Montag, 1. März 2010


Topthema

Donnerstag, 23. Februar 2006 | Topthema

About Security #45: IDS in hochverfügbaren Netzen

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/027041)

Hochverfügbaren Netze stellen besondere Anforderungen an Intrusion-Detection-Systeme, die in dieser Folge beschrieben werden. Für hochverfügbare Netze gibt es verschiedene Ansätze: Lastverteilung und Redundanz. Bei der Lastverteilung teilen sich mehrere Systeme die Aufgaben. Ein Lastverteiler (Load Balancer) überwacht die Auslastung und Verfügbarkeit der Systeme und verteilt die anfallenden Aufgaben möglichst gleichmäßig auf die zur Verfügung stehenden Systeme. Bei den redundant ausgelegten Netzen kann man zwischen Cold Standby und Hot Standby unterscheiden: Im Cold Standby steht für bestimmte Produktivsysteme ein inaktives Ersatzsystem mit identischer Funktionalität bereit. Beim Ausfall des Produktivsystems wird es manuell durch das Ersatzsystem ersetzt. Beim Hot Standby läuft das Ersatzsystem permanent. Beim Ausfall des Produktivsystems wird es sofort automatisch durch das Ersatzsystem ersetzt.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Die Verwendung hostbasierter IDS oder hostbasierter Sensoren eines verteilten IDS bereitet keine Probleme: Alle zu überwachenden Systeme, egal ob Produktiv- oder Ersatzsystem, werden mit einem IDS ausgestattet. Die IDS bzw. Sensoren auf den Produktivsystemen arbeiten normal, während die der Ersatzsysteme erst zum Einsatz kommen, wenn das entsprechende System eingesetzt wird. Dabei muss gegebenenfalls der hostbasierte Sensor beim Managementsystem des verteilten IDS angemeldet werden.

Wie bereits in About Security #42 erwähnt, ist in lastverteilten oder redundant ausgelegten Netzen eine lückenlose Überwachung durch netzwerkbasierte Sensoren nur mit zusätzlichem Aufwand möglich. Ihr Einsatz ist nur dann sinnvoll, wenn der gesamte Netzwerkverkehr überwacht werden kann. Dies führt zu zwei Problemen: Durch die Verteilung des zu überwachenden Netzwerkverkehrs auf mehrere physikalische Verbindungen gibt es keinen zentralen Abgriffpunkt. Und durch die Lastverteilung gibt es Probleme mit der Zuordnung von ein- und ausgehenden Paketen.

Im Folgenden wird von den Sensoren verteilter Intrusion-Detection-Systeme ausgegangen, analog gelten die Aussagen auch für eigenständige Intrusion-Detection-Systeme.

Wahl des Abgriffpunkts

Das Problem des fehlenden zentralen Abgriffpunkts kann man z.B. durch den Einsatz mehrerer netzwerkbasierter Sensoren umgehen. Für jede physikalische Verbindung wird ein separater Sensor verwendet, was automatisch auch zu einer Lastverteilung des IDS führt. Der Nachteil dieses Ansatzes ist der höhere Aufwand durch die zusätzlichen Sensoren. Außerdem gibt es keine Möglichkeit, schon vor Ort Zusammenhänge zwischen den von den Sensoren beobachteten Ereignissen festzustellen. Dies geschieht erst im Managementsystem, bzw. im Fall netzwerkbasierter IDS bei einer späteren Zusammenführung der Beobachtungen der verschiedenen IDS.

Beispiel-Netzwerk mit mehreren netzwerkbasierten Sensoren
"Komp." sind hier beliebige Komponenten des Netzwerks.
NIDS sind die netzwerkbasierten Sensoren.

Statt mehrerer Sensoren kann auch ein Sensor mit mehreren Netzwerk-Interfaces verwendet werden. Dies hat den Vorteil, dass bereits vor Ort Zusammenhänge zwischen den auf den verschiedenen Verbindungen beobachteten Ereignissen erkannt werden können. Da der Sensor jedoch den Netzwerkverkehr mehrerer Verbindungen verarbeiten muss, muss er entsprechend leistungsfähig sein.

Beispiel-Netzwerk mit einem netzwerkbasierten Sensor mit mehreren Netzwerk-Interfaces

Statt eines Sensors mit mehreren Netzwerk-Interfaces kann auch ein Switch zur Zusammenführung des Netzwerkverkehrs verwendet werden, an den dann ein netzwerkbasierter Sensor angeschlossen wird. Sowohl Switch als auch Sensor müssen entsprechend leistungsfähig sein.

Beispiel-Netzwerk mit Switch zur Zusammenführung des Netzwerkverkehrs

Falls alle physikalischen Verbindungen bereits Switches enthalten, können diese eventuell zur Zusammenführung des Netzwerkverkehrs verwendet und der gesammelte Netzwerkverkehr dann an einem davon abgegriffen und zum Sensor geleitet werden.

Lastverteilung

Da im Rahmen der Lastverteilung meist mehrere Systeme unter der gleichen IP- oder MAC-Adresse angesprochen werden, aber unabhängig voneinander nur einen Teil der eingehenden Pakete beantworten, gibt es Probleme mit der Zuordnung von ein- und ausgehenden Paketen.

About Security: Die komplette Serie

Im Beispiel sollen die Switches 1 und 2 die eingehenden Anfragen 1 bis 4 an die Server 1 und 2 weiterleiten. Diese teilen sich die Verarbeitung, sodass Server 1 die ersten beiden und Server 2 die letzten beiden Anfragen beantwortet. Die oben beschriebenen Ansätze helfen hierbei nicht: Bei Verwendung mehrerer Sensoren würde der Sensor vor Server 1 die Anfragen 3 und 4 als möglichen Angriff ansehen, da sie nicht beantwortet werden. Bei der Zusammenfassung des Netzwerkverkehrs würde dies nicht passieren, dafür müssten die doppelt erfassten eingehenden Pakete gefiltert werden.

Eine Lösung besteht in der passenden Konfiguration der eingesetzten Switches: Im obigen Beispiel müssten die von Switch 1 an Server 1, von Server 1 an Switch 1 sowie von Server 2 an Switch 2 gesendeten Pakete an den Sensor weitergeleitet werden. Die Pakete von Switch 2 an Server 2 werden nicht an den Sensor weitergeleitet, da sie bereits aus dem Verkehr von Switch 1 an Server 1 erfasst wurden.

Beispiel-Netzwerk mit Lastverteilung

In der nächsten Folge geht es unter anderen um den Einsatz von Intrusion-Detection-Systemen in geswitchten Netzen und mögliche Angriffe auf IDS.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

Kommentare

Folgende Links könnten Sie auch interessieren