Montag, 1. M�rz 2010


Topthema

Donnerstag, 20. April 2006 | Topthema

About Security #52: Firewall, IDS, IPS & Honeypot

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/028085)

In dieser Folge wird der Zusammenhang zwischen Firewalls, Intrusion-Detection- und -Prevention-Systemen und Honeypots dargestellt.

Firewall

Der erste Schritt beim Schutz eines Netzes besteht darin, keine unn�tigen Dienste anzubieten. Beim Schutz eines Geb�udes w�rde das bedeuten, keine unbenutzten T�ren oder Fenster offenstehen zu lassen. Der n�chste Schritt ist die Installation einer Firewall (About Security #29 ff.): Nur erw�nschte Verbindungen d�rfen Paketfilter und Application Level Gateway(s) passieren. Unerw�nschte Pakete werden verworfen. �bertragen auf ein Geb�ude entspricht dies dem Pf�rtner, der alle Besucher kontrolliert und unerw�nschte Personen nicht passieren l�sst.

Beispiel-Netzwerk mit Firewall
AS = Application Server
DBS = Datenbankserver
WS = Webserver
MS = Mailserver
DMZ = demilitarisierte Zone

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Weder Firewall noch Pf�rtner k�nnen Angriffe von innen erkennen: Ein Mitarbeiter, der in die Kasse greift oder ein Schadprogramm, das unbefugt auf einen Server zugreift, ist f�r sie nicht zu sehen.

IDS

Der n�chste Schritt beim Schutz eines Geb�ude sind �berwachungskameras im Geb�ude. Damit k�nnen unerw�nschte Personen, die sich am Pf�rtner vorbeigeschmuggelt haben, entdeckt und unbefugte Handlungen beobachtet werden. Im Netzwerk entspricht dies dem Intrusion-Detection-System (About Security #42 ff.): Der gesamte Netzwerkverkehr wird �berwacht und verd�chtige Vorg�nge werden gemeldet.

Beispiel-Netzwerk mit Firewall und IDS
NIDS = netzwerkbasiertes IDS bzw. netzwerkbasierte Sensoren eines verteilten IDS
IPS

Die Steigerung der �berwachungskameras ist ein patrouillierender Wachdienst, der unerw�nschte Personen aufgreift. Im Netzwerk �bernimmt diese Aufgabe das Intrusion-Prevention-System (About Security #49): Erkannte Angriffe werden abgeblockt.

Beispiel-Netzwerk mit Firewall und netzwerkbasiertem IPS
Beispiel-Netzwerk mit Firewall, IDS und IPS
IPS: Inline-IPS

Ob man IDS und IPS als getrennte Systeme installiert oder die Erkennungsf�higkeiten des IPS f�r die Einbruchserkennung verwendet, ist von verschiedenen �berlegungen abh�ngig. Da ein IPS ein um Eingriffsm�glichkeiten erweitertes IDS ist, spricht wenig dagegen, auf ein separates IDS zu verzichten, wenn beide auf dem gleichen System beruhen. Stammen IDS und IPS von verschiedenen Herstellern, besteht die M�glichkeit, dass das eine System Angriffe erkennt, die das andere nicht (er-)kennt. Auch k�nnte eines der Systeme Schwachstellen enthalten, die das andere nicht enth�lt. In diesen F�llen sind separate Systeme von Vorteil. Auf der anderen Seite verursachen getrennte Systeme zus�tzliche Kosten sowohl bei der Anschaffung als auch im Betrieb durch die notwendige doppelte �berwachung und Auswertung. Eine L�sung kann in einer Kombination beider Ans�tze bestehen: Es werden sowohl IDS als auch IPS eingesetzt, aber nicht immer paarweise, sondern je nach Gef�hrdung nur ein IDS, nur ein IPS oder IDS und IPS gemeinsam.

About Security: Die komplette Serie

Firewall und Intrusion-Prevention-System verfolgen gegens�tzliche Ans�tze: W�hrend die Firewall von au�en kommende erw�nschte Daten passieren l�sst und alle anderen zur�ckweist, kontrolliert das IPS die Daten im Inneren und blockiert als unerw�nscht erkannte Daten � genau so wie ein Pf�rtner nur erw�nschte Besucher in das Geb�ude l�sst und der Wachdienst im Inneren aufgegriffene unerw�nschte Personen entfernt. Einem hostbasierten IPS entspricht dabei eine zus�tzliche Wache vor einem besonders sensiblen Bereich, z.B. dem Banktresor.

Honeypot

Ein Honeypot (About Security #50) hat keine Entsprechung beim Schutz eines Geb�udes. Er w�re mit einem ge�ffneten Fenster zu einem mit Kameras �berwachten Raum zu vergleichen, aus dem keine T�r in das Innere des Geb�udes f�hrt. Dringt ein Einbrecher durch das Fenster ein, hat er es auf das Geb�ude an sich abgesehen. H�tte er nicht das offenstehende (Honeypot-)Fenster gesehen, w�re er auf einem anderen Weg eingedrungen.

Wie beim IDS (siehe About Security #43) gibt es auch beim Honeypot verschiedene M�glichkeiten der Positionierung: Vor der Firewall, in der demilitarisierten Zone oder im gesch�tzten Netz. Befindet sich der Honeypot vor der Firewall, geht keine zus�tzliche Gefahr f�r das lokale Netz von ihm aus. Allerdings kann er dort keine internen Angreifer anlocken, und f�r die Kontrolle des vom Honeypot ausgehenden Netzverkehrs ist eine zus�tzliche Firewall n�tig. Ein Honeypot in der DMZ stellt keine sehr hohe Gefahr f�r das lokale Netz da. Auch wenn der Honeypot kompromittiert wurde, wird das lokale Netz durch den inneren Paketfilter gesch�tzt. Die Server in der DMZ werden durch das/die ALG gesch�tzt, vom Honeypot nach au�en gesendete Daten vom �u�eren Paketfilter kontrolliert. Daher ist die DMZ ein beliebter Standort f�r Honeypots. Ein Honeypot im gesch�tzten Netz ist zum Anlocken interner oder von au�en bereits durch die Firewall vorgedrungener Angreifer geeignet. Angreifer von au�en gezielt auf einen Honeypot im gesch�tzten Netz zu lenken ist sehr gef�hrlich, da dies ein Loch in die Firewall rei�t.

Beispiel-Netzwerke
Beispielnetzwerke mit Honeypot vor der Firewall, in der DMZ und im gesch�tzten Bereich

In der n�chsten Folge werden diese technischen M�glichkeiten um ihr organisatorisches Konzept erweitert: Die Sicherheitsrichtlinie (Security Policy).

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Honeypots"

Kommentare

Folgende Links könnten Sie auch interessieren