![[Illustration]](50-1.jpg)
Ansatzpunkte verschiedener IDS
Die Situation heute: Bei einer Umfrage durch die Integralis im Mai 2001 hatten weniger als 10 % der Befragten eine regelmäßige Überwachung ihrer Firewallsysteme installiert. Fragt man die Security-Verantwortlichen, wie sie die Firewallsysteme denn überwachen, so bekommt man in der Regel das Folgende zu hören: "Na, ja... wir schauen da so ein- bis zweimal die Woche auf das Logfile der Firewall" oder "Ja, leider haben wir keine Zeit dazu, das geht im Tagesgeschäft ganz unter, aber wir sichern die Firewall-Logs auf CD." Es gibt aber auch durchaus prähistorisch anmutende Ansätze wie: "Wir fahren nach 17:00 Uhr und am Wochenende alle Systeme runter."
Betrachten wir einmal die Firewallumgebung (das ist nicht nur der Paketfilter, sondern auch Proxy, Virenscanner und Active-Code-Filter) als nicht wirklich unüberwindbares System, so muss man davon ausgehen, dass ein Angreifer, der es mit hohem Budget und Zeitaufwand versucht, Zugriff auf interne Netzwerke gewinnen kann. Welche Umstände führen zur Überwindung von Firewalls?
Hat man die Tatsache, dass Firewalls keine 100-prozentige Sicherheit bieten, erst einmal akzeptiert, so stellt sich automatisch die Frage, wie man die Sicherheit einer Firewallumgebung noch erhöhen kann. Welche Möglichkeiten gibt es?
Intrusion Detection Systeme (IDS) sind Rechnersysteme, die anhand von verschiedenen Verfahren Einbruchsversuche und erfolgreiche Einbrüche erkennen können. Dabei unterscheidet man zuerst einmal zwei verschiedene Ansätze.
Signaturbasierte Systeme basieren auf der Erkennung spezifischer Angriffsmuster. Dabei werden alle Ereignisse innerhalb von Kommunikationsvorgängen in verschiedenen Ereignisklassen zusammengefasst. Ereignisklassen, die logisch zusammenhängen, werden dabei zu Ereignismustern (Intrusion Signatures) zusammengefasst. Im Betrieb werden die auftretenden Ereignisfolgen mit den Ereignisfolgenmustern in der IDS-Signaturdatenbank verglichen und bei Übereinstimmung wird ein Alarm ausgelöst. Systembedingte Schwächen solcher IDS sind die Aktualität der "Intrusion Signature"-Datenbank und die Tatsache, dass diese Methode nur bereits bekannte Angriffe erkennen kann.
Derartige Systeme basieren auf der Möglichkeit, Angreifer durch auffälliges Verhalten aufzuspüren. Der Vergleich findet dazu gegenüber dem Normalzustand, also einem Mittel der letzten Wochen oder Monate, statt. Überwacht werden zum Beispiel Parameter wie:
Beim Aufsetzen solcher Systeme werden in der ersten Phase erst einmal die zu überwachenden Parameter über einen längeren Zeitraum erfasst und daraus ein statistisches Mittel inklusive eines Trends ermittelt. Anschließend ist es notwendig, anhand der ermittelten Trends Schwellenwerte zu definieren, bei deren Überschreitung ein Alarm ausgelöst wird. Führt nun ein Angreifer durch seine Angriffe dazu, dass ein Schwellenwert überschritten wird (zum Beispiel dadurch, dass er die Aktivität eines gebrochenen Nutzeraccounts sehr stark steigert), dann löst das IDS-System Alarm aus.
Die Nachteile dieser Systeme sind einmal die enormen Datenmengen, die pro Nutzer anfallen und deshalb den Einsatz extrem leistungsfähiger Systeme bedingen. Außerdem kann es natürlich auch im normalen Betrieb zu außergewöhnlichen Aktivitäten kommen, zum Beispiel wenn ein Mitarbeiter aus dem Urlaub wiederkommt und dann besonders viel und lange arbeiten muss.
Die modernen Systeme basieren in der Regel auf einer Kombination beider Ansätze und verschiedener Methoden. So werden durch Netzwerksensoren die Datenströme im Netz ausgewertet und mit Host-Sensoren die Protokolldateien und Konfigurationsdateien von Servern analysiert.
Ansatzpunkte verschiedener IDS
In der Realität können IDS die Sicherheit einer IT-Umgebung erheblich erhöhen. Viele Systeme können nicht nur alarmieren, sondern aufgrund vorgegebener Regeln auch reagieren, zum Beispiel durch Herunterfahren der Firewall.
Die Kosten für ein IDS lassen sich nicht so ohne weiteres bestimmen. Sie sind abhängig von der Größe des Netzwerkes, der Anzahl der Zugangspunkte, der Anzahl der verwendeten Hosts, die Anzahl der Subnetze etc. ...
Einer der Nachteile von IDS ist sicherlich, dass sie nicht individuell reagieren können. Ein bestimmtes Ereignis löst immer dieselbe Reaktion aus, und es gibt keinen Administrator oder Operator, der vorher noch einmal prüft, ob die Reaktion auch angemessen und sinnvoll ist.
Eine andere Lösung ist die 24-Stunden-Remote-Überwachung von Firewallsystemen. Dabei werden Logdateien und zum Teil auch Prozesse von Firewallsystemen online überwacht. Die Logdaten der Systeme werden dabei von Service Agents ausgewertet, die sich auf den Firewallsystemen befinden. Bei kritischen Ereignissen alarmiert der Agent eine "Alarmzentrale", in der sich qualifizierte Spezialisten um die weitere Bearbeitung des Vorfalls kümmern.
Die Remote-Überwachung von Firewall-Systemen kann verschiedene Dinge überwachen und auswerten:
Dabei gibt es in der Regel verschiedene Stufen, die von der Alarmierung bei Angriffen über die selbstständige Reaktion der "Alarmzentrale" bis hin zum kompletten Management der Firewallumgebung reichen. Wichtig bei der Remote-Überwachung ist, dass sie in Echtzeit stattfindet. Dadurch kann sichergestellt werden, dass bei gravierenden Vorkommnissen innerhalb einer definierten Zeit alarmiert beziehungsweise gehandelt wird.
Obwohl es auch Anbieter gibt, die aus Kostengründen 8x5-Stunden-Überwachung anbieten, sollte man in jedem Fall 24-Stunden-Überwachung wählen. Denn nicht alle Angreifer leben in derselben Zeitzone und meist werden sie auch nicht die 40-Stunden-Woche eingeführt haben.
Die Kosten für die 24-Stunden-Überwachung einer Firewallumgebung sind ebenso wie bei IDS stark variabel. Der Preis ist von der Anzahl der Firewalls, deren Funktionen und letztlich auch der Anzahl der geschützten IP-Adressen abhängig. Die Kosten, eine Rund-um-die-Uhr-Überwachung selbst zu realisieren, sind allerdings in der Regel ungleich höher: Zunächst braucht man erst einmal ein Team von fünf Personen für Schichtbetrieb, Urlaub und Krankheitsabdeckung. Damit hat man dann aber noch nicht einmal ein Vier-Augen-Prinzip erreicht. Wenn man mit Personalkosten von 150 000 DM pro Jahr rechnet, kommt man auf monatlich 62 499 DM. Das lohnt sich sicherlich für sehr große Firewallumgebungen ab 20 unabhängig voneinander gemanagten Knoten, ist aber für mittlere bis kleine Umgebungen viel zu teuer.
Wenn man schon einen 24-Stunden-Benutzerservice hat, liegt die Idee nahe, dem Benutzerservice auch die Überwachung der Firewall zu überlassen. Dagegen spricht allerdings die Tatsache, dass die meisten Mitarbeiter im First-Level-Support nicht unbedingt Firewallexperten sind. Außerdem ist fraglich, ob während der ohnehin stressigen Tätigkeit noch Zeit zur Kontrolle der Security-Umgebung bleibt.
In der Praxis treten bei der Überwachung von Firewallumgebungen ständig Angriffe auf. So werden zum Beispiel in der Alarmzentrale der Integralis täglich etliche Host-Scans registriert: Versuche, auf verschiedenen IP-Adressen innerhalb eines Netzes bestimmte Dienste ausfindig zu machen. In erster Linie handelt es sich dabei um Scans nach bekannten Trojanern wie Netbus, SubSeven, BackOrifice, HackAttack und ähnlichen Tools. Es gibt aber auch Scans nach bekannt unsicheren Unix-Diensten wie Telnet, SMTP, FTP etc.
Hin und wieder wird auch Alarm ausgelöst, weil jemand erfolglos versucht hat sich auf der Firewall-Management-Console einzuloggen. Doch dabei handelt es sich in der Regel um die Mitarbeiter des Kunden, die zwar berechtigt sind, aber gerade das falsche Passwort eingegeben haben.
Dass es keine 100-prozentige Sicherheit gibt, ist mittlerweile den meisten IT-Sicherheitsverantwortlichen bewusst. Trotzdem haben nur wenige Unternehmen eine Überwachung ihrer Firewallumgebung etabliert. Die Gründe hierfür sind sicherlich mangelndes Unsicherheitsbewusstsein im Management, Personalmangel, Angst vor der Komplexität und den Kosten.
Wer mittlere bis hohe Sicherheitsanforderungen hat, dem ist dringend anzuraten seine Firewallumgebung ständig zu überwachen. Ideal ist dabei die 24-Stunden-Überwachung durch qualifiziertes Personal, das im Fall von Störungen oder Angriffen individuell reagieren kann. Optimal ist es dabei, wenn diese Überwachung auf den Logfile-Daten von Firewalls und IDS beruht.
Ein positiver Nebeneffekt bei der statistischen Auswertung von Angriffsversuchen ist übrigens die Rechtfertigung der Kosten für IT-Sicherheit vor der Geschäftsleitung. Durch detaillierte Statistiken ist es den Security-Verantwortlichen in der Regel möglich das oft gehörte "Ach, für uns interessiert sich doch keiner"-Argument zu entkräften.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2001, Seite 50
