Workshop: Intrusion Detection und Intrusion Prevention mit Snort

Vor- und Nachteile eines IDS

Die Chance, einem Angreifer, gleich welcher Art, auf die Spur zu kommen, ist mit einem IDS deutlich größer. Nehmen wir „GhostNet“: Es ist ein Beispiel dafür, dass Spionagesoftware über einen langen Zeitraum unerkannt in Computern arbeiten konnte. Dass hier sogar Botschaften betroffen waren, zeigt, wie brisant das Thema ist und dass es ernst genommen werden sollte.

Da das IDS Verstöße im Netzwerk oder auf einem Host registriert, kann man es als Beweissicherung nutzen. Nach einem Alert ist meist ein Rückverfolgen des Vorgangs möglich. Aber ein IDS ist nicht frei von Fehlern. Beispielsweise kann es Fehlermeldungen produzieren, die zu einem Verlust der Produktivität führen, etwa wenn es einen Angriff oder Verstoß meldet, der sich im Nachhinein als falsch herausstellt. Diese Art von Fehlern bezeichnet man als False Positives. Lockert man die Regeln, wächst umgekehrt die Gefahr eines False Negatives: Ein tatsächlicher Angriff wird nicht als solcher bewertet und deshalb übersehen. False Negatives sind als die größere Gefahr zu sehen, da der Administrator einen Angriff nicht abwehrt, weil er ihn gar nicht erkennt.

Eine weitere Gefahr besteht in Angriffen auf Snort selbst. Immer wieder tauchen Meldungen zu Attacken auf, bei denen etwa die Logfiles von Snort kompromittiert werden könnten oder Snort durch einen Überlauf außer Gefecht gesetzt wird. Daher ist es ratsam, regelmäßig die Sicherheitswarnungen und Updates auf der Snort-Website zu beachten.