Intrusion-Detection- und Prevention-Systeme – Geschicktes Tuning statt Plug-and-Play

Angriffswege

Um Intrusion Detection effektiv einzusetzen, sollte man sich zuvor nochmals alle Schritte der Gegenseite bewusst machen. Angreifer gehen immer in bestimmten Schritten vor und jeder dieser Schritte kann bei entsprechender Interpretation zur Erkennung eines Angriffs führen. Zunächst steht das Footprinting an, die Analyse der potenziellen Ziele. Entweder handelt es sich um Personennamen, IP-Adressen von Mail-Servern oder um DNS-Informationen. Hier kann ein unerlaubter DNS-Zonentransfer einen Hinweis liefern.

Danach erfolgt das Scanning, um aktive Dienste auf den Zielsystemen zu ermitteln. Eine Erkennung von Scans im Intranet kann als Hinweis auf einen Angriff oder eine Virus-/Wurmausbreitung dienen. Als nächsten Schritt wird der Angreifer auf die Enumeration übergehen, die Ermittlung von Benutzerkonten und oft gesehenen Schwachstellen von Diensten und Betriebssystemen, die beim Scanning ermittelt wurden. Dies ist zum Beispiel auch durch unerlaubte Logon-Versuche erkennbar. Weiterhin wird die Gesamttopologie des Netzes bestimmt. Danach erfolgen das Login und die Erweiterung der Rechte durch die Ausnutzung von Schwachstellen, etwa Buffer-Overflow-Attacken. Insbesondere hier kann das IDS/IPS-System bei einer versuchten Ausnutzung von Schwachstellen eingreifen.

Danach werden oft Backdoors installiert, damit der Angreifer später problemlos wieder vollen Zugriff auf das System erlangen kann. Ein Einfügen zusätzlicher Benutzerkonten geht oft damit einher, somit ist dies auch erkennbar. Kompromittierte Systeme können durch ein Netzwerk-IDS ausfindig gemacht werden, wenn es zur Analyse auf Backdoor-Tools im Datenverkehr konfiguriert ist. Ein Host-IDS kann hier genauso wie beim letzten Schritt zum Zuge kommen: Am Schluss versucht der Angreifer, die Spuren zu verwischen. Vor allem wird er versuchen, Log-Einträge zu löschen oder zu verändern. Deshalb kann eine Alarmierung bei kleiner werdenden Log-Dateien durch ein Host-IDS helfen. Dies alles macht deutlich, wie wichtig eine Kombination aus Netz- und Host-basierten Methoden für einen umfassenden Schutz und eine umfassende Erkennung ist.