Einbruchsdetektoren hinter der Firewall

Intrusion-Detection-Systeme für mehr Sicherheit

26.10.2001
Viele Anbieter preisen Intrusion Detection Systems (IDS) als neues Wundermittel im Kampf gegen Hacker. Wann jedoch lohnt sich wirklich der Einsatz, wie können bestehende Systeme ausgerüstet werden, wie funktioniert der Betrieb? Von Sandro Littke*

Jede Verstärkung einer Firewall schränkt letztlich auch den externen Datenverkehr ein. Das hat das Interesse dafür geweckt, Firewalls mit einem Überwachungssystem zur Einhaltung von Sicherheitsvorgaben zu kombinieren. Diese "Intrusion Detection Systems" (IDS) sollen Einbrüche in Netzwerke und Server erkennen sowie Hinweise auf ungewöhnliche Vorgänge und Angriffe geben.

Grundsätzlich lassen sich Intrusion Detection Systems danach unterscheiden, ob sie ihre Daten Netz- oder Host-basiert sammeln. Netz-IDS lassen sich relativ schnell und meist ohne Anpassung von Anwendungen an interessanten Punkten im Netzwerk platzieren. Doch dieses Konzept hat Probleme aufgrund des zunehmenden Einsatzes von verschlüsselten Netzwerkverbindungen, was den unverzichtbaren Zugriff auf die Klartextdaten verhindert.

Die Alternative sind Host-basierte Systeme, die Netzwerkdaten aus unterschiedlichen Protokollschichten erfassen und in so genannten Agentensystemen zum Einsatz kommen. Der Vorteil dieser Anlage liegt in der Nähe zum eigentlichen schutzwürdigen Server. Darüber hinaus führen sie zusätzlich zu den reinen Netzwerkdaten auch Ereignismeldungen des Betriebssystems und der installierten Dienste und Anwendungen konsistent zusammen.

Auf der Suche nach AnomalienKlassische Host-basierte IDS beruhen häufig auf der Auswertung von Log-Dateien, der Suche nach Login-Aktionen sowie der Überprüfung von Dateien und Verzeichnissen auf Veränderungen oder gar Austausch durch Programme mit Schadfunktionen.

Die verwendeten Suchverfahren zielen vor allem darauf ab, Mißbrauch und Anomalien zu erkennen. Relativ treffsicher ist die Mißbrauchserkennung, zu der neben den genannten Login-Vorgängen auch das Auffinden bekannter Signaturen beispielsweise in Netzwerkdaten gehört. Hierbei lassen sich aber nur bereits bekannte Angriffsmuster aufspüren, weil nach spezifischen Merkmalen, beispielsweise Zeichenketten, gesucht wird.

Das Erkennen von Anomalien dient hingegen dem Auffinden von Verhältnissen oder Abläufen, die von Normalzuständen abweichen. Dies kann auf quantitativen Analysen beruhen, beispielsweise einer über einem Schwellwert liegenden Anzahl von Verbindungsaufbauten pro Zeiteinheit zu Netzwerkports eines Systems. Weiterhin lassen sich mit statistischen Vergleichen über längere Zeiträume Abweichungen vom normalen Nutzer- und Systemverhalten auswerten, wodurch man versteckte Aktionen klassifizieren kann.

Einen noch weiter gehender Ansatz findet sich in zustandsorientierten Systemen. Diese untersuchen einzelne im eigentlichen Sinne nicht sicherheitsproblematische Aktionen und Zustandsänderungen im System. Sie können aber gleichwohl im Falle fortschreitender Angriffe wichtige Hinweise geben.

Eine zentrale Rolle beim Entwurf von kombinierten Sicherheitssystemen spielt selbstverständlich der Einsatzrahmen - und der ist meistens vom engen Budgetrahmen mitbestimmt. Der Traum ist ein System, das ohne weiteres Zutun über alles wacht.

Menschliche Aufpasser nötigIntelligente IDS könnten teilweise diesen Anforderungen gerecht werden. In jedem Fall aber muss Fachpersonal die Warn- und Alarmmeldungen des IDS auswerten und reagieren können.

Die meisten IDS-Produkte bieten mittlerweile immerhin ansprechende Tools zur Verwaltung und Konfiguration. Trotzdem ist eine stets optimale Wirkung nur dann zu erwarten, wenn das System entsprechend der sich wandelnden Sicherheitsbedürfnisse und der betrieblichen Gegebenheiten ständig angepasst wird.

In größeren Umgebungen und bei zahlreichen Überwachungsstellen in weit verzweigten Netzwerken ist für einen ausreichenden Schutz der Aufbau eines dedizierten Monitoring-Teams empfehlenswert. An geeigneter Stelle werden die anfallenden Daten und Meldungen zentral zusammengeführt und durch dieses Team ausgewertet.

Jedoch überfordert der Aufbau von umfassenden Monitoring-Strukturen die personellen Ressourcen in vielen Firmen. In solchen Fällen bietet sich der Einsatz von externen Partnern für "Managed Security Services" an. Diese spezialisierten Dienstleister haben trainiertes Fachpersonal und können neben einer lückenlosen Datenerfassung auch eine fundierte Auswertung gewährleisten.

Das Angebot an IDS ist in letzter Zeit durch Lösungen vieler Hersteller gewachsen. Bekannte Systeme sind beispielsweise der sehr leistungsfähige "Network Flight Recorder" sowie das "Secure Intrusion Detection System" von Cisco, das besonders auf die Datenerfassung in Umgebungen mit Cisco-Systemen ausgelegt ist. Ein anderes verbreitetes Produkt ist "Realsecure" von ISS. Es zeichnet sich durch den Einsatz von Agent-Systemen aus, die in heterogenen Netzen und Server-Systemen auf unterschiedlichen Datenebenen arbeiten. Neben diesen kommerziellen Lösungen bietet sich - auch für hohe Anforderungen - der Einsatz von Open-Source-Anwendungen an. Die bekanntesten sind "Snort" als Netzwerk-basiertes IDS und "Aide" als Host-Lösung. Hier bieten spezielle Dienstleister Support an.

*Sandro Littke ist Senior Consultant bei der auf Linux-Sicherheitslösungen spezialisierten Innominate AG, Berlin.

Abb: Detektive im Firmennetz

Ein Intrusion-Detection-System aus mehreren Kontroll-Devices und einer Management-Konsole überprüft (hier in einer Beispielkonfiguration) unmittelbar hinter der Firewall, aber noch vor den lokalen Netzen den am stärksten gefährdeten Bereich des Systems auf Veränderungen durch Angriffe. Quelle: Littke/Innominate