #49: Intrusion Prevention