Intrusion Detection-Systeme: eine Einführung

IDS-Systeme werden in der Regel danach unterschieden, was sie überwachen: das gesamte Netzwerk, einen bestimmten Host oder sogar nur eine einzelne Anwendung. Ein wirklich effektives IDS wird eine Kombination aus Netzwerk- und Host-basierter Intrusion Detection verwenden. Herauszufinden, wo man welche Art von IDS einsetzt und wie man die Daten integriert, ist eine entscheidende Frage, die immer wichtiger wird.

Netzwerk-basiert IDS-Systeme

Die meisten IDS-Systeme auf dem Markt basieren auf Network IDS-Systemen (NIDS). NIDS sammeln Daten an einem oder mehreren wichtigen Punkten im Netzwerk und schicken entsprechende Berichte an eine Verwaltungs-Konsole. Die Datensammelsysteme müssen im Netzwerk platziert sein, so dass sie allen durchfließenden Traffic beobachten können. In einem vollständig geswitchten Netzwerk kann es unter Umständen schwierig sein, alle Daten einzufangen, es sei denn, man konfiguriert die Switches so, dass sie eine Kopie des gesamten Datenverkehrs an einen speziellen Port für das IDS schicken.

Pro:

• Man kann ein recht großes Netzwerk mit nur wenigen Rechnern beobachten.
• Das System ist transparent, da das Gerät Traffic-Informationen sammelt.
• Der gesamte Traffic zwischen der Konsole und dem NIDS-Collector kann verschlüsselt werden oder für vollständige Sicherheit über ein separates Netzwerk laufen.

Contra:

• Es kann im System eine große Menge an Traffic geben, womöglich mehr, als das System verarbeiten kann. Dies erschwert das Entdecken von Eindringlingen, wenn die Auslastung hoch ist.
• Die Notwendigkeit, Datenpakete in kürzester Zeit zu verarbeiten, kann dazu führen, dass man einige Funktionen nicht nutzen kann, wenn das System mit der Menge an Traffic Schritt halten soll.
• Vollständig geswitchte Netzwerke können schwierig zu überwachen sein, da nicht wie bei nicht-geswitchten Netzwerken der gesamte Traffic über alle Ports repliziert wird.
• Verschlüsselter Traffic kann nicht analysiert werden.

Host-basierte IDS-Systeme

Ein Host-basiertes IDS (HIDS) beobachtet, was auf dem Computer passiert, auf dem es installiert ist. Dies erlaubt es dem IDS, mithilfe der Logdateien und/oder von internen Auditing-Systemen sehr genau hinzuschauen, was auf diesem Rechner vor sich geht. Es gibt zwei Hauptarten von HIDS: Host Wrapper/Personal Firewalls und Agenten-basierte Software.

Host Wrapper oder Personal Firewalls sind so konfiguriert, dass sie alle Netzwerkpakete, Verbindungsversuche oder Login-Versuche beobachten, die den überwachten Rechner erreichen. Host-basierte Agenten verfolgen den Zugriff auf wichtige Systemdateien und Veränderungen an diesen sowie Änderungen an Benutzerberechtigungen.

Idealerweise vereinfacht das HIDS die Verwaltung mehrerer Hosts, indem die Administrationsfunktionen und Logdateien über Angriffe alle an eine zentrale IT-Sicherheitskonsole geleitet werden.

Pro:

• Erkennt eine Vielzahl lokaler Attacken.
• Verschlüsselung stellt normalerweise kein Problem dar, wenn die Daten auf dem Server entschlüsselt werden.
• Kein Problem mit geswitchten Netzwerken.

Contra:

• Häufig muss jeder Host separat installiert und gewartet werden.
• Da sich das IDS auf dem Host befindet, kann auch das IDS attackiert und lahmgelegt werden.
• Erkennt unter Umständen keinen weit gestreuten Netzwerk-Scan.
• Kann mit einer DoS-Attacke (Denial of Service) überschwemmt werden.
• Beansprucht Rechenleistung und Netzwerkressourcen des zu schützenden Servers.