Sicher vor dem Angriff

ID-Systeme: Ein kurze Typologie

»Intrusion Detection«-Systeme werden danach unterschieden, was sie überwachen: das gesamte Netzwerk, einen bestimmten Host oder nur eine einzelne Anwendung.

Das gesamte Netzwerk überwachende IDS versuchen, alle Datenströme im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden. Dazu sammeln sie Daten an einem oder mehreren neuralgischen Punkten und schicken entsprechende Berichte an eine Verwaltungskonsole.

Beim Host-IDS werden einzelne Systeme direkt überwacht. Zwei Einsatzgebiete lassen sich hier unterscheiden: das Betriebssystem (Kernel Space) und die installierten Anwendungen (User Space). Im »Kernel Space« werden zum Beispiel die Zugriffsrechte im System verwaltet, und es lassen sich dort die jeweils angemeldeten Benutzer unterscheiden. So kann an dieser Stelle geprüft werden, ob ein Benutzer ein bestimmtes Kommando ausführen möchte und ob er dies überhaupt darf. Das ist deshalb wichtig, da ein Angreifer auf ein System meist versucht, genau diese Regularien zu umgehen und Lücken in den Programmen zu nutzen. Damit sind der Kernel Space und das gesamte Betriebssystem eine bevorzugte Zielscheibe von Eindringlingen. Der »User Space« hingegen ist die Plattform, in der die Anwendungen ausgeführt werden. Hier überwacht das Host-IDS meist Log- Daten oder die Integrität von Konfigurationsdateien. Außerdem lässt sich dort prüfen, ob Anwendungen ausgeführt werden, die neue Netzwerk-Verbindungen und damit potentielle Hintertüren für Angreifer öffnen.

Mit Host-IDS kann ein lokales System umfassend überwacht werden. Es lassen sich damit viele lokale Attacken erkennen und sehr spezifische Aussagen darüber machen. Jedoch hat diese Methode auch einige Nachteile: So kann zum Beispiel ein Host-IDS mit so genannten »Denial of Service«- Attacken (DoS) überschwemmt werden. Hinzu kommt: Wird das System außer Gefecht gesetzt, ist auch das IDS lahmgelegt.

Moderne Analysemethoden ersetzen die Lupe

Generell lässt sich zwischen drei verschiedenen Methoden zur Erkennung von Angriffen unterscheiden: die Erkennung von Signaturen (Pattern Matching), die Protokollanalyse sowie die Erkennung von Anomalien (Behaviour Based Anomaly Detection).

• Signatur-Erkennung: Hier wird mit Signaturen gearbeitet, wie sie unter anderem auch bei Virenscannern zum Einsatz kommen. Diese befinden sich in einer Datenbank, in der sämtliche bekannten Signaturen von Angriffen und Hackertechniken vorgehalten werden und die regelmäßig aktualisiert wird. Damit lassen sich Datenströme analysieren und spezifische Attacken auf Anwendungen erkennen. Angriffe, die einem bekannten Muster folgen, lassen sich gut herausfiltern. Attacken, die neue Methoden verwenden, können die Administratoren auf diese Weise nicht verhindern. Weitere Nachteile sind die hohe Belastung des Netzes beim Vergleichen der Datenpakete mit den Signaturen sowie die hohe Rechenleistung, die dafür benötigt wird.

• Protokollanalyse: Während bei der Signatur-Erkennung die Nutzdaten mit ihren Inhalten, Zeichenfolgen und Bitmustern im Vordergrund stehen, geht es bei der Protokollanalyse um die »Verpackung«. Hier werden die TCP/IP-Datenpakete auf Besonderheiten »abgeklopft«. Überprüft wird dabei die Konformität der Pakete zum Standard. Um die Integrität der Protokolle zu prüfen, bieten die Protokolldefinitionen eine solide Datenbasis. Allerdings ermöglicht es die Protokollanalyse nicht, über den Inhalt der Daten Schlüsse zu ziehen. Insgesamt lassen sich mit dieser Form der Analyse verhältnismäßig wenige Angriffe erkennen.

• Anomalie-Erkennung: Solche Systeme erkennen einen Eindringling an seinem auffälligen, also anormalen Verhalten im geschützten System oder Netzwerk. Im letzten Fall sprechen Experten auch von einer »Network Behaviour Anomaly Detection«. Hier werden Kommunikationsmuster untersucht und Verhaltensdaten im Zeitverlauf beobachtet. Es wird bei diesem Ansatz davon ausgegangen, dass sich das Verhalten von normalen Anwendern von dem von Angreifern unterscheidet. Zunächst muss bei diesem Verfahren der Normalzustand gemessen werden, etwa der durchschnittliche Datendurchsatz im Netzwerk. Diese Daten müssen dann kontinuierlich mit dem aktuellen Datenverkehr abgeglichen werden. Hier greifen Algorithmen, die in der Lage sind, Systemverhalten zu erkennen und zu analysieren sowie in bestimmten Grenzen normales Verhalten vorherzusagen. Meist verfügen diese Systeme über einen so genannten Lernmodus, innerhalb dessen die meisten Daten automatisch analysiert und Schwellenwerte entwickelt werden.

Ein System für die Anomalie-Erkennung im Netzwerk betrachtet dieses eher oberflächlich: Welche Hosts kommunizieren miteinander? Wann machen sie dies und wie groß ist dabei der Datenfluss? Spezifische Anwendungen können die Verantwortlichen mit dieser Methode nicht vor zielgerichteten Angriffen schützen. Allerdings lassen sich mit dieser Form der Analyse des Kommunikationsverhaltens auch vollkommen unbekannte Angriffsformen aufspüren, etwa »Distributed Denial of Service«-Attacken oder die Ausbreitung bislang unbekannter Würmer im Netzwerk.

Zusammenführen der Daten

Die mit einer Anomalie-Erkennung gesammelten Daten können mit allen anderen durch das IDS gewonnenen Informationen in einem »Security Information and Event Management«- System (SIEM) zusammengeführt werden. Ein solches System ist etwa die »Dragon Security Command Console« von Enterasys. Damit werden die Stärken der einzelnen IDS-Komponenten kombiniert und die jeweiligen Schwächen aufgehoben. Auch Informationen aus anderen Systemen – wie etwa der Firewall – lassen sich hier einfügen. So können die Vorgänge im Netzwerk von allen möglichen Blickwinkeln aus betrachtet und die Ereignisse konsolidiert werden.

Durch die Kombination der verschiedenen Verfahren und die Korrelation der »Events« wird eine effiziente und wirkungsvolle »Intrusion Detection« möglich. Um belastbare Aussagen zu einem sicherheitsrelevanten Ereignis zu erhalten, werden deshalb häufig mehrere Lösungen und Funktionen zusammengefasst. Diese Einzelkomponenten sollten offen gestaltet sein, denn nur so lassen sich die Systeme verschiedener Hersteller integrieren.

1. Sicher vor dem Angriff
2. ID-Systeme: Ein kurze Typologie
3. Auf der Suche nach der richtigen Methode