Außerdem ärgert sich der Sicherheitsspezialist, dass "die Hersteller das Problem der Fehlalarme immer herunterspielen". Letztlich müsse man anhand der Alarme selbst herausfinden, "ob es sich um einen tatsächlichen Angriff handelt oder nicht". Es sei überdies durchaus keine Seltenheit, dass Fehler in den Angriffssignaturen falsche Alarme zur Folge hätten. Dann sei man gezwungen, spezielle Filter zu definieren, was wiederum einen großen Aufwand bedeute.
Die Hersteller weisen jede Schuld von sich. Schenkt man ihnen Glauben, sind ihre Systeme inzwischen tatsächlich in der Lage, die meisten Fehler zuverlässig zu erkennen. Untersuchungen belegen jedoch, dass die Leistung von Einbruchserkennungssystemen sehr unterschiedlich ist. Erst kürzlich nahmen die Experten der auf Netz- und Sicherheitstests spezialisierten NSS Group beispielsweise mehrere IDS-Lösungen in einem Umfeld mit 100 Mbit/s Übertragungsgeschwindigkeit unter die Lupe. Es ging dabei unter anderem um die Fähigkeit, 82 verschiedene Netzattacken zu erkennen. Ohne spezielle Anpassungen gelang dies zum Beispiel den neuen "Proventia"-Appliances von ISS in 88 Prozent (72 Treffer) aller Fälle. Ciscos "IDS 4235" erreichte 95 Prozent (78 erkannte Attacken), und Snort kam auf 77 Prozent (63 Treffer). Nach einem Update konnte die ISS-Lösung auf 100 Prozent zulegen und zog damit am Konkurrenten Cisco vorbei. Der ausführliche und umfassendere Testbericht steht unter
www.nss.co.uk zum kostenpflichtigen Download bereit. Gartner-Analyst Anthony geht davon aus, dass zukünftige IPS-Techniken bestimmte Attacken mit einer sehr großen Wahrscheinlichkeit erkennen und blocken werden. "Alles können sie jedoch nicht entdecken", gibt er zu bedenken. Die Zahl der Einbruchsversuche, die mit hoher Wahrscheinlichkeit erkannt werden, nehme jedoch zu und werde sich positiv auf die Sicherheit von Unternehmensnetzen auswirken.
|
Spurensuche Heute verfügbare IDS nutzen verschiedene Verfahren, um mögliche Angriffe zu erkennen. NIDS beispielsweise überprüfen zum einen sämtliche in einem bestimmten Netzsegment übertragenen Datenpakete - ähnlich wie Virenscanner - auf bestimmte Muster, die auf eine Attacke hinweisen. Stellen sie eine Übereinstimmung mit einer vordefinierten und vom jeweiligen Hersteller bereitgestellten Signatur fest, lösen sie eine Alarmmeldung aus. Eine wichtige Rolle spielen außerdem Untersuchungen auf Protokollanomalien. Dabei wird überprüft, ob alle Übertragungen auch den offiziellen Spezifikationen, etwa den Requests for Comment (RFC) der Internet Engineering Task Force (IETF), entsprechen. Damit tragen die Tools der Entwicklung Rechnung, dass viele Angriffe wie Buffer Overflows Schwachstellen ausnutzen, die durch die Übertragung von nicht standardgemäßen Datenpaketen ausgelöst werden. Eine weitere Methode betrifft Verhaltensanomalien. Dabei alarmiert das System bei nicht der Norm entsprechenden Aktionen, etwa extrem kurz hintereinander folgenden, gleichartigen Übertragungen. Host-basierende Lösungen konzentrieren sich im Gegensatz dazu auf einen bestimmten zu schützenden Server oder Arbeitsplatzrechner. Die Programme werten die von den Systemen angelegten Log-Dateien aus und überwachen wichtige System-Dateien und Registrierschlüssel auf eventuelle, nicht authorisierte Veränderungen. |
Berater Weidenhammer rät seinen Kunden derzeit, "den Einstieg in das Thema IDS/IPS zu focieren." Das sei notwendig, um sich mit der Technik und dem dafür erforderlichen Aufwand vertraut zu machen. Außerdem stellen die Lösungen für ihn eine zusätzliche Sicherung dar. Er empfiehlt, zunächst ein NIDS innerhalb der demilitarisierten Zone (DMZ) des Netzes zu platzieren. Als nächstes könnte der Einsatz eines IDS im internen Netz erfolgen, um zu sehen, "was da so alles passiert". Schließlich sollte man darangehen, vorhandene Web-Anwendungen mit Hilfe eines Host-basierenden Systems abzusichern.
Es ist davon auszugehen, dass an Einbruchserkennungslösungen schon bald kein Weg mehr vorbei führen wird. Immer mehr Hersteller gehen derzeit dazu über, ihre Tools mit anderen Sicherheitsprodukten zu integrieren und gemeinsam anzubieten. Auch die Analysten von Gartner erwarten, dass IDS-, IPS- und Firewall-Funktionen innerhalb der nächsten Jahre zu einer Peripherielösung, vielleicht in Form einer Appliance verschmelzen werden.