3-2-2003 | Aus MONITOR 2/2003 Gedruckt am 28-07-2014 aus www.monitor.co.at/index.cfm/storyid/5498
Netz & Telekom

Intrusion Dedection Systeme

Plädoyer für Alarmanlagen

Netzwerksicherheit im Unternehmen reicht von A wie Antivirensoftware bis Z wie Zugangskontrolle. Doch wie sieht es in der Mitte des Alphabets aus? F wie Firewall - ja, das ist bekannt. Aber I wie Intrusion Detection?

Dunja Koelwel

Das menschliche Erinnerungsvermögen ist etwas Wunderbares: Negative Erfahrungen werden mit der Zeit ausgeblendet, die schönen Erinnerungen bleiben. Wer erinnert sich noch an die Angriffe auf eBay, Amazon oder CNN im Frühjahr 2002? Stundenlang waren die Websites der prominentesten Vertreter der New Economy nicht mehr erreichbar, der dadurch verursachte Schaden wurde nie offiziell diskutiert. Auch die von der Europäischen Union gesponsorte Site "saferinternet" blieb nicht verschont und lag stundenlang bloß. Den wirtschaftlichen Schaden, der allein in Deutschland durch illegale Beschaffung und Manipulation von Daten jährlich entsteht, schätzen Experten wie die von der Gartner Group oder Dataquest auf zehn Milliarden Euro.

Die Beispiele machen klar: Firewalls allein reichen für einen zuverlässigen Schutz längst nicht mehr aus, selbst mit Virtuellen Privaten Netzen (VPN) lässt sich das Unternehmensnetz nicht völlig absichern. Die Angreifer werden intelligenter, ihre Systeme ebenso. Ziel muss daher sein, die Systematik der Angreifer zu erkennen und die Abwehr darauf einzustellen. Ausreichende Prävention bedeutet daher ständige Erweiterung und Weiterentwicklung der Abwehrsysteme.

Kein "Mut zur Lücke"

Intrusion Detection Systeme sollen - so eine Empfehlung des Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de) in Bonn - die Lücke schließen, die Firewalls, VPNs oder Antivirensoftware nicht abdecken können. Intrusion Detection Systeme, oft laienhaft als virtuelle Einbrecheralarmanlagen beschrieben, dienen zur automatischen Erkennung von Angriffen gegen die Sicherheit von Netzwerken und Computersystemen. Diese Softwaresysteme erlauben nicht nur anhand festgesetzter Regeln eine Verbindung oder blockieren sie, sondern sie überwachen und überprüfen den gesamten Komplex der Kommunikation im Netzwerk, lesen die Datenpakete aus, orientieren sich an normaler Netzkommunikation und erkennen daher Angriffe bereits im Vorfeld anhand verdächtiger Netzaktivitäten. Intrusion ist damit eine Abfolge von verwandten und mutwilligen Prozessen, die das Ziel haben, in ein geschütztes System einzudringen, um dort Schaden anzurichten.

Ein Intrusion Detection System besteht in der Regel aus drei Hauptkomponenten: Einem Erkennungssystem, einem Analysesystem und einer Ereignisdarstellung. Das Intrusion-Erkennungssystem (IES) ist eine Komponente zur Datenerfassung, das Informationen über den allgemeinen Systemzustand in einer Datenbank oder in einem Logfile sammelt. Einerseits können das beispielsweise Informationen aus der Überwachung eines Ports sein, die dann festhalten, wie viele Datenpakete dieser Port empfangen hat. Andererseits können das Informationen in der Form sein, wer wann ein E-Mail wohin verschickt hat. Das Datenanalysesystem (DAS) überprüft und analysiert alle Daten, die vom Intrusion-Erkennungssystem erfasst wurden. Das Ereignisdarstellungssystem (EDS) bereitet die Analyseergebnisse auf und gibt sie benutzergerecht aus. Der Erkennungsprozess selbst findet in der Analysekomponente des IDS statt und dieser Prozess versucht auf zwei Wegen Angriffe zu erkennen: eine Missbrauchserkennung und eine Anomalieerkennung.

Die Missbrauchserkennung versucht in den ermittelten Daten Muster bekannter Angriffsmethoden zu finden. Der gesamte Datenstrom wird dabei auf ein bestimmtes Muster hin untersucht. Dies bedeutet, es muss bekannt sein, worauf dieser Angriff basiert (z.B. falsche Paketgröße). Voraussetzung für die Analyse ist damit eine immer auf dem aktuellen Stand gehaltene Patterndatei, in denen die bisher bekannten Angriffsmöglichkeiten erfasst sind. Die Anomalieerkennung versucht hingegen vorauszusagen, welche Folgen ein Angriff haben könnte. Es wird also ein bestimmtes abnormales Systemverhalten erwartet. Solche Systeme betrachten bestimmte Systemabfolgen als normal. Entdeckt dieses System den Beginn einer bestimmte Ereignisabfolge, so erwartet es die restlichen dafür benötigten Ereignisse. Erfolgen diese "normalen" Ereignisse nicht, so wird von einem abnormalen Systemverhalten ausgegangen und eine entsprechende Alarmmeldung erfolgt. Auf diese Weise lassen sich selbst unbekannte Angriffe noch entdecken und abblocken.

Wer sein Netzwerk um ein IDS erweitern möchte, kann auf ein hostbasiertes System setzen oder ein netzwerkbasiertes. Host-Based Intrusion Detection Systeme analysieren Informationen auf einem einzelnen Host. Da sie sich normalerweise nicht um den gesamten Netzwerkverkehr kümmern müssen, sondern lediglich die Vorgänge auf dem eigenen PC, können sie meist präzisere Angaben über die Art des Angriffs geben. Außerdem sieht man hier direkt die Auswirkungen auf dem jeweiligen PC, also ob ein bestimmter User erfolgreich einen Angriff gestartet hat. Application Based IDSs sind eine Untergruppe der Host-Based IDSs, dennoch seien sie erwähnt. Sie überwachen die Interaktion zwischen User und Programm, wobei hauptsächlich zusätzliche Log-Files erzeugt werden, um Auskunft über die Vorgänge zu geben. Da man direkt zwischen User und Programm operiert, kann man hier sehr leicht auffälliges Verhalten "rausfiltern". Hauptaufgabe eines Network IDSs ist es, die über ein Netzwerk verschickten Pakete zu analysieren und auszuwerten. Um die Pakete nach "auffälligem" Inhalt zu untersuchen, verwendet ein NIDS meist so genannte Sensoren (oft einzelne Hosts), die nichts anderes machen als den Verkehr zu analysieren und gegebenenfalls Alarm auszulösen. Da dies ihre einzige Aufgabe ist, besteht nun auch die Möglichkeit, diese Sensoren zu schützen. In diesem Zusammenhang taucht öfters der Begriff "Stealth Mode" auf. Das bedeutet, dass die Sensoren praktisch "unsichtbar" agieren, um es dem Angreifer schwieriger zu machen, sie zu lokalisieren oder anzugreifen.

Kommunikation oder "All in One"?

Thilo Schmid vom IDS-Anbieter Varysys: "In der Zukunft, wird vor allem die Kommunikation der einzelnen Sicherheitskomponenten im Vordergrund stehen - weniger die Integration aller Systeme." Dagegen spricht seiner Ansicht nach langfristig die Performance, Stabilität und die Komplexität der Systeme.

Eine Ansicht, die Andreas Gabelin vom IDS-Hersteller Top Layer nicht teilt: "Künftig werden sich vor allem Security-Management-Lösungen etablieren, die zum einen ein zentrales Policy-Management über die Vielzahl der eingesetzten Technologien ermöglichen, zum anderen eine weitgehend automatisierte Korrelation der gewonnenen Informationen sicherstellen und damit zu einer ganzheitlichen Erhöhung der IT-Sicherheit beitragen."

Letztere Einstellung teilen auch die großen Marktanalysten, etwa die von Frost&Sullivan. Bereits jetzt gehen größere IDS-Anbieter dazu über, Intrusion-Detection-Prozesse in Unternehmensnetze und Systemmanagement-Lösungen zu integrieren. Am Ende dieser Entwicklung sieht Frost & Sullivan in einer aktuellen Studie (Analysis Of The European Vulnerability Assessment and Intrusion Detection Systems Market) die Konzentration des gesamten Sicherheitsmanagements von Unternehmensnetzen auf einer einzigen Konsole.

Im Hinblick auf die Wettbewerbssituation ist festzustellen, dass die Vielzahl an IDS-Anbietern, die Anfang 2000 noch im Markt aktiv waren, inzwischen auf eine Handvoll Unternehmen geschrumpft ist. Nach Spin-offs, Akquisitionen, Zusammenschlüssen und Konkursen ist inzwischen deutlich erkennbar, wer den Markt für Netz- und Host-basierte IDS beherrscht. An der Spitze hat sich das Unternehmen Internet Security Systems (ISS) etabliert, das wie auch sein direkter Konkurrent Intrusion.com ausschließlich auf entsprechende Lösungen spezialisiert ist.

Trotz aller positiver Aussichten hat die Branche auf dem Weg zum Erfolg jedoch noch einige Hürden zu meistern, so die Analyse. An erster Stelle stehen hier die bislang fehlenden Standards für IDS. Können sich die beteiligten Industrien nicht einigen, ist mit einem langsameren Wachstum zu rechnen. Ein weiteres Problem ergibt sich aus der Tatsache, dass selbst eine gemeinsame Standardreferenz nicht umfassend genug sein kann, um die Interoperabilität unterschiedlicher Implementierungen zu gewährleisten. "Die hohe Komplexität der Anwendungen und die daraus folgenden Schwierigkeiten bei der Implementierung aber auch der oft stolze Preis für ein IDS haben bislang dazu geführt, dass IDS nicht so schnell Akzeptanz finden, als noch vor einiger Zeit angenommen", erklärt Thilo Schmid in Einklang mit den Analysten. "Mangelnde Akzeptanz liegt aber auch an mangelnder Aufklärung. Administratoren sollten sich von der Vorstellung verabschieden, dass beispielsweise eine Firewall ihr Netz komplett vor Hackern schützt", so Schmid weiter.

Anbieterübersicht

Internet Security Systems (ISS) http://www.iss.net
Intrusion http:/www.intrusion.com
Packetalarm http:/www.packetalarm.com
Top Layer http:/www.toplayer.com

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus