In dieser Folge wird der Zusammenhang zwischen Firewalls, Intrusion-Detection- und -Prevention-Systemen und Honeypots dargestellt.

Firewall

Der erste Schritt beim Schutz eines Netzes besteht darin, keine unnötigen Dienste anzubieten. Beim Schutz eines Gebäudes würde das bedeuten, keine unbenutzten Türen oder Fenster offenstehen zu lassen. Der nächste Schritt ist die Installation einer Firewall (About Security #29 ff.): Nur erwünschte Verbindungen dürfen Paketfilter und Application Level Gateway(s) passieren. Unerwünschte Pakete werden verworfen. Übertragen auf ein Gebäude entspricht dies dem Pförtner, der alle Besucher kontrolliert und unerwünschte Personen nicht passieren lässt.

AS = Application Server DBS = Datenbankserver WS = Webserver MS = Mailserver DMZ = demilitarisierte Zone

Weder Firewall noch Pförtner können Angriffe von innen erkennen: Ein Mitarbeiter, der in die Kasse greift oder ein Schadprogramm, das unbefugt auf einen Server zugreift, ist für sie nicht zu sehen.

IDS

Der nächste Schritt beim Schutz eines Gebäude sind Überwachungskameras im Gebäude. Damit können unerwünschte Personen, die sich am Pförtner vorbeigeschmuggelt haben, entdeckt und unbefugte Handlungen beobachtet werden. Im Netzwerk entspricht dies dem Intrusion-Detection-System (About Security #42 ff.): Der gesamte Netzwerkverkehr wird überwacht und verdächtige Vorgänge werden gemeldet.

NIDS = netzwerkbasiertes IDS bzw. netzwerkbasierte Sensoren eines verteilten IDS

IPS

Die Steigerung der Überwachungskameras ist ein patrouillierender Wachdienst, der unerwünschte Personen aufgreift. Im Netzwerk übernimmt diese Aufgabe das Intrusion-Prevention-System (About Security #49): Erkannte Angriffe werden abgeblockt.

IPS: Inline-IPS

Ob man IDS und IPS als getrennte Systeme installiert oder die Erkennungsfähigkeiten des IPS für die Einbruchserkennung verwendet, ist von verschiedenen Überlegungen abhängig. Da ein IPS ein um Eingriffsmöglichkeiten erweitertes IDS ist, spricht wenig dagegen, auf ein separates IDS zu verzichten, wenn beide auf dem gleichen System beruhen. Stammen IDS und IPS von verschiedenen Herstellern, besteht die Möglichkeit, dass das eine System Angriffe erkennt, die das andere nicht (er-)kennt. Auch könnte eines der Systeme Schwachstellen enthalten, die das andere nicht enthält. In diesen Fällen sind separate Systeme von Vorteil. Auf der anderen Seite verursachen getrennte Systeme zusätzliche Kosten sowohl bei der Anschaffung als auch im Betrieb durch die notwendige doppelte Überwachung und Auswertung. Eine Lösung kann in einer Kombination beider Ansätze bestehen: Es werden sowohl IDS als auch IPS eingesetzt, aber nicht immer paarweise, sondern je nach Gefährdung nur ein IDS, nur ein IPS oder IDS und IPS gemeinsam.

Firewall und Intrusion-Prevention-System verfolgen gegensätzliche Ansätze: Während die Firewall von außen kommende erwünschte Daten passieren lässt und alle anderen zurückweist, kontrolliert das IPS die Daten im Inneren und blockiert als unerwünscht erkannte Daten – genau so wie ein Pförtner nur erwünschte Besucher in das Gebäude lässt und der Wachdienst im Inneren aufgegriffene unerwünschte Personen entfernt. Einem hostbasierten IPS entspricht dabei eine zusätzliche Wache vor einem besonders sensiblen Bereich, z.B. dem Banktresor.

Honeypot

Ein Honeypot (About Security #50) hat keine Entsprechung beim Schutz eines Gebäudes. Er wäre mit einem geöffneten Fenster zu einem mit Kameras überwachten Raum zu vergleichen, aus dem keine Tür in das Innere des Gebäudes führt. Dringt ein Einbrecher durch das Fenster ein, hat er es auf das Gebäude an sich abgesehen. Hätte er nicht das offenstehende (Honeypot-)Fenster gesehen, wäre er auf einem anderen Weg eingedrungen.

Wie beim IDS (siehe About Security #43) gibt es auch beim Honeypot verschiedene Möglichkeiten der Positionierung: Vor der Firewall, in der demilitarisierten Zone oder im geschützten Netz. Befindet sich der Honeypot vor der Firewall, geht keine zusätzliche Gefahr für das lokale Netz von ihm aus. Allerdings kann er dort keine internen Angreifer anlocken, und für die Kontrolle des vom Honeypot ausgehenden Netzverkehrs ist eine zusätzliche Firewall nötig. Ein Honeypot in der DMZ stellt keine sehr hohe Gefahr für das lokale Netz da. Auch wenn der Honeypot kompromittiert wurde, wird das lokale Netz durch den inneren Paketfilter geschützt. Die Server in der DMZ werden durch das/die ALG geschützt, vom Honeypot nach außen gesendete Daten vom äußeren Paketfilter kontrolliert. Daher ist die DMZ ein beliebter Standort für Honeypots. Ein Honeypot im geschützten Netz ist zum Anlocken interner oder von außen bereits durch die Firewall vorgedrungener Angreifer geeignet. Angreifer von außen gezielt auf einen Honeypot im geschützten Netz zu lenken ist sehr gefährlich, da dies ein Loch in die Firewall reißt.

Beispielnetzwerke mit Honeypot vor der Firewall, in der DMZ und im geschützten Bereich

In der nächsten Folge werden diese technischen Möglichkeiten um ihr organisatorisches Konzept erweitert: Die Sicherheitsrichtlinie (Security Policy).

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Honeypots"

• About Security #50: Honeypots
• About Security #51: Ein Honeypot – Honeyd
• About Security #52: Firewall, IDS, IPS & Honeypot