About Security #43: Intrusion-Detection-Systeme – Positionierung

News

Mittwoch, 8. Februar 2006

About Security #43: Intrusion-Detection-Systeme – Positionierung

Wie angekündigt geht es diese Woche weiter um Intrusion-Detection-Systeme. Thema ist die Positionierung des Intrusion-Detection-Systems im Netzwerk. Bei hostbasierten IDS ist diese kein Problem, da jeder zu schützende Rechner sein eigenes hostbasiertes IDS bekommt. Die einzige Entscheidung, die zu treffen ist, ist die Auswahl der zu schützenden Rechner. Bei netzwerkbasierten IDS und den netzwerkbasierten Sensoren eines verteilten IDS wird es etwas komplizierter.

About Security –
die Themen bisher:

Einführung (#1, 2, 3, 4)
Eine typische Schwachstelle: Der Pufferüberlauf
(#5, 6, 7, 8, 9, 10)
Schwachstellen in Webanwendungen:

Webserversicherheit
(#27, 28)
Firewall (#29, 30, 31, 32, 33, 34, 35, 36)
Logfiles (#37, #38, #39, #40, #41)
Intrusion Detection (#42)

Folgendes fiktive Netzwerk soll als Beispiel dienen:
Eine Firewall, bestehend aus zwei Paketfiltern und einem oder mehreren Application Level Gateways, befindet sich zwischen zu schützendem Netz und dem Internet. In der demilitarisierten Zone befinden sich ein Applikationsserver (AS), ein Webserver (WS), ein Datenbankserver (DBS) und ein Mailserver (MS). Ob diese über ein gemeinsames oder jeweils separate Application Level Gateways mit dem Netzwerk verbunden sind ist in diesem Fall unerheblich. Zur Vereinfachung zeigt die Grafik ein gemeinsames Application Level Gateway (ALG).

Ein einzelnes netzwerkbasiertes IDS
Ein netzwerkbasiertes IDS überwacht den gesamten Netzwerkverkehr im jeweiligen Netzwerksegment. Oder salopp formuliert: Es sieht alles, was an seiner Netzwerkschnittstelle vorbeikommt. Soll nur ein einzelnes netzwerkbasiertes IDS eingerichtet werden, scheint die Entscheidung einfach zu sein: Damit das IDS allen ein- und ausgehenden Netzwerkverkehr überwachen kann, muss es am Zugang zum Internet positioniert werden. Aber kommt es vor den äußeren Paketfilter oder besser dahinter in die DMZ?

	`NIDS = netzwerkbasiertes IDS`

	`NIDS = netzwerkbasiertes IDS`

Ein vor dem äußeren Paketfilter positioniertes netzwerkbasiertes IDS kann zusätzliche Informationen über den Kontext eines Angriffs liefern und Angriffe auf den Paketfilter erkennen. Dafür muss es aber auch alle Pakete verarbeiten, die der äußere Paketfilter anschließend sofort verwirft. Außerdem wird es selbst nicht durch den Paketfilter geschützt.

Befindet das netzwerkbasierte IDS sich hinter dem äußeren Paketfilter, muss es nur die vom Paketfilter akzeptierten Pakete verarbeiten. Dafür kann es aber keine Angriffe auf den Paketfilter erkennen und sieht unter Umständen nur einen Teil der zu einem komplexen Angriff gehörenden Pakete, wenn der Paketfilter bereits Teile des Angriffs ausgefiltert hat.

Sehr stark vereinfacht kann man sagen, dass ein IDS vor dem Paketfilter (oder allgemein der Firewall) alle Angriffe und dahinter nur Einbrüche erkennen kann.

Wo ein einzelnes netzwerkbasierte IDS positioniert wird, hängt also im Wesentlichen von den gewünschten Informationen ab. Meist reicht eine Positionierung in der DMZ aus.

Ein so positioniertes netzwerkbasiertes IDS kann den Netzwerkverkehr innerhalb des geschützten Netzes nicht überwachen. Nur die Daten, die vom inneren Paketfilter in die DMZ weitergeleitet werden, können beobachtet werden. Um Angriffe im geschützten Netz zu erkennen, die nicht von außen kommen, müsste das IDS im geschützten Netz positioniert werden.

Mehrere netzwerkbasierte IDS
Eine optimale und lückenlose Überwachung ist nur mit mehreren netzwerkbasierten IDS möglich. Da jedes IDS nur das eigene Netzwerksegment überwachen kann, wird für jedes Segment ein eigenes netzwerkbasiertes IDS benötigt. Im Beispiel muss also ein netzwerkbasiertes IDS im geschützten Netz positioniert werden. Besteht dies aus mehreren Teilnetzen, wird für jedes Teilnetz ein IDS benötigt. Ein weiteres IDS ist für die demilitarisierte Zone zuständig. Besteht das Netzwerk in der demilitarisierten Zone aus mehreren Teilnetzen, ist wieder für jedes Teilnetz ein IDS notwendig. Insgesamt könnte dies z.B. folgendermaßen aussehen:

Je ein netzwerkbasiertes IDS überwacht die beiden Teilnetze im geschützten Netz, das Teilnetz aus Applikationsserver, Datenbankserver und Webserver sowie die demilitarisierte Zone. Dadurch können auch Angriffe innerhalb der einzelnen Teilnetze erkannt werden.

Erweiterung des Beispiels um hostbasierte IDS
Zusätzlich zu den netzwerkbasierenden IDS sollen hostbasierte IDS für den Applikationsserver, den Webserver, den Datenbankserver, den Mailserver sowie zwei wichtige Rechner im geschützten Netz verwendet werden:

	`HIDS = hostbasiertes IDS`

Sensoren eines verteilten IDS
Für die Positionierung der netzwerkbasierten und hostbasierten Sensoren eines verteilten Intrusion-Detection-Systems gilt das Gleiche wie bei den netzwerkbasierten und hostbasierten IDS. Zusätzlich wird ein Managementsystem benötigt, dass die gesammelten Daten zusammenfasst und auswertet. Die Kommunikation zwischen den verschiedenen Sensoren und dem Managementsystem kann entweder über das normale Netzwerk, in einem separaten IDS-Netz oder einer separaten DMZ erfolgen. Entsprechend befindet sich auch das Managementsystem im jeweiligen Netz. Vor- und Nachteile dieser Ansätze werden in der nächsten Woche beschrieben.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

nach oben

Mobile Computing Heute & Morgen!

Nehmen Sie an unserer Umfrage zum Thema Mobile Computing in Deutschland teil und nutzen Sie die Chance eine Casio Exilim EX-Z1050-Digitalkamera zu gewinnen!

Mehr Informationen »

© 1995 - 2008 Software & Support Verlag GmbH. Vervielfältigung nur mit Genehmigung des Verlags.
Haben Sie noch offene Fragen? Bei technischen Fragen wenden Sie sich bitte an den Webmaster.

Mediadaten | Impressum | Kontakt | Datenschutz | Software & Support Verlag GmbH

alle Konferenzen »