About Security #44: IDS-Kommunikation

Inhalte überspringen »

Topthema

Donnerstag, 16. Februar 2006 | Topthema

About Security #44: IDS-Kommunikation

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/026913)

Nachdem die Sensoren eines verteilen Intrusion-Detection-Systems wie in About Security #43 beschrieben positioniert wurden, muss nun ein guter Platz für das dazu gehörende Managementsystem gefunden werden. Wie in About Security #43 erwähnt, kann die Kommunikation zwischen den verschiedenen Sensoren und dem Managementsystem entweder über das normale Netzwerk, in einem separaten IDS-Netzwerk oder einer separaten DMZ erfolgen. Entsprechend befindet sich auch das Managementsystem im jeweiligen Netz. Zuerst sollen nur die netzwerkbasierten Sensoren betrachtet werden.

IDS-Kommunikation über das vorhandene Netz

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Die Übertragung über das vorhandene Netz und damit die Positionierung des Managementsystems im geschützten Netz ist die kostengünstigste Methode, da keine Erweiterung des Netzwerks notwendig ist. Ihr Nachteil ist, dass bei einem Angriff auf das Netz das IDS beeinträchtigt werden kann. Außerdem geben die Komponenten des IDS sich durch ihre Datenübertragung zu erkennen. Damit sind sie leichter angreifbar und können eventuell umgangen werden.

Das Beispielnetz aus der letzten Woche könnte erweitert um das Managementsystem folgendermaßen aussehen:

Einrichtung eines separaten IDS-Netzwerks

Bei der Verwendung eines separaten IDS-Netzwerks sind die Sensoren aus den überwachten Netzsegmenten unsichtbar. Die Kommunikation der IDS-Komponenten ist von der Kommunikation im geschützten Netzwerk getrennt, ein Angriff auf das geschützte Netz oder die überwachten Netzwerksegmente in der DMZ beeinträchtigt die Funktionsfähigkeit des IDS nicht.

Der Nachteil dieses Ansatzes ist der erhebliche zusätzliche Aufwand durch die notwendige Entkoppelung des IDS-Netzwerks vom überwachten Netz. Jede Kommunikation zwischen überwachtem Netz und IDS-Netz muss abgesichert werden. Dies betrifft zum einen den Zugriff von Clients im geschützten Netz auf das Managementsystem sowie in der Gegenrichtung die vom Managementsystem ausgelösten Alarmmeldungen. Zum anderen muss die Kommunikation zwischen den Sensoren und dem Managementsystem überwacht werden. Ein besonderes Problem sind dabei die hostbasierten Sensoren. Da diese auf den überwachten Rechnern installiert sind, kann ein Angreifer, der einen überwachten Rechner unter seine Kontrolle gebracht hat, danach Zugang zum IDS-Netz erlangen. Wenn das separate IDS-Netz Sensoren in verschiedenen Teilnetzen miteinander verbindet, besteht die Gefahr, dass durch einen Angriff oder die Fehlkonfiguration eines Sensors unerwünschte Verbindungen zwischen den Teilnetzen entstehen. Daher müssen konsequenterweise parallel zu den verschiedenen Teilnetzen auch die entsprechenden Sensoren im IDS-Netz durch Firewallkomponenten entkoppelt werden. Dafür sind mindestens Paketfilter notwendig.

Für das Beispiel ergibt sich z.B. folgender Aufbau:

	`FW sind die zur Entkoppelung notwendigen Firewallkomponenten`

Die Sensoren sind ein Bestandteil des separaten IDS-Netzes. Um dies zu verdeutlichen, könnte man das Ganze auch so darstellen:

Einrichtung einer separaten demilitarisierten Zone

Wird das Managementsystem in einer separaten demilitarisierten Zone positioniert, erfolgt die Kommunikation mit den Sensoren über zusätzliche Netzwerk-Interfaces an den Sensoren und der verwendeten Firewall-Komponente.

Der Vorteil dieses Ansatzes ist der geringere Aufwand im Vergleich zu einem separaten IDS-Netz, da Teile der vorhandenen Infrastruktur genutzt werden können. Durch die separaten Netzwerk-Interfaces sind die Sensoren aus dem überwachten Netz unsichtbar.

Ein Nachteil ist, dass die Kommunikation zwischen Sensoren und Managementsystem bzw. Managementsystem und Clients von der korrekten Konfiguration und Funktion der beteiligten Firewall- und Netzwerkkomponenten abhängt. Ein erfolgreicher Angriff auf eine der beteiligten Komponenten beeinträchtigt auch das IDS.

Für das Beispiel soll der innere Paketfilter die Entkoppelung der separaten demilitarisierten Zone für das IDS übernehmen:

In diesem Bild sind die verschiedenen demilitarisierten Zonen im Gegensatz zu den bisherigen Bildern farblich hervorgehoben. Dies dient nur zur besseren Unterscheidung der verschiedenen Bereiche und hat keine weitere Bedeutung.

Statt des Paketfilters kann bei Bedarf auch ein Application Level Gateway verwendet werden.

Erweiterung um hostbasierte Sensoren und Kommunikation mit Clients

Die jeweiligen Ansätze können bei Bedarf um hostbasierte Sensoren erweitert werden. Dabei gibt es je nach Notwendigkeit verschiedene Möglichkeiten der Anbindung und Entkoppelung. Das Gleiche gilt für den Zugriff von Clients aus dem geschützten Netz auf das Managementsystem sowie die vom Managementsystem ausgelösten Alarmmeldungen. So ist es z.B. möglich, nur bestimmten Clients den Zugriff auf das Managementsystem zu gestatten.

In der nächsten Folge geht es um den Einsatz von Intrusion-Detection-Systemen in hochverfügbaren Netzen.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

Kommentare

+ Neuen Kommentar verfassen

Folgende Links könnten Sie auch interessieren

Netzwerksicherheit Hacks [25.04.2005]
[http://entwickler.de/zonen/portale/psecom,id,102,buch,384,.html]
Arbeiten mit MIDI-Files [18.10.2002]
[http://entwickler.de/zonen/portale/psecom,id,102,buch,141,.html]
MySQL & mSQL [25.04.2005]
[http://entwickler.de/zonen/portale/psecom,id,102,buch,110,.html]
Praxiswissen TYPO3 [24.02.2006]
[http://entwickler.de/zonen/portale/psecom,id,102,buch,497,.html]
Single Source Publishing [21.08.2007]
[http://entwickler.de/zonen/portale/psecom,id,102,buch,653,.html]