Intrusion Detection Systeme
intrusion = engl. eindringen, detection= engl. entdecken
Das Problem
Herkömmliche Abwehrmassnahmen gegen Angriffen auf das Unternehmensnetzwerk
- Firewalls
- selten (leider): Qualifizierung und Sensibilisierung der Mitarbeiter ggü. Sicherheitsrisiken
Nachteil:
- Sicherheitsverletzungen durch Aktivitäten innerhalb des Netzwerks werden damit nicht erfasst
Antwort der Softwarehersteller: Intrusion Detection Systeme
- den Datenverkehr innerhalb des Unternehmensnetzwerks überwachen
Der Technik-Ansatz
Im Netzwerk des Unternehmens werden Rechner direkt im Netzwerk als Sensoren installiert. (Die Sensoren werden auch sniffer (= engl. Schnüffler) genannt.) Die Sensoren untersuchen den Datenstrom, der über sie geleitet wird und schlagen Alarm, wenn ein Angriffsmuster erkannt wird. Die Sensoren können alternativ direkt am zu überwachenden Rechner (host-basiert) installiert werden.
| Netzbasiert | Hostbasiert |
|---|---|
| Vorteil: Da auf eigenen Rechnern installiert; keine Performance-Einbußen bei den Endgeräte | Vorteil: Die Systemadministration kann die Folgen eines Angriffs direkt am Rechner verfolgen. |
| Nachteil: Bei hoher Netzlast kann ein Sensor zum Engpaß bei der Datenübertragung werden. | Nachteil: Da an jedem Rechner installiert werden muss: Hoher Wartungsaufwand. |
Die Intrusion-Detection-Systeme funktionieren wie eine Alarmanlage: Sie erkennen Angriffe, aber sie verhindern sie nicht. Die Alarmmeldungen laufen zentral bei der Administration auf, dabei sind verschiedene Alarmstufen möglich: Vom einfachen Protokolleintrag, über eMail-Benachrichtigung bis hin zur automatisch generierten SMS an den Systemadministrator.
Auf dem Markt befindliche Intrusion-Protection-Systeme sollen diese Lücke schließen, und schaffen dabei oft mehr Probleme als sie lösen: Denn nun wird geblockter Datenverkehr nicht nur protokolliert, sondern es werden vom System Gegenmaßnahmen ergriffen: Dies kostet Rechenpower. Der Automatismus kann den Rechner überfordern und damit ganze Netzwerkteile lahm legen.
Alarmmeldungen
Das Belauschen des Datenverkehrs erfolgt durch ständige Vergleiche mit bekannten Angriffsmustern (Signaturen). Tausende davon lassen sich direkt aus dem Internet herunterladen.
Leider sind die Signaturen nicht immer treffgenau: Deshalb werden sehr häufig Fehlalarme ausgegeben. Der Aufwand der Feinjustierung überfordert die Systemadministration in der Regel. Jeder dritte Beitrag in den Benutzerforen der Software SNORT betrifft die ungewollte Datenflut durch Fehlalarme.
Eine schlecht konfigurierte IDS kann sogar selbst ein Sicherheitsrisiko sein, wenn dieses bei gezieltem Dauerbombardement von Hackern unter der Arbeitslast in die Knie geht und damit das Netzwerk verstopft wird.
Mitarbeiterüberwachung
Ein besonderes Risiko für die Mitarbeiter liegt in mit IDS überwachten Netzwerken darin, dass die eingesetzten Signaturen nicht nur zur Abwehr tatsächlich existierender Gefährdungen einsetzbar sind. Mit Signaturen kann der Datenverkehr nach jedem denkbaren Kriterium überprüft werden: Hört der Mitarbeiter Internetradio, benutzt er einen Chat, sind "verbotene" Worte in einer eMail enthalten... Die Signaturen dazu sind schnell erstellt. Beispiel: SNORT
Ein weiteres Problem kann sich für die Persönlichkeitsrechte der Mitarbeiter ergeben, wenn die IDS-Software anhand von Protokollen oder anderen Merkmalen ein "Normalverhalten" ermittelt und dieses mit dem tatsächlichen Verhalten der Nutzer vergleicht. - Abweichungen werden natürlich protokolliert... und schon könnte der Mitarbeiter, der Internetseiten ausnahmsweise vor 8.00 Uhr morgens aufgerufen hat, unter Verdacht (und im IDS-Protokoll) stehen.
(Quelle Grafik und technische Informationen: InternetWorld Security 2003, Webseite snort.org)
tse Hamburg |
283 / 286 |