![[Aufmachergrafik: heller, corporate design]](05-4-049-0.jpg)
Alarmanlage fürs Netz Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) Alarmanlage fürs Netz Intrusion-Detection- und -Prevention-Systeme (IDS/IPS)Das schnelle Erkennen und Abwehren von Netzwerkangriffen wird immer mehr zu einem Wettlauf gegen die Uhr und gegen zunehmend professionelle Angreifer. Die Zeitfenster, die einem Unternehmen für das Einspielen von Sicherheitspatches bleiben, werden immer kürzer. Einer Studie der Yankee Group zufolge zielen Angriffe zudem zunehmend auch auf Schwachstellen von Security-Lösungen: Ein Grund dafür sei, dass die einfach auszunutzenden Sicherheitslücken beispielsweise in Windows weniger werden. Zudem seien die Verwundbarkeiten von Sicherheitsprodukten noch nicht umfassend thematisiert, was sie zu lohnenswerten Zielen für die Angreifer macht, orakeln die Marktforscher.
Intrusion-Detection-Systeme (IDS) sollen – so eine Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) – die Lücken schließen, die Firewalls, Virtual Private Networks oder Anti-Viren-Software nicht abdecken können. Dabei wird die Sicherung eines Netzwerks oft mit der Sicherung eines Gebäudes verglichen: Dabei entspricht etwa eine Firewall dem Türschloss, das unerwünschte Besucher am Eindringen hindern soll. Dem Intrusion-Detection-System kommt dann die Funktion einer Alarmanlage zu: Es erkennt Eindringlinge oder Einbruchspuren und alarmiert die Administration.
Ein IDS erhebt dazu zunächst über Sensoren Daten vom momentanen Zustand der überwachten Computersysteme oder -netze und korreliert diese anschließend. Das zentrale Sammeln der Informationen ist dabei von elementarer Bedeutung. Denn Angriffe und interner Missbrauch durch Mitarbeiter lassen sich oft nur erkennen, indem einzelne, zunächst unbedeutend erscheinende Ereignisse miteinander in Bezug gesetzt werden.
Zur Erkennung von Angriffen, Einbrüchen und Sabotageversuchen wird auf unterschiedliche Daten und Auswertungsmethoden zurückgegriffen. In eine solche Analyse sollten neben den Logfiles der Betriebssysteme, in denen zumeist alle Systemdienste ihre Meldungen sichern, zusätzlich Protokolldateien von Web-, File- und anderen Applikationsservern einfließen. Nachteil der Auswertung von Logfiles: Gefahren werden erst im Nachhinein erkannt und Gegenmaßnahmen unter Umständen zu spät eingeleitet. Manche Systeme überwachen ausgewählte Systemfunktionen auch zusätzlich durch eigene Softwarekomponenten (Agenten), um schneller oder gezielter Informationen zu sammeln.
Die Übertragung der oft beträchtlichen Datenmengen von den Host-Systemen über das Netzwerk kann letztlich eine nicht zu vernachlässigende Netzlast darstellen, die oftmals durch Vorfilterung und somit eingeschränkte Auswertungsmöglichkeiten ausgeglichen werden muss.
Ein anderes Überwachungskonzept verfolgen netzwerkbasierte Intrusion-Detection-Systeme (NIDS): Sie suchen und erkennen typische Angriffsmuster (Signaturen) im Datenstrom. Ein solches Muster kann beispielsweise das gezielte Abfragen von Ports, ein sich ständig wiederholender Verbindungsaufbau von einem Quellrechner oder eine Folge bekannter Aktionen eines Hacker-Tools sein; oft verraten auch Schlüsselwörter wie "Debug" einen Angreifer. In einem NIDS sind eine Vielzahl von verschiedenen Mustern hinterlegt, mit deren Hilfe das System den Datenverkehr ständig analysiert. Um sich vor neuen Angriffen zu wappnen, ist – wie bei Virenscannern – ein stetiges Update der Musterdatenbank erforderlich. Diese Form der IDS-Überwachung wird auch als Missbrauchserkennung bezeichnet.
Ergänzt wird diese Überwachung eventuell durch eine Anomalieerkennung: Hierbei versucht ein IDS die Folgen von erfassten Aktionen für das System abzuschätzen und potenzielle Gefahren durch Abweichung vom "Normalen" zu erkennen. Das System-Monitoring registriert dazu beispielsweise sprunghafte Änderungen der Auslastung von CPU, Netzwerkverbindungen oder anderen Performance-Parametern. Für die Auswertung der so gesammelten Daten können diese wiederum mit hinterlegten Mustern verglichen werden. Möglich ist auch, dass das IDS Systemänderungen selbstständig bewertet und damit bisher unbekannte potenzielle Angriffe feststellen kann.
Ein wesentlicher Vorteil eines IDS gegenüber Sicherheitssystemen, die an der Netzwerkgrenze wachen, ist, dass sich damit nicht nur Angriffe von außerhalb des Unternehmensnetzes entdecken lassen. Auch Missbrauch durch eigene Mitarbeiter oder andere Innentäter, etwa Datendiebstahl oder Spionage, kann hiermit entdeckt werden. Ein Intrusion-Detection-System ergänzt somit eine Firewall, die letztlich nicht zwischen "Gut und Böse" unterscheidet, sondern in erster Instanz Datenpakete anhand von Quelle und Ziel passieren lässt oder ablehnt.
Doch leider haben sich Intrusion-Detection-Systeme in der Praxis als "nicht ganz unproblematisch" erwiesen: Besonders die Konfiguration der Systeme stellt hohe Anforderungen – es muss genau festgelegt werden, wonach zu suchen ist und dies ist in der Regel alles andere als einfach. Das grundlegende Problem ist schon aus der Gebäudesicherung bekannt: Ein zu unempfindlicher Sensor "übersieht" eventuell Eindringlinge oder Angriffsversuche, eine zu empfindlich eingestellte Alarmanlage löst jedoch häufige Fehlalarme aus, die unter Umständen zu einer Desensibilisierung der mit der Überwachung betrauten Mitarbeiter führen können.
Der Umgang mit Alarmmeldungen ist stets eine Gratwanderung zwischen einem möglichst hohen Sicherheitsstandard und der eingeschränkten Zeit, die dem Personal zur Bearbeitung eines Vorfalls zur Verfügung steht.
Vor allem eine hohe Anzahl an "False Positives" – also falschem Alarm – stellt auch IT- und Sicherheits-Administratoren bei IDS-Implementierungen vor große Herausforderungen. Eine detaillierte Analyse der Netzwerkarchitektur, des verwendeten Equipments, der Anwendungen sowie der Betriebsprozesse und Sicherheitsanforderungen ist daher ebenso erforderlich wie eine ständige Anpassung des IDS. Ein System sollte so eingerichtet sein, dass es einerseits nicht zu viele Fehlalarme meldet, andererseits aber auch möglichst alle Angriffe erkennen kann.
Ein solches Alarmsystem kann jedoch nicht mehr vollautomatisch und unbeaufsichtigt laufen, sondern erfordert eine Überwachung rund um die Uhr: Für die Konfiguration eines genau an die Bedürfnisse angepassten Systems benötigt man umfassendes Know-how. Speziell ausgebildete Mitarbeiter müssen die automatisierten Systeme bei der Erkennung von Angriffen und der Einleitung von entsprechenden Gegenmaßnahmen unterstützen. Wo personelle oder finanzielle Ressourcen oder die Expertise hierzu fehlen, kann eventuell die Nutzung eins IDS als Managed Service infrage kommen (vgl. S. 52).
Beim Aufbau, bei der Pflege und Verwaltung einer Sicherheitsinfrastruktur sind jedenfalls Spezialisten gefragt. Denn inzwischen gibt es eine Vielzahl von IDS-Produkten, die sich in sehr unterschiedlichen Stadien der Marktreife befinden. Jedes Unternehmen muss in dieser Vielfalt eine passende Lösung finden und auf die individuellen Gegebenheiten ausrichten. Eine umfassende Analyse der eigenen Infrastruktur und Sicherheitsanforderungen sowie eine sorgsame Planung sind hier Schlüsselfaktoren.
----------Anfang Textkasten----------
Abhängig von der Struktur und Ausstattung eines Unternehmensnetzes bieten sich unterschiedliche Intrusion-Detection-System-(IDS-)Varianten an. Host-basierte IDS analysieren zunächst Betriebssystem- und Applikations-Protokolle und gegebenenfalls weitere Daten von Überwachungsprogrammen auf den jeweiligen Rechnern. Die Ergebnisse der Einzelanalysen werden im Anschluss zentral verglichen und ausgewertet – verdächtige Aktivitäten führen zum Alarm.
Ein netzwerkbasiertes System analysiert an einem oder mehreren Netzknoten die beförderten Datenpakete. Besonders wirkungsvoll ist die Integration solcher Systeme mit Firewalls, die E-Business-Applikationen und das gesamte Verwaltungsnetzwerk vor Eindringlingen schützen. Auffällige Muster im Informationsaustausch, die auf unerlaubte Aktivitäten schließen lassen, werden so zuverlässig erkannt. Netzwerk- und hostbasierte Systeme können zudem auch zu einer Lösung kombiniert werden.
Die Auswahl der besten Lösung hängt stark von den Gegebenheiten und Anforderungen des überwachten Netzes ab und wird durch ein umfangreiches Angebot etlicher IDS-/IPS-Lösungen mit stark unterschiedlicher Marktreife noch erschwert.
Auch nach der Entscheidung für ein konkretes System bleiben Implementierung und Fein-Tuning eine beachtliche Herausforderung. Pauschale Empfehlungen erscheinen hier unmöglich, eine umfassende Analyse- und Planungsphase unumgänglich – gegebenenfalls empfiehlt es sich, auf externes Know-how in der Aufbauphase oder sogar zum gesamten Betrieb zurückzugreifen.
----------Ende Textkasten----------
Insgesamt zeichnet sich im Markt ein Trend zu so genannten Intrusion-Prevention-Systemen (IPS) ab, die nicht nur alarmieren, sondern bei erkannten Angriffen auch aktiv Maßnahmen ergreifen. Die Analysten der Meta Group (mittlerweile von Gartner übernommen) rechnen hier mit einem Zuwachs von über 30 Prozent innerhalb eines Jahres.
IPS versprechen einem Unternehmen eine unmittelbare Reaktion auf Bedrohungen und sollen der IT einen temporären Schutzschild bieten, zum Beispiel während des Einspielens von Patches.
Intrusion-Detection-Systeme sollen parallel weiterhin zur kontinuierlichen Verbesserung der IT-Sicherheit beitragen. Und das scheint gefragt zu sein: Das Marktforschungsunternehmen Infonetics Research geht jedenfalls davon aus, dass der Intrusion-Detection- und Intrusion-Prevention-Markt bis 2008 auf ein Umsatzvolumen von 935 Millionen US-Dollar steigen wird.
Klaus Martin ist Practice Manager Security bei Siemens Business Services
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#4, Seite 49
| 