Freitag, 17. Februar 2012


Topthema

Donnerstag, 16. Februar 2006 | Topthema

About Security #44: IDS-Kommunikation

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/026913)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Nachdem die Sensoren eines verteilen Intrusion-Detection-Systems wie in About Security #43 beschrieben positioniert wurden, muss nun ein guter Platz f�r das dazu geh�rende Managementsystem gefunden werden. Wie in About Security #43 erw�hnt, kann die Kommunikation zwischen den verschiedenen Sensoren und dem Managementsystem entweder �ber das normale Netzwerk, in einem separaten IDS-Netzwerk oder einer separaten DMZ erfolgen. Entsprechend befindet sich auch das Managementsystem im jeweiligen Netz. Zuerst sollen nur die netzwerkbasierten Sensoren betrachtet werden.

IDS-Kommunikation �ber das vorhandene Netz

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Die �bertragung �ber das vorhandene Netz und damit die Positionierung des Managementsystems im gesch�tzten Netz ist die kosteng�nstigste Methode, da keine Erweiterung des Netzwerks notwendig ist. Ihr Nachteil ist, dass bei einem Angriff auf das Netz das IDS beeintr�chtigt werden kann. Au�erdem geben die Komponenten des IDS sich durch ihre Daten�bertragung zu erkennen. Damit sind sie leichter angreifbar und k�nnen eventuell umgangen werden.

Das Beispielnetz aus der letzten Woche k�nnte erweitert um das Managementsystem folgenderma�en aussehen:

Beispiel-Netzwerk mit IDS-Managementsystem in gesch�tzten Netz
Einrichtung eines separaten IDS-Netzwerks

Bei der Verwendung eines separaten IDS-Netzwerks sind die Sensoren aus den �berwachten Netzsegmenten unsichtbar. Die Kommunikation der IDS-Komponenten ist von der Kommunikation im gesch�tzten Netzwerk getrennt, ein Angriff auf das gesch�tzte Netz oder die �berwachten Netzwerksegmente in der DMZ beeintr�chtigt die Funktionsf�higkeit des IDS nicht.

About Security: Die komplette Serie

Der Nachteil dieses Ansatzes ist der erhebliche zus�tzliche Aufwand durch die notwendige Entkoppelung des IDS-Netzwerks vom �berwachten Netz. Jede Kommunikation zwischen �berwachtem Netz und IDS-Netz muss abgesichert werden. Dies betrifft zum einen den Zugriff von Clients im gesch�tzten Netz auf das Managementsystem sowie in der Gegenrichtung die vom Managementsystem ausgel�sten Alarmmeldungen. Zum anderen muss die Kommunikation zwischen den Sensoren und dem Managementsystem �berwacht werden. Ein besonderes Problem sind dabei die hostbasierten Sensoren. Da diese auf den �berwachten Rechnern installiert sind, kann ein Angreifer, der einen �berwachten Rechner unter seine Kontrolle gebracht hat, danach Zugang zum IDS-Netz erlangen. Wenn das separate IDS-Netz Sensoren in verschiedenen Teilnetzen miteinander verbindet, besteht die Gefahr, dass durch einen Angriff oder die Fehlkonfiguration eines Sensors unerw�nschte Verbindungen zwischen den Teilnetzen entstehen. Daher m�ssen konsequenterweise parallel zu den verschiedenen Teilnetzen auch die entsprechenden Sensoren im IDS-Netz durch Firewallkomponenten entkoppelt werden. Daf�r sind mindestens Paketfilter notwendig.

F�r das Beispiel ergibt sich z.B. folgender Aufbau:

Beispiel-Netzwerk mit separatem IDS-Netzwerk
FW sind die zur Entkoppelung notwendigen Firewallkomponenten

Die Sensoren sind ein Bestandteil des separaten IDS-Netzes. Um dies zu verdeutlichen, k�nnte man das Ganze auch so darstellen:

Beispiel-Netzwerk mit separatem IDS-Netzwerk, alternative Darstellung
Einrichtung einer separaten demilitarisierten Zone

Wird das Managementsystem in einer separaten demilitarisierten Zone positioniert, erfolgt die Kommunikation mit den Sensoren �ber zus�tzliche Netzwerk-Interfaces an den Sensoren und der verwendeten Firewall-Komponente.

Der Vorteil dieses Ansatzes ist der geringere Aufwand im Vergleich zu einem separaten IDS-Netz, da Teile der vorhandenen Infrastruktur genutzt werden k�nnen. Durch die separaten Netzwerk-Interfaces sind die Sensoren aus dem �berwachten Netz unsichtbar.

Ein Nachteil ist, dass die Kommunikation zwischen Sensoren und Managementsystem bzw. Managementsystem und Clients von der korrekten Konfiguration und Funktion der beteiligten Firewall- und Netzwerkkomponenten abh�ngt. Ein erfolgreicher Angriff auf eine der beteiligten Komponenten beeintr�chtigt auch das IDS.

F�r das Beispiel soll der innere Paketfilter die Entkoppelung der separaten demilitarisierten Zone f�r das IDS �bernehmen:

Beispiel-Netzwerk mit separater Demillitarisierten Zone f�r das IDS

In diesem Bild sind die verschiedenen demilitarisierten Zonen im Gegensatz zu den bisherigen Bildern farblich hervorgehoben. Dies dient nur zur besseren Unterscheidung der verschiedenen Bereiche und hat keine weitere Bedeutung.

Statt des Paketfilters kann bei Bedarf auch ein Application Level Gateway verwendet werden.

Erweiterung um hostbasierte Sensoren und Kommunikation mit Clients

Die jeweiligen Ans�tze k�nnen bei Bedarf um hostbasierte Sensoren erweitert werden. Dabei gibt es je nach Notwendigkeit verschiedene M�glichkeiten der Anbindung und Entkoppelung. Das Gleiche gilt f�r den Zugriff von Clients aus dem gesch�tzten Netz auf das Managementsystem sowie die vom Managementsystem ausgel�sten Alarmmeldungen. So ist es z.B. m�glich, nur bestimmten Clients den Zugriff auf das Managementsystem zu gestatten.

In der n�chsten Folge geht es um den Einsatz von Intrusion-Detection-Systemen in hochverf�gbaren Netzen.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

Kommentare

Folgende Links könnten Sie auch interessieren