Einführung in Intrusion-Detection- und Intrusion-Prevention-Technologien

Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS und IPS) sind entscheidende Komponenten in der Threat-Management-Strategie einer Firma.

Man muss sich nur die häufigen Schlagzeilen der vergangenen Jahre ansehen, bei denen es um die Verletzung der Datensicherheit ging: Tausende Kunden waren betroffen, und die Schäden gehen in die Milliarden. Man muss den Geschäftsführern heutzutage nicht mehr erzählen, dass es in diesem Bereich eine Bedrohung gibt, das wissen sie mittlerweile selbst. Lernen müssen sie allerdings, auf welche Weise sich die realen Risiken des Datenverlustes verhindern oder zumindest eingrenzen lassen.

Unternehmensauditoren greifen auf das Risiko-Management zu, um jene Informationsressourcen zu identifizieren, deren Verlust sich negativ auf die Firma auswirken können. Sobald diese Informationsressourcen identifiziert und nach Risiko sortiert sind, lassen sich technische Kontrollmechanismen einsetzen, um diese zu schützen. 

Eine einzelne technische Kontrolle wie zum Beispiel eine Perimeter-Firewall reicht nicht, um die Pläne von Cyberkriminellen zu durchkreuzen. Stattdessen muss man die Verteidigungsmechanismen so einsetzen, wie Soldaten Hindernisse, Beobachter und Sperrfeuer verwenden, um Feinden den Zutritt zu wichtigem Terrain zu verweigern. Diese Art der Kombination nennt man Defense in Depth oder gestaffelte Verteidigung.

Defense-in-Depth-Praktiken wurden in Compliance-Regularien mit unterschiedlichen Erfolgsniveaus festgeschrieben. Um Mängel zu adressieren, haben das SANS Institute, staatliche Agenturen und verschiedene andere nationale und internationale Organisationen die SANS 20 Critical Security Controls entwickelt. Sie basieren auf empfohlenen Security-Praktiken. Die Technologien Intrusion Detection und Intrusion Prevention gelten als sehr wichtig, wenn neue Kontrollmechanismen etabliert werden sollen.

Vor IDS und IPS

IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) überwachen Daten, die durch das Unternehmensnetzwerk fließen. IDS-Technologie hat sich aus Paket-Sniffern entwickelt. Man hat sie als Problemfindungs-Tools im Netzwerk eingesetzt, um beschädigtes Equipment und nicht funktionierende Software zu lokalisieren. Dafür wurden Logs kreiert, die die Aktivität der Netzwerkpakete zeigten.

Bevor man Netzwerk-Switches einsetzte, konnte man IDS-Produkte an einem beliebigen Port am Netzwerk-Hub einstecken. Somit hatte man eine gute Möglichkeit, die Netzwerkpakete an einem LAN-Segment zu überwachen. Netzwerk-Switches isolieren den Netzwerk-Traffic allerdings zwischen den Switch-Ports. Aus diesem Grund muss man anders an die Sache herangehen.

In Netzwerken mit wenig oder mittelmäßigem Traffic lässt sich der Datenverkehr der Switch-Ports auf einen speziell dafür vorgesehenen Switch-Port kopieren. Man nennt das auch Mirroring (Spiegelung) oder Spanning (Überbrückung). Dabei verbindet ein Netzwerkkabel den entsprechenden Port mit dem IDS-Sensor. 

In Netzwerken mit hohem Traffic-Aufkommen verwendet man andere Technologien wie zum Beispiel Netzwerkverzweigungen, auch Network Taps genannt. Ein Network Tap ist ein passives Gerät, das eine Verbindung zwischen Netzwerkgeräten etabliert und eine Kopie der Netzwerkpakete erstellt. Nun lässt es sich zu einem Monitoring-Gerät wie zum Beispiel einem IDS-Sensor weiterleiten.

Kurz nachdem IDS entwickelt war, haben IDS-Anbieter die Möglichkeit implementiert, TCP-Reset-Pakete senden zu können, um den TCP-Traffic zwischen einer bösartigen Quelle und seinem Ziel zu stören. Weil sowohl Port Spanning als auch Network Taps den Paketfluss nur in eine Richtung gestatten, verwenden IDS-Produkte eine zweite Netzwerkkarte. Diese ist mit einem anderen Switch-Port verbunden, um sich um die TCP-Resets zu kümmern.

Für TCP-Traffic sind TCP-Resets sehr effektiv. Allerdings können IDS-Sensoren keine Pakete von verbindungslosen Protokollen wie ICMP oder UDP zurücksetzen. Weil IDS-Technologie auf Port Spans oder Network Taps angewiesen ist, um den Netzwerk-Traffic zu überwachen, gibt es eine obere Grenze hinsichtlich der Anzahl an zu überwachenden Paketen. Hier kommt es auf die Kapazitäten der überbrückten Switch-Ports oder des Network Taps an.

Die Einführung von IDS/IPS

Wegen dieser Defizite wurden Intrusion Detection und Prevention eingeführt. Anstatt sich auf Einwegkopien des Netzwerk-Traffics zu verlassen, setzte man IPS-Sensoren zwischen Netzwerkgeräten ein. Das kann zwischen Switches oder zwischen Routern sein. 

Weil sie sogenannte Inline-Geräte sind, können IPS-Sensoren jeglichen böswilligen Traffic blockieren. Weiterhin sind sie in der Lage, mit der gleichen Geschwindigkeit zu operieren wie die Leitung. Genau genommen handelt es sich bei den Geräten um Point-to-Point-Verteidigungsmechanismen. 

Deswegen wurden mehr IPS-Sensoren mit passiven IDS-Sensoren eingeführt, die überbrückten Netzwerk-Traffic von verschiedenen Quellen nutzen können. Wo man die IPS-Sensoren in einem Unternehmen einsetzt, muss man mithilfe von Risikobewertung evaluieren, manchmal sind sie auch durch Regularien vorgeschrieben.

Sowohl IDS- als auch IPS-Technologien funktionieren sehr ähnlich. Anhand von Signaturen oder verhaltensbasierter Analyse lassen sich böswillige Aktivitäten in Netzwerkpaketen erkennen. Somit lassen sich Angriffe von der Paketebene bis zur Applikationsschicht entdecken. 

Die Systeme können im Anschluss verschiedene Aktionen durchführen, um sensible Daten zu schützen. Zu den typischen Aktionen gehören Warnungen via SMS, SNMP oder SMTP. Weiterhin werden verdächtige Aktivitäten geloggt und böswillige Aktivitäten automatisch gestört.

Blickt man auf die große Anzahl an Netzwerkpaketen, die durch ein Unternehmen fließen, ist es nicht ungewöhnlich, dass man eine große Menge an verdächtigen Aktivitäten erkennt. Der meiste Traffic ist allerdings ganz normal. Aus diesem Grund sind IDS- und IPS-Sensoren so abzustimmen, dass sie erwarteten Traffic einfach ignorieren. Aber selbst nach diesem Tuning kann es noch sehr viele Ereignisse geben, die genauer analysiert werden müssen.

Folgerichtig werden die Informationen der Sensoren an eine Art Management-Server geschickt, wo man sie konsolidiert. Diese Information auf höherem Niveau lässt sich dann an einen SIEM-Server kommunizieren, wo die Software die Ereignisse noch weiter konsolidiert. Außerdem stellt man sie zu anderen Security-Ereignissen in eine Wechselbeziehung. 

Selbst wenn Konsolidierung und Korrelation automatisch ablaufen, müssen menschliche Augen immer noch das Ergebnis überprüfen. Unternehmen können Cybersecurity-Analysten mit IDS- und IPS-Erfahrung einstellen, Security-Services einkaufen oder auch beide Herangehensweisen bemühen, um die Ereignisse 24 Stunden am Tag und sieben Tage die Woche ausreichend im Blick zu haben.

Über den Autor:
Bill Hayes hat früher Meeresforschung studiert und ist ein ehemaliger Militärveteran. Weiterhin hat er ein einen Abschluss als Journalist. Nachdem er mit Computerspiele-Design in den 1980ern geflirtet hat, begann Hayes eine Karriere im IT-Support. Derzeit arbeitet er als Cybersecurity-Analyst für eine Utility-Firma, sowie als freiberuflicher Consultant und Autor.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close