Montag, 1. M�rz 2010


Topthema

Donnerstag, 2. Februar 2006 | Topthema

About Security #42: Intrusion-Detection-Systeme — Grundlagen

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/026639)

Ab dieser Folge wird eine weitere Kategorie von Schutzsystemen vorgestellt: Intrusion-Detection- und Prevention-Systeme. Den Anfang machen Intrusion-Detection-Systeme (IDS). Dabei handelt es sich um Systeme zur automatischen Erkennung von Angriffen auf Netzwerke oder einzelne Rechner. Vereinfacht kann man sie als Systeme beschreiben, die die Logfiles der verschiedenen Netzwerkger�te wie zum Beispiel Server, Firewalls und Router analysieren und die dabei gewonnenen Erkenntnisse mit bekannten Angriffsmustern vergleichen oder statistisch auswerten.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Man unterscheidet sie nach dem Funktionsprinzip zwischen hostbasierten und netzwerkbasierten Systemen. Die Kombination beider Prinzipien f�hrt zu hybriden bzw. verteilten (Distributed) Intrusion-Detection-Systemen.

Hostbasierte Intrusion-Detection-Systeme

Ein hostbasiertes IDS sch�tzt immer genau einen Rechner (Host), indem es dessen Netzwerkverkehr, Betriebs- und Dateisystem �berwacht. Es wird auf dem zu sch�tzenden System installiert und kann dadurch sehr gut an dessen jeweilige Bed�rfnisse angepasst werden. Eine Untergruppe der hostbasierten IDS sind die so genannten System Integrity Verifiers. Diese pr�fen Dateien und Verzeichnisse mithilfe von Hash-Werten auf ihre Echtheit und erkennen dadurch Manipulationen durch Schadprogramme wie Trojaner, Viren und Root-Kits.

Vorteile hostbasierter IDS

  • Es k�nnen Angriffe erkannt werden, die netzwerkbasierte IDS aufgrund einer Verschl�sselung des Netzwerkverkehrs oder fehlender lokaler Informationen nicht erkennen k�nnen.
  • Es k�nnen sehr genaue Aussagen �ber einen Angriff gemacht werden, da Informationen �ber die Reaktion des �berwachten Rechners vorliegen.
  • Da nur der f�r das jeweilige System bestimmte Netzwerkverkehr �berwacht werden muss, ist das Datenaufkommen gering genug, um eine vollst�ndige Kontrolle sicherzustellen.

Nachteile hostbasierter IDS

  • Hostbasierte IDS m�ssen auf jedem zu �berwachenden Rechner installiert werden und belasten dessen Ressourcen.
  • Sie m�ssen an Betriebssystem und Anwendungen des jeweiligen Hosts angepasst sein.
  • Da hostbasierte IDS auf dem jeweiligen Rechner installiert sind, k�nnen sie gleichzeitig mit diesem angegriffen werden.
  • Eine laufende Integrit�ts�berwachung belastet das System, sodass meist nur in bestimmten Abst�nden eine Kontrolle stattfindet. Eine zu h�ufige Kontrolle belastet das System zu stark, w�hrend eine zu seltene Kontrolle das Risiko eines erfolgreichen und unerkannten Angriffs erh�ht.
Netzwerkbasierte Intrusion-Detection-Systeme
About Security: Die komplette Serie

Ein netzwerkbasiertes IDS �berwacht ein komplettes Netzwerk (bzw. ein Netzwerksegment), indem es alle darin �bertragenen Pakete analysiert und auf verd�chtige Muster untersucht. Aufgrund der anfallenden Datenmengen sind den �berwachungsm�glichkeiten eines einzelnen netzwerkbasierten IDS Grenzen gesetzt. Beim Erreichen dieser Grenze m�ssen mehrere Systeme kombiniert werden oder ein Teil des Netzwerkverkehrs kann nicht �berwacht werden.

Vorteile netzwerkbasierter IDS

  • Die Rechner im zu �berwachenden Netz werden nicht zus�tzlich belastet.
  • Ein netzwerkbasiertes IDS kann ein gesamtes Netzwerk �berwachen.
  • Es k�nnen netzbasierte Angriffe auf mehrere Ziele erkannt werden, die von hostbasierten IDS mangels ausreichender Informationen nicht als verteilte Angriffe erkannt werden k�nnen.
  • Angriffe auf einen Rechner im �berwachten Netz st�ren die Funktion des IDS nicht.
  • Netzwerkbasierte IDS k�nnen vor potenziellen Angreifern verborgen werden, sodass sie nur schwer anzugreifen sind.

Nachteile netzwerkbasierter IDS

  • Wird die maximal verarbeitbare Datenmenge �berschritten, ist keine vollst�ndige �berwachung des Netzwerkverkehrs mehr m�glich. Eine l�ckenlose �berwachung ist nur in Netzwerken mit begrenztem Durchsatz oder begrenzter Auslastung m�glich.
  • In geswitchten, lastverteilten oder redundant ausgelegten Netzwerken ist eine l�ckenlose �berwachung nur mit zus�tzlichem Aufwand m�glich.
  • Netzwerkbasierte IDS k�nnen nur die Reaktionen eines angegriffenen Rechners ber�cksichtigen, die sich in dessen Netzwerkverkehr widerspiegeln.
  • Verschl�sselter Netzwerkverkehr kann nicht �berwacht werden.
Hybride bzw. verteilte (Distributed) Intrusion-Detection-Systeme

Diese verbinden host- und netzwerkbasierte IDS, indem sie die gewonnenen Daten mehrerer host- und netzwerkbasierter IDS in einem zentralen Managementsystem zusammenfassen. Die einzelnen IDS sind dann Sensoren des Managementsystems.

Konzepte zur Einbruchserkennung

Zur Erkennung eines Einbruchs gibt es zwei Verfahren: Den Vergleich des aufgezeichneten und aktuellen Verhaltens mit bekannten Angriffssignaturen (Signaturerkennung, Signature Detection) und die statistische Analyse (Anomalieerkennung, Anomaly Detection). Beide Verfahren mit ihren Vor- und Nachteilen wurden bereits bei der Analyse der Firewall-Logfiles in About Security #38 vorgestellt.

In der n�chsten Folge wird das Thema Intrusion-Detection-Systeme vertieft. Dann geht es unter anderem um die Positionierung des IDS im Netzwerk.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – �bersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

Kommentare

Folgende Links könnten Sie auch interessieren