Abwehr mit Schwächen
Intrusion Detection versagt unter Last
Der zweite Problempunkt ist die Paketgröße. Hersteller beziehen ihre Performance-Angaben häufig auf 1024 Byte große Pakete. Dabei senken kleinere Datenhappen die Scan-Geschwindigkeit massiv. Ein dritter Faktor, der das Arbeitstempo einer Hackerabwehr beeinflusst, ist die zu Grunde liegende Policy. Typischerweise speichern NIDS-Geräte viele hundert Signaturen, die sie ständig mit dem Datenstrom vergleichen. Je mehr Muster sie prüfen, desto länger brauchen sie. Am längsten sind Produkte beschäftigt, die nicht mit den Methoden der Protokollanalyse arbeiten.
Zu viele Variablen erschweren die exakte Bestimmung der Perfomance einer NIDS-Appliance. Im Schnitt schafft ein 10/100-MBit/s-Monitor 60 bis 80 MBit/s, während ein Gigabit-Sensor 400 bis 600 MBit/s meistert. Das entspricht einer Auslastung von 60 bis 80 Prozent bei Fast-Ethernet und 40 bis 60 Prozent in einem Gigabit-Netz. In geteilten Hub-Segmenten wird eine NIDS kaum an ihre Grenzen stoßen, weil dort die Auslastung nicht über 40 Prozent steigt. Sobald aber Switches ins Spiel kommen, welche die Auslastung auf den Leitungen deutlich erhöhen, kommen die Alarmanlagen schnell ins Schleudern.
Stark "geswitchte" Umgebungen werden den Security-Spezialisten eines Unternehmens arge Kopfschmerzen bereiten, wenn es darum geht, eine Intrusion Detection einzurichten. Im Gegensatz zu einem Hub genügt es bei einem Switch nicht, das NIDS an einen der Ports anzuschließen. Eine Lösung bringt der Span- oder Mirror-Port eines Switches, auf dem die Datenpakete aller Ports in einer Kopie zusammenlaufen. Dabei entstehen jedoch gewaltige Probleme mit der Bandbreite. Selbst in einem schwach ausgelasteten Fast-Ethernet-LAN, wo jeder Ausgang eines Zehn-Port-Switches nur zu zehn Prozent genutzt wird, hat ein Fast-Ethernet-NIDS 100 Prozent Auslastung zu bewältigen. Damit wird die Box aber nicht fertig. Sie bewältigt nur 40 bis 60 Prozent davon. Die restlichen Pakete schickt sie ungeprüft weiter.
Noch schlechter liegen die Dinge, wenn jeder Port des Switches zur Hälfte ausgenutzt wird. Der Mirroring-Mechanismus versucht dann, 500 MBit/s durch einen 100-MBit/s-Ausgang zu "quetschen", was nicht gelingen kann. Abhilfe könnte ein Gigabit-Mirror-Port schaffen. Dieser reduziert jedoch die Performance des Switches um 10 bis 20 Prozent. Das ist nicht viel, führt aber oft zu Auseinandersetzungen zwischen dem Security-Verantwortlichen und dem Netzadministrator. Nicht genug damit, dass der Sicherheits-Manager einen Gigabit-Port "stiehlt", heißt es dann. Obendrein bremst er auch noch den Switch. Aber selbst wenn die Sicherheitargumente siegen, wird das am Mirror-Port angeschlossene Gigabit-NIDS Pakete verlieren, weil es mitunter nur 400 MBit/s managt.
Geschäftskritische Netze benötigen redundante, ausfallsichere Komponenten. Zugangs-Router werden daher oft durch "asymmetrisch geroutete Netze" ersetzt, welche die Verfügbarkeit der Verbindung verbessern und gleichzeitig die Performance erhöhen. Eine einfache asymmetrische Schaltung besteht aus vier Routern (siehe Grafik), die so miteinander vernetzt sind, dass jedes Datenpaket sie auf einem von vier möglichen Wegen durchläuft. Dabei werden Datenströme zerhackt und erst von den Zielrechnern wieder zusammengesetzt. Ein NIDS erkennt Angriffe jedoch nur anhand eines vollständigen Datenstroms. Wenn ein Hacker zum Beispiel eine "cgi-bin"-Attacke auf einen Webserver startet, könnte er Folgendes eingeben: "http:\\www.ziel.com/cgi-bin/test-cgi?*". Mit dem Uniform Resource Locator (URL) fragt er eine Liste aller Dateien und Unterverzeichnisse des Script-Directory ab. In einer asymmetrischen Schaltung wird der Strom vielleicht in die Bestandteile "www.tar", "get.com", "/cgi-bi", "n/test-c" und "gi?*" zerlegt, die jeweils auf einem von vier Wegen ins Netz gelangen. Selbst wenn an jedem der Front-Router ein NIDS den Span-Port überwacht, sieht ein Sensor immer nur eine Hälfte der Pakete. In asymmetrischen Schaltungen müssen die Datenströme daher wieder zusammengefügt werden, bevor sie zu einem Scanner gelangen.