Detektive fürs LAN: Intrusion Detection-Systeme im Test

Systemfremde Speicherung: Die Protokollierung und Archivierung von Daten sollte auf externen oder vom IDS unabhängigen Systemen möglich sein, im Idealfall auf einem zentralen Managementserver. Auf diese Weise erhält die Infrastruktur mehr Stabilität und Backups können in Übereinstimmung mit den Backup-Richtlinen des Unternehmens durchgeführt werden, ohne dass man ein neues System für das IDS erstellen muss. IDS-Informationen zählen zu den wichtigsten Daten, die in einem Unternehmen gesammelt werden, und sollten daher für Referenzzwecke mehrere Monate oder sogar Jahre gespeichert werden. Die zentrale Speicherung der Daten von großen Netzwerken mit mehreren IDS-/IPS-Sensoren erleichtert ebenfalls die Datenverwaltung. Intrusion Detection- und Intrusion Prevention-Systeme sind leider bekannt dafür, enorme Datenmengen zu produzieren.

Die Leistung sollte auf die Größe und die Anforderungen des Unternehmens zugeschnitten sein. Manche IDS verarbeiten zur Überwachung von Netzwerken Unmengen von Daten. Ein Netzwerk ist jedoch immer nur so schnell wie das schwächste Glied: Man sollte also darauf achten, dass das IDS keine Engpässe verursacht. Eine Lösung kann darin bestehen, mehrere IDS-Sensoren in unterschiedlichen Netzwerksegmenten einzusetzen. Zwar erfordert dies mehr administratorische Ressourcen, die Leistung wird jedoch nicht so stark beeinträchtigt. Hierbei kommt es auf den Datendurchsatz an. Eine IDS-/IPS-Engine mit 100 MBit/s sollte nicht an einen Backbone im Gigabit-Bereich angeschlossen werden.

Skalierbarkeit: Neben der Performance sollte bei der Evaluierung eines IDS sichergestellt werden, dass die Ausstattung skalierbar ist und mit den Sicherheitsanforderungen eines wachsenden Unternehmens, insbesondere mit den zu verarbeitenden Datenmengen, mithalten kann.

Standardisierung aufgezeichneter Daten: Zwar verfügen die meisten IDS über eigene, integrierte Systeme zur Berichterstellung, doch kann man nie wissen, welche Berichte zu welchem Zeitpunkt aus den gesammelten Daten benötigt werden. Das entsprechende IDS ist dann vielleicht schon vor Jahren ausgetauscht worden. Daher ist es wichtig, die Daten in standardisierten Formaten zu archivieren, um sie auf unabhängige Systeme übertragen zu können.