16.10.2006 | Autor / Redakteur: Mike Chapple / Achim Karpf
Intrusion Detection Systeme, Honeypots und Darknets helfen IT-Security-Spezialisten dabei, die Lücke zwischen Perimeter- und Host-Sicherheit zu überbrücken und helfen so dabei, das
Intrusion Detection Systeme, Honeypots und Darknets helfen IT-Security-Spezialisten dabei, die Lücke zwischen Perimeter- und Host-Sicherheit zu überbrücken und helfen so dabei, das Netzwerk sicher zu machen.
Die meisten Unternehmen erkennen die Wichtigkeit von Informationssicherheit und stellen Ressourcen für ein Informationssicherheits-Programm mit adäquaten technischen Kontrollen ab. In einigen Fällen sind die technischen Kontrollen in den Zugangsbereichen zu den Netzwerken (Perimeter-Schutz) gut entwickelt und schützen die individuellen Systeme im Netzwerk (Host-Schutz) recht gut. Wir sehen nun vermehrt ein wachsendes Interesse daran, die Lücke zwischen diesen beiden Bereichen mit Netzwerk-basierten Sicherheits-Mechanismen zu schließen.
In diesem Tipp werden wir drei technische Kontrollmechanismen analysieren, mit denen Sie die Lücke in Ihrem Unternehmen schließen können: Intrusion Detection Systeme, Honeypots/Honeynets und Darknets. Jedes dieser Tools erlaubt eine Reihe von Implementierungen von einfach bis komplex.
Es gibt zwei grundlegende Ansätze für Infiltrations-Erkennung (Intrusion Detection):
• Signatur-basierte Intrusion Detection Systeme (IDS) funktionieren ähnlich wie moderne Antivirus-Technologien. Sie werden ständig mit Angriffs-Definitions-Dateien (Signaturen) aktualisiert, die jede bekannte bösartige Aktivität beschreibt. Das System scannt dann den Netzwerk-Verkehr nach Paketen, die diesen Signaturen entsprechen, um bei einer Übereinstimmung einen Alarm auszulösen.
• Anomalie-basierte IDS arbeiten nach einem anderen Prinzip. Sie lernen das Profil eines normal arbeitenden Netzwerkes, in dem sie das Netzwerk über eine bestimmte Zeit monitoren. Wenn eine Abweichung von der Norm auftritt, wird ein Alarm ausgelöst. Ein großer Vorteil der Anomalie-basierten Systeme ist die Fähigkeit, auch bisher nicht bekannte Angriffe zu erkennen. Leider haben diese Systeme den Mainstream in der IT-Sicherheit und die notwendige Reife noch nicht erreicht, durch die sie zuverlässig genug für Produktion-Netzwerke sind.
Wenn sie eine IDS implementieren möchten, können Sie zwei unterschiedliche Ansätze wählen, abhängig von der Zeit und den finanziellen Ressourcen, die Sie für das Projekt investieren möchten. Die erste Option ist die Open-Source-Schiene. Das Snort Intrusion-Detection System ist bei der Snort.org erhältlich und wird sehr gut von der Information Security Community unterstützt. Wenn Sie jedoch nicht die Zeit investieren möchten, um Snort zu konfigurieren und zum Laufen zu bringen, ist eine kommerzielle IDS-Lösung das richtige für Sie. Es gibt eine Reihe von Produkten von führenden Herstellern wie Cisco oder Entrasys, die sich im Markt tummeln. Sie können natürlich auch die kommerzielle Appliance Version von Snort in Betracht ziehen, die von Sourcefire angeboten wird.
Honeypots und Honeynets sind eine weitere Alternative für Sicherheits-Experten um das Netzwerk abzusichern. Diese Tools wurden entwickelt, sie mögen es glauben oder nicht, um bösartige Angreifer anzuziehen. Honeypots sind Systeme, die dazu entwickelt wurden, um als offene Angriffsziele zu dienen, um Angriffe zu überwachen und zu analysieren. Daraus kann man die Taktiken und Vorgehensweisen der Hacker erkennen und auswerten. Aus dem Wissen, das die Honeypots liefern, können dann Praktiken entwickelt werden, um Netzwerke gegen diese Angriffe zu schützen.
Honeynets sind Netzwerke aus Honeypots, die normalerweise auf unterschiedlichen Betriebssystemen laufen und verschiedene Applikationen sowie Konfigurationen aufweisen. Es gibt derzeit umfassende Untersuchungen im akademischen Umfeld über sogenannte selbstheilende Honeynets. Diese Honeynets wurden entwickelt, um bösartige Aktivitäten anzulocken und zu analysieren. Im Anschluss versetzen sie sich in den Originalzustand zurück, bereit für den nächsten Angriff. Dies reduziert den nötigen Verwaltungsaufwand erheblich. Für weitere Informationen und wie Sie ein Honeypot oder Honeynet aufsetzen können, besuchen Sie einfach das Honeynet Project auf Honeynet.org.
Eines der einfachsten Tools, die Sie auf Ihrem Netzwerk einsetzen können, ist Darknet. Alles was Sie tun müssen, ist einen ungenützten Teil Ihres IP-Adressraumes für Darknet bereitzustellen. Als nächstes Konfigurieren Sie Ihr IDS oder sonstiges Netzwerk-Monitoring Tool so, dass es jeden Verkehr erkennt, der auf die Darknet-Adressen gerichtet ist. Da es keine legitimen Systeme im Darknet gibt, können Sie sicher davon ausgehen, dass es sich bei jeglichem Verkehr für Darknet um einen bösartigen Angriff oder ein falsch konfiguriertes System handelt. Darknets sind vor allem vorteilhaft, wenn Sie Ihr Netzwerk auf Würmer oder andere bösartige Codes überprüfen möchten, die sich in Ihrem Netzwerk ausbreiten möchten.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000301)
