Im Rahmen der Kostenreduktion wird auf alles verzichtet, was „nicht unbedingt notwendig ist“. Und es läuft ja auch - meist. Neue gesetzliche Regelungen zeichnen aber ein anderes Bild. Der Sarbanes Oxley Act (SOX) zum Beispiel spricht bei Compliance von Echzeit-Überwachungssystemen. Damit wird klar, dass eine kontinuierliche Überwachung der gesamten IT im Hinblick auf Angriffe notwendig wird. Je nach Sicherheitsbedarf sind auch versuchte Angriffe zu protokollieren. Ein Gebiet, für das Intrusion Detection System (IDS) im Speziellen geeignet ist.
Aber auch auf lokaler Ebene gibt es Vorschriften, die einer genauen Betrachtung des Themas IT-Sicherheit bedürfen, so zum Beispiel KonTraG: Die Geschäftsleitung trägt die Gesamtverantwortung. Der Aufsichtsrat haftet für fehlerhafte Kontrollmaßnahmen. Vorstände sind dem Unternehmen gegenüber verpflichtet, erkennbare Schäden und Risiken vom Unternehmen abzuwenden. Basel II wird durch das Ranking eines Unternehmens direkt auf den monetären Aspekt einwirken, also auf die Konditionen für Kredite.
Auch aus der Sicht potenzieller neuer Risiken spricht vieles für eine Investition in Sicherheitstechnologie: Der Trend geht von massenhaft vorgetragenen Angriffen zunehmend hin zu gezielten Aktionen, etwa mittels Spyware. Dabei spielt der Einfluss von kriminellen Gruppierungen auf den Markt eine immer größere Rolle. Es werden sogar Schadprogramme gezielt zur Spionage oder zur Erpressung der Wirtschaft entwickelt. Traditionelle Antiviren-Ansätze versagen hier typischerweise, da nur nach bekannten Virenprogrammen gesucht wird, jedoch nicht nach auffälligem Verhalten eines Systems oder Nutzers.
Was einsetzen?
Was sollte nun zum Einsatz kommen - IDS oder IPS? Der Trend geht klar in Richtung Prävention. Fast alle Hersteller von Intrusion-Detection-Systemen (IDS) haben sich auch in diese Richtung entwickelt. Laut Gartners „Magic Quadrant für Network Intrusion Prevention System Appliances“ sind Intrusion-Prevention-Systeme (IPS) prinzipiell IDS, die zusätzlich auch Signaturen für die eigentlichen Schwachstellen der Systeme und eine Anomalie-Erkennung enthalten.
Weiterhin besitzen IPS typischerweise eine höhere Performance für den Betrieb im Datenstrom (Inline-Betrieb). Dank diesem Betriebsmodus sind die Systeme in der Lage, Angriffe automatisch blockieren zu können. Einige IPS sind mit weiteren Sicherheits-Tools wie Antivirus, SPAM-Filter und Firewall kombiniert. Dies erscheint zunächst sinnvoll, bei näherem Hinsehen entpuppt sich die IPS-Funktion in diesen Geräten jedoch als sehr limitiert gegenüber dedizierten Appliances.
Zusätzlich wird es dem Angreifer damit leichter gemacht: Er muss nur noch ein System überwinden. Mal ganz abgesehen von den Performance-Implikationen eines solchen Systems. Daher sind dedizierte, verteilte Systeme zu bevorzugen, die zentral über ein Security-Management-System zusammengefasst und deren Ereignisse dann effektiv korreliert werden können.
Wo platzieren?
Wo sind nun IDS und wo IPS zu platzieren? Das National Institute of Technology (NIST) in den USA empfiehlt den Einsatz überall dort, wo Netzwerkverkehr aus „öffentlichen Bereichen in kontrollierte oder private Bereiche“ eintritt – der Perimeter-Security-Ansatz, also zwischen Internet/Extranets und dem eigenen Intranet in der demilitarisierten Zone (DMZ).
Im Prinzip richtig für den Start einer Implementierung. Wenn man sich aber den Perimeter genauer anschaut, wird man feststellen, dass dieser zunehmend verwässert. Nicht mehr allein rund um die DMZ und Remote-Access (RAS)-Zugänge kommt dieser Verkehr ins eigene Netzwerk. Systeme, die zuvor in öffentlichen Bereichen angeschlossen waren und somit potenzielle Risiken in sich tragen, werden direkt im eigenen Netzwerk angeschlossen - die Auflösung der traditionellen Unternehmensgrenzen ist in vollem Gange. Beispiele sind die viel diskutierten Laptops von Außendienstmitarbeitern, aber auch von Gästen und Service-Technikern, die sich am Netzwerk anschließen.
Daher sollte im Konzept auch die Überwachung und der Schutz des internen Netzwerks enthalten sein. Da diesem Bereich des Netzes die wenigsten Beschränkungen auferlegt sind, kann hier der Schaden besonders groß sein. Der Positionierung im eigenen Netz kommt daher eine große Bedeutung zu, damit auch der gesamte relevante Verkehr kontrolliert werden kann.
Netzdesign
Der Einsatz von IDS/IPS ist wie alles in der Informationssicherheit ein Prozess: Ein entsprechendes Sicherheitsniveau kann nur entstehen, wenn das System kontinuierlich überwacht und auf dem neuesten Stand gehalten wird. Man sollte sich hier nicht von „vollautomatischen“ Intrusion-Prevention-Systemen täuschen lassen: Der Stein der Weisen wurde auch hier noch nicht gefunden.
Wer übernimmt die Konfiguration und das Tuning, die Überwachung des Betriebs, das Update der Signaturen und die Analyse der protokollierten Ereignisse? Wie sieht die Vorgehensweise beim Auftreten von Ereignissen bestimmter Kategorien aus: Protokollierung von Angriffsversuchen (Logging der Datenpakete eines Angriffs inklusive Quell-, Zielinformation) aus Audit/Compliance-Gründen heraus, Ignorieren von Ereignissen, zugehörige Pakete verwerfen, System abschalten et cetera?
Diese Fragen müssen unbedingt vor der Konfiguration und Inbetriebnahme vollständig geklärt sein. Die Aufgaben können in einem Computer Incident Reponse Team (CISRT) zusammengefasst werden: Damit lässt sich effektiv auf Security Incidents durch zuvor klar definierte Abläufe reagieren. Zu weiteren Aufgaben eines CISRT gehören die Isolation von kompromittierten Systemen, die Suche nach weiteren Problemstellen, die Sammlung und Speicherung von Beweismitteln sowie die Kommunikation mit den betroffenen Stellen. Außerdem gehören die Wiederherstellung des Ausgangszustands, so weit möglich, und die Verhinderung weiterer Zugriffe/Angriffe auf die entsprechenden Systeme dazu.
Angriffswege
Um Intrusion Detection effektiv einzusetzen, sollte man sich zuvor nochmals alle Schritte der Gegenseite bewusst machen. Angreifer gehen immer in bestimmten Schritten vor und jeder dieser Schritte kann bei entsprechender Interpretation zur Erkennung eines Angriffs führen. Zunächst steht das Footprinting an, die Analyse der potenziellen Ziele. Entweder handelt es sich um Personennamen, IP-Adressen von Mail-Servern oder um DNS-Informationen. Hier kann ein unerlaubter DNS-Zonentransfer einen Hinweis liefern.
Danach erfolgt das Scanning, um aktive Dienste auf den Zielsystemen zu ermitteln. Eine Erkennung von Scans im Intranet kann als Hinweis auf einen Angriff oder eine Virus-/Wurmausbreitung dienen. Als nächsten Schritt wird der Angreifer auf die Enumeration übergehen, die Ermittlung von Benutzerkonten und oft gesehenen Schwachstellen von Diensten und Betriebssystemen, die beim Scanning ermittelt wurden. Dies ist zum Beispiel auch durch unerlaubte Logon-Versuche erkennbar. Weiterhin wird die Gesamttopologie des Netzes bestimmt. Danach erfolgen das Login und die Erweiterung der Rechte durch die Ausnutzung von Schwachstellen, etwa Buffer-Overflow-Attacken. Insbesondere hier kann das IDS/IPS-System bei einer versuchten Ausnutzung von Schwachstellen eingreifen.
Danach werden oft Backdoors installiert, damit der Angreifer später problemlos wieder vollen Zugriff auf das System erlangen kann. Ein Einfügen zusätzlicher Benutzerkonten geht oft damit einher, somit ist dies auch erkennbar. Kompromittierte Systeme können durch ein Netzwerk-IDS ausfindig gemacht werden, wenn es zur Analyse auf Backdoor-Tools im Datenverkehr konfiguriert ist. Ein Host-IDS kann hier genauso wie beim letzten Schritt zum Zuge kommen: Am Schluss versucht der Angreifer, die Spuren zu verwischen. Vor allem wird er versuchen, Log-Einträge zu löschen oder zu verändern. Deshalb kann eine Alarmierung bei kleiner werdenden Log-Dateien durch ein Host-IDS helfen. Dies alles macht deutlich, wie wichtig eine Kombination aus Netz- und Host-basierten Methoden für einen umfassenden Schutz und eine umfassende Erkennung ist.
Falsche Alarme vermeiden
Um die False Positive Rate (Rate der Fehlalarme) bei IDS/IPS gering zu halten, sollte man beim Einsatz von Systemen in Richtung Internet - vor der Firewall - unter anderem folgende Einstellungen beachten:
Es sollte keine Alarmierung oder Aktion bei Netzwerk-Scans erfolgen. Diese sind für sich allein nicht aussagekräftig, sie sollten aber mitprotokolliert werden. Dies kann für eine spätere Beweismittelsicherung oder zu Troubleshooting-Zwecken wichtig werden. Weiterhin ist keine Alarmierung beziehungsweise Aktion bei Windows-Backdoors wie etwa Back Orifice oder Netbus notwendig, solange die Firewall selbst nicht auf einem Microsoft-Windows-Betriebssystem läuft.
Jedoch ist auch hier eine Mitprotokollierung zu empfehlen. Ein Angreifer sucht eventuell nach Schwachstellen. Eine Alarmierung sollte erst bei Angriffen auf die Firewall selbst beziehungsweise bei DoS-Angriffen erfolgen. Ebenfalls ist eine Protokollierung von HTTP-, E-Mail-, CGI- und RPC-Angriffen zu empfehlen, wenn diese Dienste in der Firewall vorhanden sind.
Einstellung hinter der Firewall
Diese Einstellungen sollten hinter der Firewall im eigenen Netz und auch generell im Intranet wesentlich sensitiver sein. Hier wird ein IDS oft zur Überprüfung der Firewall-Konfiguration genutzt. Eine Empfehlung sieht wie folgt aus:
Eine Alarmierung oder Aktion erfolgt bei jeglicher Spyware-Erkennung sowie bei Microsoft-Windows-Backdoor-Angriffen - insbesondere bei einer externen Quelle. Ebenfalls ist eine Alarmierung beziehungsweise eine Aktion bei allen verfügbaren DoS-Angriffsmustern zu spezifizieren, da das Problem offensichtlich durch die Firewall hindurchgekommen ist. Jedoch sollten die zentralen Management-Plattformen, die oft durch ihre Arbeitsweise False Positives erzeugen (etwa durch „Scanning“), gefiltert werden. Das Gleiche gilt für alle Buffer-Overflow-Angriffe, auch wenn das Zielsystem keine Schwäche für diesen Angriff hat.
Dafür gibt es einen einfachen Grund: Es kann sich hierbei um einen Angriff auf Dritte aus Ihrem Netz handeln. Schlimmer noch, Ihr System könnte kompromittiert worden sein und dient nun als Host für neue Angriffe. Auch ist eine Protokollierung aller Netzwerk-Scans, Probes et cetera und eventuell die automatische Quarantäne des Endsystems durch zusätzliche Verfahren am Access Switch sinnvoll. Die Protokollierung aller sonstigen verdächtigen Ereignisse wie etwa Source Routes, IP-Fragmentation und doppelte IP-Adressen sollte ebenfalls nicht vergessen werden.
Leistungs-Tuning
Generell können zur Optimierung der Performance sowie zur Erkennung von NIDS-Umgehungsversuchen folgende Einstellungen vorgenommen werden:
Pakete mit kleinem TTL-Wert (Time To Live) können ignoriert werden, diese verwirft der nachfolgende Router sowieso. Dies gilt ebenfalls für Pakete mit falschen IP- und TCP-Prüfsummen. Des Weiteren können Pakete verworfen werden, die größer als die maximale Paketgröße im Segment sind und das DF (Don`t Fragment) Bit gesetzt haben. TCP Sessions müssen immer vollständig reassembliert werden, da Angriffe oft verteilt auf viele Pakete in einer Session sind. Sehr kleine IP-Fragmente sowie überlappende Fragmente sollten ebenfalls Alarm auslösen.
Um weitere Daten für eine kontinuierliche Optimierung der gesamten Sicherheitsumgebung zu gewinnen, sollten die gesammelten Ereignisprotokolle regelmäßig überprüft werden. Dazu gehört auch ein effektiver Change-Management-Prozess, der sicherheitsrelevante Konfigurationen vornimmt und Systeme regelmäßig mit Security Patches nach vorangehenden Tests versieht.
Verschlüsselte Pakete und Quarantäne-Regeln
Ein weiteres Augenmerk muss auf verschlüsseltem Datenverkehr liegen. Wie soll damit umgegangen werden? Eine Lösung kann der Einsatz eines Host-basierten Intrusion-Detection- und Prevention-Systems sein. Es sollte dann mit dem netzwerkbasierten System sehr gut integriert sein. Für eigene Server kann auch der Einsatz eines SSL-Beschleunigers interessant sein, der den Verkehr vor dem Server ver-/entschlüsselt, so dass wiederum ein netzbasierter Ansatz funktioniert. Externe Verbindungen sollten auf alle Fälle über einen Proxy mit Content Filter geroutet werden.
Systeme mit dauerhafter Quarantänefunktion (durch Änderung von Router- oder Firewall-Regeln, Abschalten von Switch Ports und Ähnlichem) für einzelne IP-Adressen sollten nur zum Einsatz kommen, wenn das Spoofing von Adressen im Netz ausgeschlossen werden kann. IP-Spoofing täuscht eine Quell-IP-Adresse vor, die dem Angreifer gar nicht gehört. Eventuell aber gehört sie dem potenziellen Ziel, das damit durch DoS-Angriffe oder durch eigene Quarantänemaßnahmen außer Gefecht gesetzt werden kann. Insbesondere in Richtung Internet sollte man ausschließlich Intrusion-Prevention-Systeme verwenden, die nur die Pakete eines Angriffs verwerfen. Quarantäne-Maßnahmen gegen einzelne IP-Adressen erfordern hier eine genaue Prüfung.
Fazit
Es gibt einiges zu beachten beim Einsatz eines IDS-Systems. Fehler in der Planungsphase machen sich hier noch mehr als bei anderen Projekten im Betrieb bemerkbar. Daher sollte das besondere Augenmerk auf diesem Aspekt liegen, damit das Projekt ein voller Erfolg werden kann. Viele Systeme bieten bereits entsprechende Voreinstellungen zur Angriffserkennung an. Aber jedes Unternehmen und jede Organisation ist anders: Applikationen, die z.B. in einer Forschung-und-Lehre-Umgebung üblich sind, können im Bereich Banken und Versicherungen als völlig unsicher klassifiziert sein und dürfen dementsprechend auch nicht eingesetzt werden.
IDS sind typischerweise so designt, dass sie zunächst alle verdächtigen Ereignisse im Netzwerk protokollieren können. Eine Kategorie von Organisationen und Unternehmen muss eventuell aus Audit-Gründen auch Hacking-Versuche mitprotokollieren, eine andere Kategorie ist nur an erfolgreichen Angriffen interessiert. IDS/IPS muss daher hoch konfigurierbar und transparent sein, um diesen Anforderungen gerecht zu werden. Auto-Learning und -Konfiguration entsprechen eher einem Wunschdenken als der Realität: Nur am Anfang eines Projekts scheint es einen Vorteil für Systeme zu geben, die sich „automatisch“ konfigurieren. Spätestens bei der ersten Ausnahme ertönt der Schrei nach einem flexiblen, konfigurierbaren System. Durch ein gut geplantes Projekt lässt sich der Tuning-Aufwand jedoch effektiv minimieren. (mja)
Markus Nispel ist Director Technology Marketing EMEA, Office of the CTO, bei Enterasys Networks.