Detektive fürs LAN: Intrusion Detection-Systeme im Test

Sicherheitsadministratoren setzen entfernte Software- oder Hardware-Sensoren oder -Agenten an zentralen Punkten innerhalb des Netzwerks ein, meist an den externen Schnittstellen oder an Gateways zu anderen Netzwerken. Gewöhnlich werden diese an Punkten platziert, die im Rahmen eines Audits als Punkte identifiziert wurden, die für die Erfassung und Überprüfung geeignet sind, da an ihnen der Netzwerk-Traffic zusammenläuft. Grundsätzlich empfehlen sich Stellen, die hinter den Firewalls liegen. Die entfernten Sensoren berichten dann an einen zentralen Rechner, der die globalen Richtlinien für das System verwaltet und alle Daten an einem bestimmten Speicherort ablegt, so dass diese zur Protokollierung, Alarmierung und Berichterstellung bereitstehen.

Die im Netzwerk verwendeten IDS-/IDP-Sensoren zapfen die Datenströme an, die über sie laufen, und analysieren den Traffic, indem sie ihn mit den Signaturen ihrer Datenbanken vergleichen. Je nach festgelegtem Toleranzwert wird das System im Falle einer Übereinstimmung aktiviert und führt die vom Administrator definierten Aufgaben aus, zum Beispiel Unterbrechung der TCP-Verbindung, Alarmierung des Sicherheitsteams oder lediglich die Protokollierung der Details zur späteren Analyse.

Natürlich muss die Performance des Netzwerks vor dem Einsatz eines Sensors zunächst überprüft werden, um sicherzustellen, dass der gewählte Sensor auf den maximalen Traffic, der für den jeweiligen Standort erwartet wird, ausgelegt ist. Ist ein Sensor für einen bestimmten Durchsatz nicht geeignet, führt dies zu einem Verlust von Paketen (sodass nicht alle transferierten Daten geprüft werden). Es kann sogar zu einer Beeinträchtigung der Gesamt-Performance des Netzwerks kommen, falls an der jeweiligen Stelle ein Engpass entsteht. Daher empfiehlt es sich in jedem Fall, den potenziellen Netzwerk-Traffic am Einsatzpunkt des Sensors eher großzügig einzuschätzen.

Dieser Ansatz der IT-Sicherheit hat allerdings viel Kritik geerntet, seit die ersten Systeme in der Praxis eingesetzt wurden, vor allem aufgrund der zahlreichen falschen Alarme. Jedes der IDS-/IPS-Systeme hat seine Vor- und Nachteile, weshalb die endgültige Entscheidung für ihren Einsatz dem Sicherheitsteam überlassen bleibt, das seine verfügbaren Ressourcen, seine jeweilige Netzwerkumgebung und die bestehenden Gefahren am besten kennt.

Alternativ dazu besteht die Möglichkeit, mehr als einen Systemtyp zu nutzen, um das Netzwerk mit mehreren Sicherheitsebenen auszustatten. Beispielsweise könnte eine Hardware-Lösung zur Überwachung der äußeren Grenzen des Netzwerks, also aller Ein- und Ausgänge, mit einer Host-basierten Software kombiniert werden, die auf kritischen Rechnern in der Netzwerkstruktur eingesetzt wird.

Die größte Gefahr im Zusammenhang mit IDS-/IPS-Installationen besteht jedoch darin, dass mit der Zeit die Aufmerksamkeit des Sicherheitsteams im Hinblick auf die protokollierten Daten sinkt. Dieser Aspekt muss berücksichtigt werden, wenn eine Sicherheitsrichtlinie erstellt wird. Selbst wenn die Rate der False Positives in einem neu eingesetzten System anfänglich sehr hoch ist, muss es dennoch laufend optimiert werden, um den Anteil der falschen Alarme allmählich zu senken, so dass ein praktisches und robustes System entsteht, das eines Tages die Daten des Unternehmens sowie den Job des Sicherheitsadministrators retten könnte.

Ein IDS/IPS wird in den meisten Unternehmen hinter der Firewall eingesetzt, da es grundsätzlich zur Analyse des Datenverkehrs dient, wobei große Volumen erfasster und protokollierter Traffic-Daten entstehen. Je nach dem Protokollierungsaufwand, der für ein Unternehmen erforderlich ist, können dabei unzählige Protokoll-Dateien entstehen, die anschließend durchgesehen werden müssen. Dies mag für die Sicherheitsmitarbeiter eine recht eintönige Aufgabe sein, die aber nichtsdestotrotz sorgfältig durchzuführen ist, damit potenzielle Bedrohungen für das Unternehmen erkannt und in Zukunft abgewehrt werden können.

Wer sich schon einmal ein Firewall-Protokoll mit seinen unzähligen Paketen, die in kürzester Zeit abgewiesen wurden, angesehen hat, wird einsehen, dass es absolut keinen Sinn macht, ein IDS/IPS vor der Firewall zu nutzen. Ein IDS/IPS stellt eher die zweite Verteidigungslinie in der Sicherheitsstrategie eines Unternehmens dar. Die Firewall filtert die ganz offensichtlich unerwünschten Daten aus, lässt dabei aber noch einige potenziell zweifelhafte Pakete durch, die als legitimer Netzwerk-Traffic getarnt sind. Das IDS/IPS erhält all diese Daten und kontrolliert sie. Obwohl einige Firewalls recht präzise Protokollierungsfunktionen aufweisen, erfassen sie im Allgemeinen dennoch zu viele unnötige Informationen, weshalb das Erstellen von Berichten aus Daten, die von ihnen erzeugt wurden, mitunter sehr mühsam sein kann.

Intrusion Prevention-Systeme (IPS) verlegen die Protokollierungsfunktion auf eine höhere Stufe, indem sie es dem Sicherheitsteam ermöglichen, komplette Listen aller Angriffe und versuchten Angriffe auf das Netzwerk zu erstellen und zu kompilieren. Diese Listen können für betriebswirtschaftliche und Risiko-Analysen verwendet werden oder sogar als Beweismittel vor Gericht dienen, wenn es darum geht, einen lokalisierten mutmaßlichen Angreifer zu belangen. Aus diesen Listen können auch wiederkehrende Angreifer identifiziert werden, die auf bislang unerkannte Schwachstellen im Netzwerk hinweisen, so dass spezifische Richtlinien oder Signaturen für die jeweilige Situation erstellt werden können.

IPS ermöglichen darüber hinaus nicht nur eine Überwachung und Protokollierung des Traffic anhand benutzerdefinierter Regeln und Richtlinien, sondern sie können den Traffic auch aktiv blockieren, reduzieren oder je nach Bedarf handhaben.

IDS/IPS-Technologien können den Sicherheitsadministrator außerdem bei der Senkung des Risikos unterstützen. Sie liefern nicht nur enorme Mengen an Protokolldaten, sondern sie können auch mit den Berichten, die vom Administrator erstellt wurden, zusammenarbeiten, um Richtlinien zu definieren, die gegebenenfalls bestimmte Verfahren auslösen. In manchen Fällen können diese Systeme auch dazu eingesetzt werden, Benutzer aufzuspüren, die sich in einem Netzwerk verdächtig oder ungewöhnlich verhalten, auch auf Accounts, die als vertrauenswürdig eingestuft wurden. Bei Verwendung in einer so genannten Honeypot-Umgebung lassen sich die Eindringlinge auf ein virtuelles Netzwerk umleiten, wo alle ihre Daten verfolgt und erfasst werden. So kann eine als Beweismittel taugliche Dokumentation aller ihrer Aktivitäten erstellt werden, die es ermöglicht, sie eventuell durch Strafverfolgungsbehörden zu belangen. Dies ist zwar schon wieder ein ganz anderes Thema, doch veranschaulicht dieser Aspekt die Rolle eines IDS in einem Unternehmen.

Kurz gesagt, bei den IDS handelt es sich um hochentwickelte Alarmsysteme für Netzwerke, die mögliche Eindringlinge aufspüren und die Sicherheitsmitarbeiter benachrichtigen. Im Folgenden nun also ein Blick auf die entsprechenden Produkte der Anbieter Computer Associates, Juniper Networks, McAfee (bis vor kurzem Network Associates), Snort und Sonic Wall.