Intrusion-Detection- und Prevention-Systeme – Geschicktes Tuning statt Plug-and-Play

Wo platzieren?

Wo sind nun IDS und wo IPS zu platzieren? Das National Institute of Technology (NIST) in den USA empfiehlt den Einsatz überall dort, wo Netzwerkverkehr aus „öffentlichen Bereichen in kontrollierte oder private Bereiche“ eintritt – der Perimeter-Security-Ansatz, also zwischen Internet/Extranets und dem eigenen Intranet in der demilitarisierten Zone (DMZ).

Im Prinzip richtig für den Start einer Implementierung. Wenn man sich aber den Perimeter genauer anschaut, wird man feststellen, dass dieser zunehmend verwässert. Nicht mehr allein rund um die DMZ und Remote-Access (RAS)-Zugänge kommt dieser Verkehr ins eigene Netzwerk. Systeme, die zuvor in öffentlichen Bereichen angeschlossen waren und somit potenzielle Risiken in sich tragen, werden direkt im eigenen Netzwerk angeschlossen - die Auflösung der traditionellen Unternehmensgrenzen ist in vollem Gange. Beispiele sind die viel diskutierten Laptops von Außendienstmitarbeitern, aber auch von Gästen und Service-Technikern, die sich am Netzwerk anschließen.

Daher sollte im Konzept auch die Überwachung und der Schutz des internen Netzwerks enthalten sein. Da diesem Bereich des Netzes die wenigsten Beschränkungen auferlegt sind, kann hier der Schaden besonders groß sein. Der Positionierung im eigenen Netz kommt daher eine große Bedeutung zu, damit auch der gesamte relevante Verkehr kontrolliert werden kann.