Search Icon
Elektroniknet Logo
Search Icon
Startseite > Automation > Steuerungstechnik > Sicher vor dem Angriff

Intrusion Detection

Sicher vor dem Angriff

24. August 2010, 10:24 Uhr | Markus Nispel
Diesen Artikel anhören
Fortsetzung des Artikels von Teil 2

Auf der Suche nach der richtigen Methode

Jede der vorgestellten Methoden muss an einer bestimmten Stelle im Netzwerk eingesetzt werden. Werkzeuge für Signatur-Erkennung und Protokollanalyse arbeiten direkt mit Datenströmen und müssen entsprechend platziert werden, um den Traffic überhaupt mitlesen zu können. Tools für die »Network Behaviour Anomaly Detection« hingegen können »Flow«-Daten von entfernten Stellen auswerten, sie erkennen jedoch keine Inhalte.

Eine der Herausforderungen bei einer IDS-Implementierung ist die Entscheidung, welches Erkennungsverfahren wo eingesetzt werden muss. Dabei kann noch eine zeitliche Komponente mit einbezogen werden, die definiert, wann der Zugriff auf ein Netzwerk oder auf ein einzelnes System erlaubt ist. Zudem müssen die Rollen und Aufgaben im Unternehmen entsprechend aufgeteilt werden: Im Ernstfall darf es nicht zu Verzögerungen kommen, nur weil nicht festgelegt wurde, wer wen über einen Sicherheitsverstoß zu benachrichtigen hat.

Ein »Intrusion Detection«-System geht bei der Analyse nach einem festgelegten Prozess vor. Deshalb muss die Planung an den Kategorien »Rollen«, »Rechte«, »Ressourcen« und »Orte« ausgerichtet sein, damit organisatorische Abläufe in ein sinnvolles Schema gebracht werden können.

Implementierung in vier Schritten

Bei der Implementierung eines IDS ist es unter Umständen sinnvoll, zunächst einmal bestimmte Bereiche auszuklammern und sich am Anfang auf einen überschaubaren Bereich zu konzentrieren. Das kann etwa ein ServerÜbergang sein oder ein DMZ (De-Militarized Zone), also ein System, das in einer definierten Zone vor anderen Netzen wie etwa dem LAN oder dem Internet geschützt ist. Aus technischer Sicht besteht dabei kein Zwang, von der Identifizierung bis zum Reporting alle Komponenten auf einmal zu implementieren. Vielmehr lässt sich ein Projekt in folgende vier Aufbaustufen gliedern:

  • Identifizierung und Lokalisierung unerwünschter Ereignisse (Detection),
  • Überprüfung der Ereignisse (Validation), Verfahrensweise festlegen (Tuning),
  • Blockieren von Daten, - Management und Reporting.

In der ersten Phase werden lediglich Informationen über alle sicherheitsrelevanten Ereignisse gesammelt, der Zugang wird hier noch nicht beschränkt. Danach geht es darum, die gesammelten Daten zu interpretieren und vor allem auch »falsche« Alarme auszusortieren – eine Arbeit, die meist mit erheblichem Aufwand verbunden ist. Das Blockieren unerwünschter Daten lässt sich dann um so schneller und einfacher umsetzen – hier genügen einige wenige Mausklicks. Ganz entfallen kann diese Maßnahme, wenn ein Unternehmen ausschließlich auf »Intrusion Detection« und nicht auch gleich auf »Intrusion Prevention« setzt. In der letzten Phase werden schließlich die gesammelten Daten ausgewertet. Damit entsteht eine Basis für eine manuelle oder automatisierte Korrelation, für Reports und für die Generierung von Trendanalysen.

Die Einführung eines IDS ist ein weitreichendes Projekt und erfordert deshalb die Zusammenarbeit der gesamten IT-Mannschaft im Unternehmen. Involviert sind der Netzwerk-Betrieb, die IT-Experten, die die Endsysteme und Server betreuen, das Security- Management und die für den Datenschutz zuständigen Mitarbeiter. Diese gilt es, vor Projektstart an einen Tisch zu bringen, sie zu informieren und ihre spezifischen Anforderungen aufzunehmen. jw

 

 

Autor:

Dipl.-Ing. Markus Nispel schloss 1996 sein Studium an der Fachhochschule der Deutschen Telekom in Dieburg als Dipl.-Ing. Nachrichtentechnik ab. Als Vice President Solutions Architecture ist er bei Enterasys Networks zuständig für die strategische Produkt- und Lösungsentwicklung. Ein Fokus liegt auf dem Ausbau der Sicherheits- und insbesondere dort der »Network Access Control (NAC)«-Lösung, bei welcher er als Architekt verantwortlich zeichnet. Diese Position knüpft an seine vorherige Tätigkeit als Director Technology Marketing an. Bereits hier war er intensiv bei der weltweiten Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Vor seiner Tätigkeit für Enterasys Networks war er als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer-3-Switche für den europäischen Kundenstamm ein.

  1. Sicher vor dem Angriff
  2. ID-Systeme: Ein kurze Typologie
  3. Auf der Suche nach der richtigen Methode
Jetzt kostenfreie Newsletter bestellen!