Marktübersicht IDS
Ordnungsmerkmale
erschienen
in: <kes> 2003#3, Seite 69
Rubrik:
Systeme und ihr Umfeld
Schlagwort: Intrusion Detection
Systems
Zusammenfassung: Zwölf Anbieter haben
der <kes> auf Nachfrage Auskunft über 13 Lösungen
zur Angriffserkennung gegeben.
Mittlerweile gibt es am Markt eine ganze Reihe von Intrusion
Detection Systems (IDS). Naturgemäß kann eine
vergleichende Übersicht in Tabellenform nicht jedem Detail
eines Produktes gerecht werden. Andererseits würde eine
beschreibende Darstellung wiederum die Übersicht erschweren.
Daher haben wir die gedruckte Tabelle auf die wesentlichen
Vergleichskriterien beschränkt – in der
Internet-Fassung, die in ein Java-Recherche-Tool eingebettet ist,
finden Sie zusätzliche Informationen als "Freitexte".
Erläuterungen zur Tabelle
- Produkt verfügbar als: Mit Komplettsystem
ist handelsübliche Hardware mit vorinstallierter Software
gemeint. Im Unterschied dazu bezeichnet Appliance ein System
mit proprietärer Hardware.
- Analyse: Missbrauchserkennung ist
Angriffsmustererkennung durch Signaturen und Pattern Matching. Bei
der Anomalie-Erkennung versucht ein IDS hingegen, auf
verschiedene Art und Weise, eine Attacke zu erkennen: Entweder
logisch durch eine Protokollanalyse oder statistisch,
indem Abweichungen vom vorher festgelegten "Normalverhalten" im
Netzwerk gemeldet werden; fortlaufende Justierung bedeutet
in diesem Fall, dass die Normal-Parameter ständig angeglichen
werden. Die Angabe KI bedeutet, dass das IDS die Auswertung
durch ein Expertensystem mit "künstlicher Intelligenz" (KI)
unterstützt. Falle bezeichnet das Vorhandensein eines
so genannten Honeypot-Systems, bei dem man versucht, Angreifer in
eine künstliche, besonders beobachtete Umgebung zu locken, um
Attacken zu erkennen. Randbedingungen: Beantwortet, ob
sicherheitsrelevante Randbedingungen (Tageszeit, Urlaubs-/Feiertage
usw.) "importiert" und berücksichtigt werden können
.
- Host-/Network-IDS: Unter Host-IDS sind alle
Überwachungsmaßnahmen zusammengefasst, die auf Basis
eines einzelnen Systems greifen (Agenten, Logfile-Auswertungen,
Applikationsüberwachung usw.), als Network-IDS sind hingegen
alle Maßnahmen auf Netzwerk-Basis zu verstehen
(Sniffer-Prozesse, Appliance, Gateway im Datenstrom usw.).
- Integritätsüberwachung: gemeint ist die
Integritätsüberwachung des Host-Systems durch
Prüfsummen oder Ähnliches, im Gegensatz zur
Selbstüberwachung der Agenten, bei der es um eine
"Selbstschutz"-Funktion für die Integrität von
IDS-Komponenten geht.
- Stealth-Scan-Erkennnung: Bei Stealth-Scans vollziehen
Angreifer(-Tools) keinen vollständigen Verbindungsaufbau,
sondern schicken beispielsweise nur ein FIN-Paket.
Unicode-Erkennung: Können die Network-IDS-Komponenten
Unicode-Sequenzen dekodieren?
- Administration: Lassen sich Alarmkriterien vom
IDS-Anwender per temporärem Override außer Kraft
setzen? Mit Adhoc-Anfragen ist die Möglichkeit für
den Bediener gemeint, bei Bedarf ohne Regelwerk Anfragen an das IDS
zu stellen, um bestimmte Parameter zu ergründen. Eine weitere
Frage behandelt, ob das IDS ein Rollen-/Mehrbenutzerkonzept
für IDS-Anwender/-Administratoren unterstützt. Nicht
zuletzt ist wichtig, ob sich externe Informationsquellen
(Advisories usw.) in die IDS-Administration einbinden lassen,
sodass der Bediener eine schnelle und integrierte
Nachschlagemöglichkeit besitzt.
- Kommunikation der IDS-Komponenten: Neben der Frage, ob
die Kommunikation zwischen den IDS-Komponenten
verschlüsselt und/oder signiert stattfindet, ist
interessant, ob das IDS ein separates Netzwerkinterface
(IDS-Netzwerk) unterstützt, sodass Rückwirkungen
durch das angegeriffene Netz ausgeschlossen sind.
- Auditdaten-Schutz: Wird die Authentizität der
Audit-Daten (Logfiles) des IDS sichergestellt? Können
personenbezogene Benutzerdaten vor dem Speichern der
Audit-Daten pseudonymisiert werden?
- Software-Start/-Stopp: Kann das IDS Prozesse
(Applikationen, Skripte usw.) starten oder stoppen, um eine
Alarmierung oder Gegenmaßnahmen auszulösen?
- Audit-Maßnahmen: Mit passiv ist die
Rückwirkung auf die Protokollierung gemeint: Lassen sich Menge
und Detailgrad der Log-Daten als Reaktion auf einen erkannten
Angriff beeinflussen? Aktives Audit bezeichnet hingegen die
Möglichkeit, eine aktive Datensammlung über erkannte
Angreifersysteme zu starten, zum Beispiel per finger, identd,
OS-Fingerprinting, Portscan ...
- weitere Gegenmaßnahmen: TCP-Reset
bezeichnet das Zurücksetzen/Unterbrechen von TCP-Verbindungen.
Kann das IDS durch Änderung von Einträgen im
Domain-Name-System (DNS) oder Routing reagieren? Lassen sich
Firewall-Konfigurationen (Regeln) oder die
Zugriffsrechte von Benutzern/Servern auf angegriffenen
Systemen (temporär) umkonfigurieren?
Marktübersichts-Tabelle
Marktübersichtstabelle Teil 1 als JPG
(ca. 600 kByte)
Marktübersichtstabelle Teil 2 als JPG
(ca. 330 kByte)
Marktübersichtstabelle als interaktive Tabelle (InfoZoom,
erfordert Java)
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#3, Seite 69