Abwehr mit Schwächen

Netzwerkgestützte Intrusion-Abwehrsysteme gehören zu den wichtigsten Bausteinen einer Security-Architektur. In "geswitchten" Netzen sind die Alarmmelder jedoch oft überfordert und arbeiten unzuverlässig.

Von: Simon Edwards, Dr. Klaus Plessner

Performance ist eines der am häufigsten diskutierten Themen, wenn es um netzwerkgestützte Intrusion-Detection-Systeme (NIDS) geht. Feststeht, dass NIDS-Appliances aufhören, alle ankommenden Datenpakete zu prüfen, sobald sie überlastet sind. Zwei verschiedene Versionen von NIDS-Geräten sind zurzeit auf dem Markt zu haben: Sensoren für Fast-Ethernet und solche für Gigabit-Ethernet-Netze. Beide verwenden dieselbe Logik, um Angriffe zu erkennen. Entweder arbeiten sie mit Methoden der Protokollanalyse oder sie überprüfen den Datenverkehr auf verdächtige Muster.

Gute Performance-Statistiken für den LAN-Verkehr sind schwer zu ermitteln. Dabei ist es nicht so sehr eine Frage, wie viele Attacken ein NIDS in kurzer Zeit erkennt - auch wenn Testlabors dies als die einzige Kenngröße der Alarmanlagen betrachten. Vielmehr kommt es darauf an, wie zuverlässig die Geräte extrem dünn gesäte Hackerpakete aus einem ansonsten normalen Netzverkehr herauspicken. Vielfach sind es nicht massenhafte Angriffe, die einem NIDS Probleme bereiten, sondern die "Nadel im Heuhaufen" - vor allem dann, wenn die übertragenen Daten zum Teil mit SSL verschlüsselt sind. Die Abwehrsysteme verstehen keine kodierten Pakete und verschwenden viel Zeit, nur um zu erkennen, dass sie mit chiffrierten Daten nichts anfangen können.