Von: Simon Edwards, Dr. Klaus Plessner
Performance ist eines der am häufigsten diskutierten Themen, wenn es um netzwerkgestützte Intrusion-Detection-Systeme (NIDS) geht. Feststeht, dass NIDS-Appliances aufhören, alle ankommenden Datenpakete zu prüfen, sobald sie überlastet sind. Zwei verschiedene Versionen von NIDS-Geräten sind zurzeit auf dem Markt zu haben: Sensoren für Fast-Ethernet und solche für Gigabit-Ethernet-Netze. Beide verwenden dieselbe Logik, um Angriffe zu erkennen. Entweder arbeiten sie mit Methoden der Protokollanalyse oder sie überprüfen den Datenverkehr auf verdächtige Muster.
Gute Performance-Statistiken für den LAN-Verkehr sind schwer zu ermitteln. Dabei ist es nicht so sehr eine Frage, wie viele Attacken ein NIDS in kurzer Zeit erkennt - auch wenn Testlabors dies als die einzige Kenngröße der Alarmanlagen betrachten. Vielmehr kommt es darauf an, wie zuverlässig die Geräte extrem dünn gesäte Hackerpakete aus einem ansonsten normalen Netzverkehr herauspicken. Vielfach sind es nicht massenhafte Angriffe, die einem NIDS Probleme bereiten, sondern die "Nadel im Heuhaufen" - vor allem dann, wenn die übertragenen Daten zum Teil mit SSL verschlüsselt sind. Die Abwehrsysteme verstehen keine kodierten Pakete und verschwenden viel Zeit, nur um zu erkennen, dass sie mit chiffrierten Daten nichts anfangen können.
Intrusion Detection versagt unter Last
Der zweite Problempunkt ist die Paketgröße. Hersteller beziehen ihre Performance-Angaben häufig auf 1024 Byte große Pakete. Dabei senken kleinere Datenhappen die Scan-Geschwindigkeit massiv. Ein dritter Faktor, der das Arbeitstempo einer Hackerabwehr beeinflusst, ist die zu Grunde liegende Policy. Typischerweise speichern NIDS-Geräte viele hundert Signaturen, die sie ständig mit dem Datenstrom vergleichen. Je mehr Muster sie prüfen, desto länger brauchen sie. Am längsten sind Produkte beschäftigt, die nicht mit den Methoden der Protokollanalyse arbeiten.
Zu viele Variablen erschweren die exakte Bestimmung der Perfomance einer NIDS-Appliance. Im Schnitt schafft ein 10/100-MBit/s-Monitor 60 bis 80 MBit/s, während ein Gigabit-Sensor 400 bis 600 MBit/s meistert. Das entspricht einer Auslastung von 60 bis 80 Prozent bei Fast-Ethernet und 40 bis 60 Prozent in einem Gigabit-Netz. In geteilten Hub-Segmenten wird eine NIDS kaum an ihre Grenzen stoßen, weil dort die Auslastung nicht über 40 Prozent steigt. Sobald aber Switches ins Spiel kommen, welche die Auslastung auf den Leitungen deutlich erhöhen, kommen die Alarmanlagen schnell ins Schleudern.
Stark "geswitchte" Umgebungen werden den Security-Spezialisten eines Unternehmens arge Kopfschmerzen bereiten, wenn es darum geht, eine Intrusion Detection einzurichten. Im Gegensatz zu einem Hub genügt es bei einem Switch nicht, das NIDS an einen der Ports anzuschließen. Eine Lösung bringt der Span- oder Mirror-Port eines Switches, auf dem die Datenpakete aller Ports in einer Kopie zusammenlaufen. Dabei entstehen jedoch gewaltige Probleme mit der Bandbreite. Selbst in einem schwach ausgelasteten Fast-Ethernet-LAN, wo jeder Ausgang eines Zehn-Port-Switches nur zu zehn Prozent genutzt wird, hat ein Fast-Ethernet-NIDS 100 Prozent Auslastung zu bewältigen. Damit wird die Box aber nicht fertig. Sie bewältigt nur 40 bis 60 Prozent davon. Die restlichen Pakete schickt sie ungeprüft weiter.
Noch schlechter liegen die Dinge, wenn jeder Port des Switches zur Hälfte ausgenutzt wird. Der Mirroring-Mechanismus versucht dann, 500 MBit/s durch einen 100-MBit/s-Ausgang zu "quetschen", was nicht gelingen kann. Abhilfe könnte ein Gigabit-Mirror-Port schaffen. Dieser reduziert jedoch die Performance des Switches um 10 bis 20 Prozent. Das ist nicht viel, führt aber oft zu Auseinandersetzungen zwischen dem Security-Verantwortlichen und dem Netzadministrator. Nicht genug damit, dass der Sicherheits-Manager einen Gigabit-Port "stiehlt", heißt es dann. Obendrein bremst er auch noch den Switch. Aber selbst wenn die Sicherheitargumente siegen, wird das am Mirror-Port angeschlossene Gigabit-NIDS Pakete verlieren, weil es mitunter nur 400 MBit/s managt.
Geschäftskritische Netze benötigen redundante, ausfallsichere Komponenten. Zugangs-Router werden daher oft durch "asymmetrisch geroutete Netze" ersetzt, welche die Verfügbarkeit der Verbindung verbessern und gleichzeitig die Performance erhöhen. Eine einfache asymmetrische Schaltung besteht aus vier Routern (siehe Grafik), die so miteinander vernetzt sind, dass jedes Datenpaket sie auf einem von vier möglichen Wegen durchläuft. Dabei werden Datenströme zerhackt und erst von den Zielrechnern wieder zusammengesetzt. Ein NIDS erkennt Angriffe jedoch nur anhand eines vollständigen Datenstroms. Wenn ein Hacker zum Beispiel eine "cgi-bin"-Attacke auf einen Webserver startet, könnte er Folgendes eingeben: "http:\\www.ziel.com/cgi-bin/test-cgi?*". Mit dem Uniform Resource Locator (URL) fragt er eine Liste aller Dateien und Unterverzeichnisse des Script-Directory ab. In einer asymmetrischen Schaltung wird der Strom vielleicht in die Bestandteile "www.tar", "get.com", "/cgi-bi", "n/test-c" und "gi?*" zerlegt, die jeweils auf einem von vier Wegen ins Netz gelangen. Selbst wenn an jedem der Front-Router ein NIDS den Span-Port überwacht, sieht ein Sensor immer nur eine Hälfte der Pakete. In asymmetrischen Schaltungen müssen die Datenströme daher wieder zusammengefügt werden, bevor sie zu einem Scanner gelangen.
Abhilfe durch Loadbalancer
All die genannten Probleme lassen sich mit Intrusion-Detection-Tools alleine nicht lösen. Nur eine Technik, die mehrere Sensoren kombiniert, kommt mit der hohen Auslastung in geswitchten Netzen zurecht. So genannte Flow-gestützte oder "Session Aware", auf deutsch "sitzungsorientierte", Loadbalancer verteilen die Netzlast auf mehrere Leitungen, wobei sie darauf achten, dass sie einzelne Datenströme nicht auftrennen. Sie können den Gigabit-Output des Mirroring-Ports in kleine Portionen zerlegen, die von mehreren NIDS bewältigt werden. Auch asymmetrische Router-Netze lassen sich damit in den Griff kriegen. Session-gestützte Loadbalancer von F5 Networks, Nortel Networks und Foundry Nertworks oder spezielle Security-Loadbalancer wie "IDS Balancer" von Toplayer Networks oder "Fireproof" von Radware führen die Pakete einer redundanten Schaltung zusammen und ordnen sie nach Datenströmen zu verschiedenen Anwendungen.
Der Einsatz eines Loadbalancers gewährleistet nicht nur, dass das NIDS alle Datenströme von Fast- oder Gigabit-Ethernet-Links scannt. Die Geräte geben dem Anwender mehr Möglichkeiten beim Gestalten der Abwehrarchitektur. So kann er mit einem Lastenverteiler mehrere Verbindungen niedriger Bandbreite von einem NIDS kontrollieren lassen.
Die zusätzliche Flexibilität macht sich auch in geswitchten Netzen bezahlt, die ohne Loadbalancer im günstigsten Fall über einen Flow-Mirroring-Port überwacht werden, der die Performance des Switches belastet. Besser funktioniert die Beobachtung mithilfe von Taps, die, in eine Leitung geschaltet, den kompletten Verkehr kopieren. Allerdings verdoppeln sie den Sende- und den Empfangskanal einer Ethernet-Verbindung von einander getrennt und geben die Signale auf zwei Ports aus. Ein Alarmmelder ist daher überfordert, weil er immer nur die eine oder die andere Hälfte der Kommunikation zu beobachten vermag. Hier hilft ein Lastenverteiler, der beide Stromrichtungen wieder zusammenführt, und somit auf die Kontrolle durch ein oder mehrere NIDS vorbereitet.
zur Person
Simon Edwards
ist "Technical Evangelist" - auf deutsch "technischer Visionär" - bei Toplayer Networks.