Intrusion-Detection- und Intrusion-Prevention-Systeme überwachen den Verkehr in einem Netzwerk und sollen Angreifer hindern. Sie schlagen bei Eindringlingen Alarm (IDS) oder ergreifen gleichzeitig Gegenmaßnahmen (IPS).
Die Arbeitsweise von IDS und IPS sind annähernd gleich, bis auf den Unterschied, dass IPS Angreifer im besten Fall aussperren können. Die Systeme bestehen aus einzelnen Bausteinen, die unterschiedliche Aufgaben erfüllen.
In diesem Artikel wollen wir Ihnen die Arbeitsweisen beider Systeme näher bringen. Dabei werfen wir auch einen kurzen Blick auf Honeypots. Diese haben die Aufgabe, Angreifer abzulenken und Erkenntnisse über neue Attacken zu sammeln. Einen ausführlichen Artikel dazu finden Sie in „Praxis: Einsatz von Honeypots“.
Funktionsweisen
Zu diesem Zweck muss zuerst der in Frage kommende Datenverkehr gesammelt werden. Je nachdem welche Intrusion-Detection-Technik zum Einsatz kommt, sammelt das System Daten aus dem Netzwerk, schaut also in einzelne Datenpakete hinein, oder aber es befasst sich mit Systemdateien wie zum Beispiel Logfiles einzelner Server.
Anschließend analysiert das System diese Daten. Jedes Datenpaket kann theoretisch ein Angriff auf das Netzwerk sein, wird daher auf verdächtige Spuren untersucht. IDS sucht bei der Analyse zum Beispiel nach bekannten Signaturen in „mitgelesenen“ Datenpaketen oder befasst sich näher mit Anmeldeversuchen, die nicht funktionierten.
Sind die Daten untersucht, müssen die Ergebnisse weiterverarbeitet werden. Ist das System fündig, löst es zum Beispiel Alarm aus (IDS) oder leitet zusätzlich vordefinierte Gegenmaßnahmen ein, bevor der Angreifer Schaden anrichtet (IPS).
Lösungsansätze
Um mit IDS den Netzwerkverkehr zu beobachten, haben Administratoren verschiedene Möglichkeiten: Sie können das Firmennetz in Segmente aufteilen und in jedem Segment eine Überwachungs-Hardware positionieren, sie können aber auch eine Software auf allen zu schützenden Systemen installieren, wie zum Beispiel Web-, Mail- oder File-Servern.
Network-based Intrusion Detection System (NIDS)
NIDS überwachen den gesamten Verkehr in einem Datennetz. Je nach der Größe des Netzwerks empfiehlt es sich, einzelne Segmente einzurichten. So werden die NIDS nicht überlastet. Sind NIDS im Netz platziert, beobachten und erfassen sie den gesamten Datenverkehr in ihrem Segment.
Durch die Analyse dieser Daten kann die IDS etwa anhand von Signaturen feststellen, ob es sich bei den gesammelten Daten um normalen Verkehr oder um einen Angriff handelt. Das System bedient sich einer vordefinierten „Roten Liste“, in der gefährlicher Datenverkehr verzeichnet ist. Außerdem legt die Liste fest, wie mit diesen Daten zu verfahren ist.
Da NIDS den ganzen Datenverkehr mitlesen sollen, müssen sie wohlüberlegt platziert sein. Überlastete NIDS können sich negativ auf das gesamte Netzwerk auswirken. Deswegen bestehen Network-based-Intrusion-Dectection-Systeme in der Regel aus mehreren logischen Bausteinen.
Aufbau eines NDIS
Sogenannte Sensoren sind die eigentlichen Schnüffler. Sie erfassen die Daten aus dem jeweiligen Netzsegment und senden sie zur Analyse an einen entsprechenden Baustein. Für die Verwaltung der Sensoren sorgt die Managementstation. Mit einer Managementstation lassen sich die Sensoren bedienen.
Über eine Benutzeroberfläche können Administratoren auch die Ereignisinformationen anzeigen lassen, aus denen der Administrator ablesen kann, was gerade im Netzwerk passiert. Außerdem speichert die Managementkonsole Einstellungsparameter für die Sensoren.
Vor- und Nachteile eines NIDS
NDIS laufen auf eigenen Appliances, belasten also keine Endsysteme wie zum Beispiel Server. Zudem sind die Schnüffler für Angreifer schwer zu entdecken. Im so genannten Promiscuous Mode arbeiten die Systeme ohne eigene IP-Adresse und belauschen den Traffic nur passiv. Somit sind sie für Hacker schwierig aufzufinden. Netzwerkbasierte Systeme können zudem Angriffe erkennen, die sich nicht gegen ein bestimmtes Zielsystem richten.
Was spricht gegen ein NIDS?
Der größte Nachteil ist sicher, dass NIDS nicht das Verhalten des eigentlichen Angriffsziels sehen. Daher können sie so viel über die Attacke lernen und berichten, wie im Netzverkehr sichtbar war. Dazu kommt, dass NIDS in verschlüsselten Daten keine Ereignisse erkennen.
Host-based Intrusion Detection (HIDS)
HIDS laufen auf einzelnen Hosts, sammeln und analysieren alle Daten, die genau den Host betreffen. Sie interessieren sich nicht für den ganzen Netzwerkverkehr. Dadurch können HIDS, anders als NIDS, viel genauere Aussagen über die Angriffsart machen.
HIDS können den Angriff und die Folgen nachvollziehen, da sie selbst unmittelbar betroffen sind. HIDS beschäftigen sich nicht so sehr mit einzelnen Datenpaketen, sie überwachen mehr das System, auf dem sie laufen, und halten zum Beispiel Ausschau nach Trojanern. Zudem können sie auf Logfiles zugreifen, womit HIDS Einblick in Login-Versuche auf Betriebssysteme und Applikationen erhalten.
Vor- und Nachteile eines HIDS
HIDS laufen auf dem angegriffenen System selbst und können daher im Gegensatz zu NIDS die Reaktion des Hosts beobachten. Zudem müssen sie sich nicht mit dem ganzen Netzwerkverkehr befassen, nur mit dem, der die zu überwachende Plattform betrifft.
Schwächen der Host-basierten Intrusion Detection Systeme
HIDS sind vom Betriebssystem und den Applikationen auf dem jeweiligen Host abhängig. Für jede zu überwachende Hardware muss ein entsprechendes HIDS verfügbar sein. Zusätzlich brauchen die Überwachungsfunktionen Systemressourcen, der Betrieb belastet die zu überwachende Hardware. Im Gegensatz zu NIDS kann ein Angreifer eine Host-basierte Lösung einfacher erkennen.
Network Node-based Intrusion Detection (NNIDS)
NNIDS sind auch auf dem jeweiligen Zielsystem installiert. Der Vorteil ist, dass sie wie auch NIDS Datenpakete lesen und analysieren. Dabei beschränken sich allerdings auf Daten, die für das Zielsystem bestimmt sind, und auf solche, die von diesem gesendet werden. Zusätzlich beobachten NNIDS Ereignisse auf Betriebssystemebene (zum Beispiel fehlerhafte Anmeldeversuche).
Vor- und Nachteile der NNIDS
Da anders als bei NIDS nicht jedes Datenpaket untersucht werden muss, ist die Leistung eines solchen Systems gegenüber der Netzwerklösung deutlich höher. Allerdings können NNIDS nicht im Promiscuous Mode laufen, sind somit für Angreifer leicht zu erkennen und werden unter Umständen selbst zum Angriffsziel. Wie HIDS benötigen sie außerdem Ressourcen auf dem installierten System.
Wie wird ein Angreifer erkannt?
Ziel der Intrusion-Detection-Systeme ist es, Angriffe zu erkennen und Alarm zu schlagen. Um einen Angriff zu erkennen, müssen die geschnüffelten Daten analysiert werden. Es gibt zwei verschiedene Arten, Angriffe zu entdecken: Missbrauchs- und Anomalieerkennung.
Eine „beste Erkennungsmethode“ gibt es nicht, Sinn macht erst die Kombination der beiden Methoden. NIDS und NNIDS forschen meist nach Missbrauch und verbinden hier die Protokollanalyse mit Pattern Matching und Anomalieerkennung. Host-basierende IDS setzen vor allem auf Anomalieerkennung, sind aber in ihrer Leistung eingeschränkt, da immer definiert sein muss, was normal ist und was nicht.
Erkennen von Missbrauch
Die Missbrauchserkennung beruht auf bekannten Angriffsmustern. Über ein sogenanntes Pattern Matching (Bitmuster/Abgleich) untersucht das IDS den Datenstrom auf bekannte (Angriffs-)Bitmuster und vergleicht die gesammelten Daten laufend mit einer Datenbank.
Dadurch ist der Rechenaufwand beim Pattern Matching groß. Wenn das Netzwerk ohnehin stark ausgelastet ist, ist ein solcher Abgleich aller Datenpakete mit den Datenbanken kaum möglich. Es ist also ratsam, sich bereits vor der Installation eines IDS genau zu überlegen, wie sich das Netz am besten segmentieren lässt. So lassen sich Flaschenhälse durch ein NIDS bereits im Vorfeld verhindern.
Alternative: Protokollanalyse
Eine andere Möglichkeit, Angreifern auf die Schliche zu kommen, ist die Protokollanalyse. Ein sogenanntes „Normalverhalten“ im Netzwerk ist in den Protokollspezifikationen hinterlegt. IDS untersucht die Daten in den Datenpaketen mit Hilfe vorliegender Protokollinformationen und entscheidet, ob der Datenverkehr die Protokollspezifikationen erfüllt. Im Vergleich zum Pattern Matching ist der Rechenaufwand deutlich geringer.
Voraussetzungen
Unabhängig von beiden Methoden stellt die Missbrauchserkennung allerdings einige Anforderungen: Ein Angriff lässt sich nur erkennen, wenn er schon als Angriff bekannt und in der Signaturdatenbank hinterlegt ist. Des Weiteren muss diese bekannte Angriffssignatur dem IDS zugänglich gemacht werden, damit dieses die eingehenden Datenpakete vergleichen kann. Eine Signaturdatenbank ist daher immer ein zentraler Bestandteil des IDS.
Um eingehende Daten als gefährlich zu erkennen, müssen sie analysiert werden. Datenpakete werden aber mitunter in kleine Segmente zerlegt und ohne eine bestimmte Reihenfolge über das Netzwerk versendet. Sie schlagen also unter Umständen durcheinander und nicht hintereinander auf dem IDS auf. Das IDS muss die Datenpakete erst wieder in die richtige Reihenfolge bringen und die einzelnen Teile zusammensetzen, um die Nutzdaten vollständig überprüfen und abgleichen zu können.
Suche nach Anomalien
Eine weitere Möglichkeit, das Netzwerk nach Störenfrieden abzusuchen, ist die Anomalieerkennung. Dabei versucht das System Abweichungen vom Normalbetrieb zu erkennen. Die Schnüffler im Netz oder auf den Hosts halten Ausschau nach atypischen Verhaltensweisen des zu überwachenden Systemabschnitts. Um das System auf solche Ungereimtheiten zu untersuchen, muss zunächst einmal definiert sein, was „Normalzustand“ bedeutet. Was normales Verhalten ist und was nicht, lässt sich über logische oder statistische Ansätze festlegen.
Bei einer Anomalieerkennung mit Hilfe statistischer Daten geht das System davon aus, dass das Netzwerk im Falle eines Angriffs stark von den statistischen Kennzahlen des Netzes abweicht (zum Beispiel Datenaufkommen und Art der Pakete, Zahl der Anmeldeversuche). Das Normalverhalten eines Netzes wird in einer „roten Liste“ hinterlegt. Diese Liste kann verschiedene Angaben enthalten: Datenverkehr entsprechend der Tageszeit, CPU-Auslastungen, Zugriffsdauer, Nutzungshäufigkeit. Diese Mittelwerte samt Toleranzgrenzen sind auf dem System hinterlegt. Anomalie auf statistischer Basis kann nur als ergänzendes Erkennungsverfahren gelten, da Angriffe sehr wohl in einer normalen Umgebung stattfinden können und dann nicht als abnormal erkannt werden. Die Statistik hinterfragt allerdings nicht die zeitliche Abfolge der einzelnen Ereignisse. Unregelmäßigkeiten in dieser Abfolge könnten jedoch auch auf einen Angriff hinweisen.
Deshalb berücksichtigt eine programmierbare Logik auch die zeitliche Abfolge von Ereignissen. Auch hier ist das Normalverhalten in Regeln zusammengefasst. Wenn Angriffe also eine bestimmte Ereignisfolge bedingen, die nicht als Normalzustand des Netzes definiert sind, erkennen IDS diese Ereignisse als Anomalie.
Honeypots - Honigtöpfe für gierige Datendiebe
Honeypots stellen eine gute Möglichkeit dar, um die Anomalieerkennung zu verfeinern. Dabei handelt es sich um dezidierte Systeme im Netzwerk, die keine kritische Funktion erfüllen. Sie sind Fallen für Angreifer, täuschen sicherheitskritische und produktive Systeme vor.
Ein Honigtopf hat ein einfaches Normalverhalten: Es gibt nur wenige, vordefinierte Zugriffe auf das System, somit ist jeder Zugriff außer den vordefinierten anormal. Auf diese Art lassen sich Angriffe prima aufzeichnen und nachuntersuchen. Eine Prüfung der verschiedenen Angriffe deckt Fehlverhalten des eigenen Systems auf, die Schwachstellen können besser nachvollzogen und gegebenenfalls beseitigt werden.
Mehr rund um das Thema Honeypots haben wir für Sie in unserem Artikel „Der Einsatz von Honeypots“ zusammengestellt. Darin erfahren Sie Wissenswertes über die beiden Honeypot-Lösungen Tiny Honeypot und honeyd. Zudem erklären wir Ihnen die Installation und Verwendung.
Angriffsabwehr mit Intrusion-Prevention-Systemen (IPS)
Intrusion-Prevention-Systeme (IPS) sind eine Weiterentwicklung des IDS. Während IDS Angriffe nur erkennen können und protokollieren, sind IPS in der Lage, Angriffe abzuwehren. Hierfür gibt es zwei Arten von Abwehr: das IPS sitzt irgendwo im Übertragungsweg und sperrt beziehungsweise verwirft Datenpakete, die als Angriff erkannt wurden.
Die andere Möglichkeit ist, dass die IPS die Regeln für die Paketfilter beziehungsweise Application Level Gateway so anpassen, dass schädlicher Verkehr hierüber ausgefiltert wird. Wie bei IDS gibt es Systeme, die im Netz hängen, und Einheiten, die auf Hosts laufen. Angriffe erkennen IPS genau wie IDS über die Signaturen in den Paketen oder über Anomalien im Betrieb und im Datenstrom.
Das Wichtigste an einem IPS ist die Reaktionszeit. Um Angreifer auszusperren, muss das IPS alle Daten kontrollieren und bei Bedarf Gegenmaßnahmen einleiten, zum Beispiel temporäre Filter in der Firewall oder Unerreichbarkeitsmeldungen über ICMP an den angreifenden Rechner. Bis das alles abgeschlossen ist, kann der Angreifer schon durchgebrochen sein. Das IPS hat nur eine Chance, wenn es direkt im Übertragungsweg sitzt. So kann es Pakete sofort löschen anstatt sie weiterzuleiten. Zusätzlich kann es anschließend alle anderen ankommenden Daten der gleichen Verbindung löschen.
Verteidigungsszenarien mit IPS
IPS können auf zwei Arten arbeiten: Bei der sogenannten Fail-open-Technik werden bei einem festgestellten Angriff sofort Gegenmaßnahmen eingeleitet. Im Anschluss wird der nachfolgende Verkehr nicht überwacht, der Betrieb läuft ganz normal weiter. Anders bei der Fail-close-Strategie: Bei einem Angriff wird der Datenstrom sofort unterbrochen, ähnlich einer Firewall.
Für eines der beiden Konzepte muss sich der Administrator entscheiden, bei Fail open kann es sein, dass nach erkanntem Angriff zwar der Bösewicht beseitigt wird, nachfolgender bösartiger Verkehr kann das IPS aber ungehindert passieren. Bei Fail close dagegen ist das IPS schnell selber das Angriffsziel, welches sich durch DoS-Attacken lahmlegen ließe.
Eine andere Gefahr sind falsche Alarme (False Positives). Während ein IDS nur falsch alarmiert, schließt ein IPS unter Umständen bei falschem Alarm das ganze Netz, beziehungsweise echter bösartiger Verkehr dringt ins Netzwerk ein, weil das IPS gerade fälschlicherweise mit einem Angreifer beschäftigt ist. IPS sollten deshalb so konfiguriert sein, dass sie nur dann eingreifen, wenn es sich bei den beobachteten Datenpaketen ganz sicher um einen Angreifer handelt, ähnlich der Toleranzen eines IDS.
Fazit
IDS und IPS sind allerdings keine Garanten für ein abgeschottetes Netzwerk. Dennoch sind sie wichtige Teilbereiche in einem umfassenden Sicherheitskonzept. IDS und IPS bedürfen einer Administration und der Wartung, um zu funktionieren. Zudem müssen sie in bestehende und funktionierende IT-Infrastrukturen integriert sein. Ein sauberes Zusammenspiel zwischen den Systemen entscheidet dann langfristig über den Nutzen solcher Sicherheitswerkzeuge.
Dennoch machen beide Systeme Sinn. Gerade wenn Ihre Firma im Internet mit mehr als nur einer Homepage präsent ist, dann sind die Online-Funktionen vitale Teilbereiche. Eine Störung kann schnell für empfindliche Umsatzeinbußen sorgen. Durch die Signaturprüfungen lassen sich vor allem bekannte Angriffe effektiv abwehren. So schützen Sie sich effektiv gegen Script-Kiddies und andere „Zufallsattacken“. (mja)