Intrusion Detection-Systeme: eine Einführung

Es gibt Tausende von Methoden, mit denen man sich unerlaubten Zugriff auf Computer verschaffen kann, und jeden Monat tauchen Dutzende neue auf: von Buffer Overflows und Directory Traversal Exploits bis zu Attacken vom Typ Denial of Service (DoS) und Distributed Denial of Service (DDoS).

Theoretisch sollten alle Systeme im Fall bekannter Sicherheitslücken gepatcht oder mit entsprechenden Workarounds versehen sein, so dass keine Notwendigkeit mehr für ein Signatur-basiertes IDS bestehen dürfte. Leider sieht die Wirklichkeit so aus, dass viele System nicht oder nicht gleich gepatcht oder aktualisiert werden, sobald eine Sicherheitslücke entdeckt ist. Dies wird durch die Zahl der Systeme deutlich, die jeden Tag beeinträchtigt werden, und die Tatsache, dass es sich bei den meisten der Probleme um recht alte und gut bekannte Probleme handelt, für die Fixes längst verfügbar sind.

Reaktion auf Angriffe

Die meisten Systemkonsolen von IDS sind so konfiguriert, dass sie alle aufgezeichneten Daten in einer Datenbank speichern und eine E-Mail an den zuständigen Security Officer (SO) schicken, sobald ein Angriff festgestellt wird. Das Problem dabei ist, dass ein Angriff wie mit Nimda oder Code Red leicht dazu führen kann, dass ein Administrator mit E-Mails überschwemmt wird. Das Resultat ist ein System, das zu viele Informationen liefert, die nicht alle verarbeitet werden können. Eine praktikable Möglichkeit zur Vorbeugung besteht darin, die Schwelle für eine Benachrichtigung per E-Mail oder Pager möglichst hoch anzusetzen, aber auch die Konsole ein Alarmsignal von sich geben zu lassen, wenn sie ein Problem feststellt. Auf diese Weise hat der SO die auffälligen Probleme im Blick, bemerkt aber auch ernste Schwierigkeiten, wenn das System immer mehr Alarmsignale aussendet.

Falls der SO nicht immer zur Stelle ist oder es Grund für erhöhte Alarmbereitschaft gibt, können einige IDS-Systeme so konfiguriert werden, dass sie automatisch auf Angriffe reagieren. Dies kann wie oben beschrieben eine einfache Benachrichtigung per E-Mail oder an einen Pager sein, aber auch aktivere Maßnahmen umfassen, um einen akuten Angriff zu stoppen und dann die Schwachstelle abzudichten.

Das direkte Eingreifen zur Unterbrechung der Kommunikation zwischen einem Angreifer und dem Opfer wird oft als Session Sniping oder Knockdown bezeichnet und erfolgt durch das Einfügen von Paketen, um die Verbindung zu unterbrechen, welche die Response ausgelöst hat. Die effektivste Methode, eine TCP-Verbindung abzubrechen, ist ein Reset der Verbindung mithilfe gefälschter Pakete. Hierzu muss das IDS gefälschte Pakete an eines oder beide Systeme schicken, bei denen das TCP Reset-Bit gesetzt ist.

Andere Interventionsmethoden umfassen die Neukonfigurierung der Perimeter-Router und Firewalls, um die IP-Adresse des Angreifers zu blockieren, oder das Blockieren der Protokolle, die für den Angriff verwendet werden. In hartnäckigen Fällen kann es besser sein, jegliche Kommunikation zu dem angegriffenen System zu unterbrechen, anstatt es der Gefahr einer Beschädigung auszusetzen. Zu den weiteren Reaktionsmöglichkeiten zählt, aktiv Informationen über den Host oder die Website des Angreifers herauszufinden oder sogar eine Gegenattacke zu starten. Bevor man solche Funktionen aktiviert, sollte man aber auf jeden Fall juristischen Rat einholen.