Intrusion Detection Systeme im Vergleich

3. Erkennungstechnologien

Um Angriffsversuche erkennen zu können, müssen gesammelte Daten (Auditdaten) mit geeigneten Methoden analysiert werden. Hierfür haben sich in den letzten Jahren zwei prinzipiell verschiedene Methoden entwickelt: die Missbrauchserkennung („Misuse Detection“) und die Anomalieerkennung.

3.1. MissbrauchsIDSerkennung

Bei dieser Erkennungsmethode wird versucht, in Auditdaten die für bekannte Angriffe typischen Muster zu erkennen. Die „traditionelle Methode“ hierfür ist das so genannte „Pattern Matching”, bei dem der Datenstrom auf bekannte Bitmuster hin untersucht wird. Die erfassten Daten werden mit den bekannten Mustern so lange verglichen, bis eine Übereinstimmung vorliegt (= Angriff erkannt) oder in allen bekannten Angriffsmuster keine Übereinstimmung mit den Auditdaten gefunden werden konnte (= kein Angriff).

Eine Weiterentwicklung dieser Erkennungstechnologie stellt die „Protokollanalyse“ dar. Hierbei werden die Daten aufgrund der vorliegenden Protokollinformationen in den Datenpakete analysiert. Das Analysemodul ermittelt, z.B. dass es sich um ein IP-Paket handelt, in dem sich ein TCP-Segment befindet, der verwendete Servicetyp ist „http“ und in den Nutzdaten (Payload) des Paketes steht „GET /“. Somit kann – sehr stark vereinfacht erklärt – in wenigen Schritten (IP -> TCP -> http -> „GET /“) Inhalt des Datenpaketes ermittelt werden und es muss lediglich anhand bekannter Muster überprüft werden, ob der Nutzendateninhalt einen Angriff darstellt. Der entscheidende Vorteil der Protokollanalyse gegenüber den Pattern Matching besteht darin, das wesentlich weniger Rechenaufwand nötig ist und auch Mutationen von Angriffen leicht erkannt werden können.

Die Missbrauchserkennung stellt gewisse Anforderungen an den zu erkennenden Angriff. Es muss bekannt sein, worauf dieser Angriff basiert (z.B. IP-Paket mit falscher Größenangabe), eine Signatur für diesen Angriff muss vorliegen und die Signatur muss dem Intrusion Detection System zugänglich gemacht werden.

Damit die Erkennung jedoch überhaupt erfolgreich stattfinden kann, müssen die erfassten Daten zunächst aufbereitet werden. Dieser Forderung kommt insbesondere bei der netzwerkbasierten Intrusion Detection eine große Bedeutung zu. Die Aufgabe des Intrusion Detection Systems besteht darin, die Pakete zunächst wieder in die richtige Reihenfolge zu bekommen (Reordering) und die einzelnen Segmente wieder zusammenzusetzen, um den Inhalt der Nutzdaten vollständig und in seiner Gesamtheit überprüfen zu können.

3.2. Anomalieerkennung

Dieser Ansatz beruht darauf, dass ein Angriff ein atypisches Systemverhalten (Anomalie) zur Folge hat, das erkannt werden kann. Um solche Abweichungen vom Normalverhalten festzustellen, ist es zunächst notwendig, innerhalb des zu schützenden Systems festzulegen, was „normales Verhalten” ist. Festlegung, was als „normal“ zu bezeichnen ist kann über statistische Ansätze oder logische Ansätze ermittelt werden. Beim statistischen Ansatz wird versucht, zu einer vorgegeben Parametermenge (Zahl der Pakete pro Sekunde in einem Netzwerk, CPU-Auslastung, etc.) zunächst die Normalwerte zu bestimmen. Dies können zustandsunabhängige Mittelwerte sein (z.B. Netzwerkauslastung normal bei 50%) oder es handelt sich um zustandsabhängige Werte, die zu einem Alarm führen, sobald sich ein Parameter außerhalb eines als normal definierten Bereichs bewegt (z.B. mehr als 10000 unbeantwortete SYN-Pakete).

In den statistischen Ansätzen spiegelt sich allerdings die zeitliche Abfolge von Ereignissen nicht in den Parametern wider. Eine vom Normverhalten abweichende Abfolge von Ereignissen kann jedoch auf einen Angriff hindeuten. Aus diesem Grund berücksichtigen logische Ansätze zur Anomalieerkennung die zeitliche Abfolge von Ereignissen und beschreiben das Normverhalten anhand von Regeln. Ereignisfolgen müssen immer in einer definierten Ereignisfolge ablaufen. Ist dies nicht der Fall, wird das beobachtete Systemverhalten als anomal bewertet.

3.3. Die optimale Erkennungsmethode…

Um es vorwegzunehmen: die optimale Erkennungsmethode gibt es nicht! Entscheidend ist der Einsatz der geeigneten Kombination von Erkennungsmethoden für den eingesetzten IDS-Typ zu finden.

4. Anforderungen an moderne Intrusion Detection Systeme

Auswahlkriterien
Als Auswahlkriterien für ein Intrusion Detection System sollten folgende Aspekte, geordnet nach ihrer Priorität, berücksichtigt werden:

Die hier aufgelisteten Kriterien haben sich in den letzten Jahren im Rahmen von IDS-Projekten als relevant herauskristallisiert und stellen ein Grundgerüst für die Evaluation einer Intrusion Detection Lösung dar.

Unberücksichtigt bleiben an dieser Stelle allerdings Aspekte, wie der Aufbau und Ausbau von technischem Know-How bei den verantwortlichen Administratoren der Intrusion Detection Lösung und die organisatorische Integration der Lösung in die bestehende IT-Infrastruktur eines Unternehmens. Die Definition von Zielen, die mit der Einführung eines Intrusion Detection Systems erreicht werden sollen und die Ausarbeitung von Richtlinien und Konzepten zur effektiven Nutzung der Intrusion Detection Systeme sind unverzichtbare Grundlagen, die vor der technischen Umsetzung einer Intrusion Detection Lösung zwingend erarbeitet sein müssen!

4.1. Management, Konfiguration und Handhabung

Die Möglichkeiten eines zentralen und einfachen Managements einer Intrusion Detection Lösung bestimmen den Administrationsaufwand entscheidend. Das „Bullauge“ für den Einblick des Administrators in das Intrusion Detection System ist zunächst eine übersichtliche grafische Benutzeroberfläche. Dieses Administrations-GUI muss auf einem beliebigen Arbeitsplatz installiert werden können und Zugriff auf alle relevanten Funktionen der Software bieten.

Bei der Konfiguration eines Intrusion Detection Systems muss es möglich sein, einzelne Komponenten, wie z.B. über mehrere Umgebungen verteilte Sensoren separat und individuell konfigurieren zu können. Die Detection-Policy, sprich das Regelwerk das festlegt, was erkannt werden soll, muss einfach erstellt werden können. Um auch spezielle Ereignisse erkennen zu können, muss das IDS die Möglichkeit bieten, eigene Suchmuster definieren zu können. Zu den Routineaufgaben gehört auch, das regelmäßige Update der IDS-Software. Hierbei müssen „Signaturen“ und die IDS-Software selbst auf den neusten Stand gebracht werden, um auch aktuelle Angriffsszenarien aufspüren zu können. Diese Aufgaben müssen zentral erledigt werden können und die IDS-Managementstation muss hierfür geeignete Schnittstellen vorsehen.

Unter dem Begriff „Handhabung“ müssen Aspekte wie die Anzahl der erforderliche Verwaltungswerkzeuge, die Möglichkeiten zur Sicherung von Systemkonfigurationen und Ereignismeldungen und der mit der Bedienung des Systems verbunden Aufwand diskutiert werden.

4.2. Anwendungssicherheit des Intrusion Detection Systems

Intrusion Detection System können ihre Überwachungsaufgaben nur dann erfüllen, wenn sie ordnungsgemäß funktionieren. Ein Angreifer, der das Vorhandensein eines IDS vermutet, kann durch den Einsatz so genannter „Evasion-Techniken“ versuchen, ein Intrusion Detection System zu täuschen oder gar außer Kraft zu setzen.

Ein Intrusion Detection System muss robust und stabil programmiert sein und es darf nicht durch Dritte einfach deaktiviert werden können. Einzig ein IDS-Administrator darf in der Lage sein, einen Sensor zu deaktivieren oder zu rekonfigurieren.
Darüber hinaus muss die Kommunikation zwischen Sensor und Managementstation abgesichert werden. Die meisten heute am Markt verfügbaren Systeme verschlüsseln hierzu die Kommunikation zwischen Sensor und Managementstation um zu verhindern, dass ein Angreifer Ereignismeldungen mitlesen und manipulieren kann.

Ein Aspekt der bei der Betrachtung der Anwendungssicherheit eines Intrusion Detection Systems nicht vernachlässigt werden darf, ist auch die Absicherung der Managementstation.

4.3. Sichere und performante Datenspeicherung

Ereignisdaten werden üblicherweise in relationalen Datenbanken gespeichert. In Abhängigkeit von der Architektur der Intrusion Detection Lösung liegt diese Datenbank direkt auf der Managementstation oder die Daten werden remote auf einem zentralen Datenbankserver gespeichert. Die so gespeicherten Daten können im Einzelfall jedoch sehr schutzbedürftige Informationen enthalten. Neben der Abbildung eines Rollenkonzeptes zur Administration der Intrusion Detection Lösung muss hier die Möglichkeit bestehen, den Zugriff auf einen Datenspeicher zu reglementieren und die Daten vor unbefugten Zugriffen geschützt speichern zu können. Als zusätzliche Lösungsmöglichkeit bietet sich hier die transparente Verschlüsselung von Ereignisdaten vor der Speicherung der Daten in der Datenbank an.

Die zu speichernde Datenmenge an Ereignismeldungen kann über die Zeit hinweg sehr groß werden. Deshalb müssen hier die entsprechenden Voraussetzungen bei der Planung mit bedacht und geschaffen werden.

4.4. Logging und Reporting von Ereignisdaten

Die Aussagekraft von Ereignismeldungen hängt sehr stark von den ermittelten Details ab, die ein Intrusion Detection System aufzeichnet und die zur Ermittlung eines Angriffs führen. Als Bespiele seien hier die Quell-IP-Adresse eines Hosts, der TCP-Zielport oder ein Anmeldenamen eines Benutzers aufgeführt. Die Zahl der protokollierbaren Parameter muss ausreichend groß sein, um später ein umfassendes Bild über die Ereignisse zu bekommen. Zudem sollten die von einem IDS erzeugten Alarmmeldungen normiert sein und Standards wie dem Katalog der CVE (www.mitre.org) genügen, um Meldungen mehrerer Quellen miteinander in Beziehungen bringen zu können.

Auch wenn nahezu alle Anbieter von Intrusion Detection System Reportingtools mit ihren Werkzeugen ausliefern, decken die so erstellten Reports erfahrungsgemäß nicht alle relevanten Fragestellungen ab oder liefern nur bedingt brauchbare Sichten auf die Ereignisse. Deshalb muss das Management des IDS deshalb die Definition eigener, individuell angepasster Reports erlauben.

4.5. Performance und Skalierbarkeit

Die Marketingaussagen der IDS-Hersteller drehen sich zu einem Großteil um das Thema „Performance“. In der Praxis hat sich aber gezeigt, dass „Performance“ eine andere Bedeutung hat und für den erfolgreichen Betrieb einer Intrusion Detection Lösung nicht zwangsläufig höchste Priorität haben muss.

Ein Intrusion Detection System muss zuverlässig Systemzustände erkennen und als erwünschte oder nicht erwünschte Ereignisse klassifizieren können. In diesem Zusammenhang bedeutet Performance zunächst, dass das Ergebnis der Datenanalyse hinreichend zuverlässig ist, unabhängig von der zu verarbeitenden Datenmenge. In einem zweiten Schritt muss die Forderung nach Zuverlässigkeit dahingehend erweitert werden, dass das Intrusion Detection System alle vorliegenden Daten zuverlässig und korrekt analysieren kann.

Die Größen für die Beurteilung der Leistungsfähigkeit eines Intrusion Detection Systems unterscheiden sich zunächst primär sehr stark zwischen einzelnen IDS-Typen. Wichtig ist hier mit Sicherheit, dass ein IDS möglichst viele verschiedene Ereignisse unterscheiden können muss. In der Vergangenheit wurde diese Größe primär an der Zahl der „Signaturen“ (Patterns) festgemacht. Da sich viele Attacken heute jedoch polymorph darstellen und aus mehreren kleinen Attacken bestehen, die zusammengesetzt eine neue Attacke ergeben oder sich Attacken durch die Modifikation eines kleinen Details verändern lassen, in Ihrer Wirkung aber identisch bleiben, ist die Zahl der Signaturen heute kein relevanter Parameter mehr zur Bestimmung der Leistungsfähigkeit und der Performance eines IDS. Wichtig ist hier primär die verwendete Erkennungstechnologie und bis zu welchem Datenvolumen pro Zeiteinheit diese Erkennungstechnologie zuverlässig Ergebnisse liefert.

Netzwerkbasierte Systeme müssen mit der in einem Netzwerk transferiert Datenmenge umgehen können, d.h. die durch die Bandbreite festgelegte maximale Datenmenge muss zu jedem Zeitpunkt vom IDS verarbeitet werden können.

„Performance“ im Zusammenhang mit HIDS (Hostbased Intrusion Detection Systems), NNIDS (Network Nodebased Intrusion Detection Systems) und (IPS) Intrusion Prevention Systeme hat zunächst mehr mit der Frage nach den verfügbaren Features zur Erkennung bzw. zur Abwehr von Angriffen und mit dem Einfluss des Intrusion Detection Systems auf die Performance des Zielsystems zu tun.

4.6. Architektur der Lösung

Die Skalierbarkeit einer Intrusion Detection Lösung hängt wesentlich von der Architektur der Intrusion Detection Lösung ab. Üblicherweise zerfallen die heute am Markt verfügbaren Intrusion Detection Systeme in folgende Komponenten:

Die geografische Aufteilung und die Zahl der zu überwachenden Umgebungen, so wie die Gesamtzahl der zu überwachenden Komponenten haben einen wesentlichen Einfluss auf die Architektur der späteren Intrusion Detection Lösung und müssen bereits in einem frühen Planungsstadium berücksichtigt werden.

4.7. Kommerzielle Aspekte für den Einsatz eines Intrusion Detection Systems

Die Zahl der erforderlichen Komponenten für den Betrieb eine Intrusion Detection Lösung können von System zu System stark schwanken. Als teueren Fehlgriff haben sich in der Vergangenheit meist Installationen herausgestellt, bei den zu Beginn eines IDS-Projektes die Projektziele nicht oder nur unzulänglich beschrieben wurden. Die Folge waren dann meist Lösungen die „oversized“ waren, oder Lösungen die nachwenigen Monaten nicht mehr die Anforderungen erfüllen konnten und eine umfassende Überwachung nicht zuließen.

4.8. Integration des Intrusion Detection Systems in die bestehende IT-Infrastruktur

Ein Intrusion Detection System muss betrieben werden. Hierzu muss das System in bestehende IT-Strukturen und Hierarchien integriert werden. Die saubere Integration der IDS-Prozesse in den Ablauf der IT-Organisation entscheidet später über den Nutzen einer Intrusion Detection Lösung.

Neben dem Know-How um Angriffstechniken, Betriebsysteme, Netzwerke oder Datenbanken, die Architektur der eigenen IT-Installationen und Detailwissen über Konfigurationen müssen Prozesse aufgesetzt werden, die beschreiben, wie vorzugehen ist, wenn eine „Intrusion“ festgestellt wird. Die umfassende Beantwortung der Frage „Was stellt für mein Unternehmen eine Intrusion dar?“ ist die Basis für Organisationsrichtlinien, die Definition von Betriebsabläufen und Eskalationsprozeduren und die Überwachung von Computersystemen und Netzwerken.

Technisch betrachtet muss sich ein Intrusion Detection System in die bestehende IT-Infrastruktur integrieren lassen. Die von einem Intrusion Detection System unterstützten Hardware- und Betriebsystemplattformen müssen sich mit den im Unternehmen eingesetzten Plattformen decken.

Autor: Christian Götz, Berater bei cirosec

pdf-Datei

zurück