Know-how: IDS-Technik
Angriffe vorab erkennen

Netzwerke

Intrusion-Detection-Systeme (IDS) erkennen Angriffe auf das Netzwerk und blocken sie frühzeitig ab. Ihr Schutz ist eine Stufe tiefer im Übertragungsprotokoll angesiedelt als bei der Firewall. Eine wichtige Rolle spielt auch die Position des IDS im Netz.

Firewall kann nicht alle Angriffe abwehren

Know-how: IDS-Technik

Eine einfache Firewall prüft eintreffende Datenpakete anhand der verwendeten Ports: Ist der Zugriff auf den adressierten Zielport vom Internet erlaubt, lässt sie die Pakete durch, ansonsten werden sie verworfen. Einen Schritt weiter gehen Firewalls mit Stateful-Packet-Inspection. SIe prüfen zusätzlich, ob das eingehende Datenpaket eine Antwort auf eine Anfrage aus dem LAN ist. Nur dann hat das Paket eine Beziehung zum lokalen Netz und darf passieren.

Leider genügt der Schutz durch eine Firewall nicht, alle Angriffe effektiv abzuwehren. Ursache dafür sind Anfälligkeiten in den eingesetzten Betriebssystemen und Anwendungen. Diese lassen sich durch mutwillig erzeugte, fehlerhafte Pakete aus dem Tritt bringen. Manipulierte Header oder überlange Datenpakete führen zu Buffer-Underruns oder -Overflows. Dadurch erhält der Angreifer im schlimmsten Fall die völlige Kontrolle über das attackierte System.


Intrusion-Prevention ist Standard

Know-how: IDS-Technik

Diese Lücke schließen Intrusion-Detection-Systeme, die von einigen Herstellern auch als Intrusion-Prevention-Systeme bezeichnet werden. In der Funktion gibt es zwischen den Systemen keinen Unterschied. Angriffe werden auf Paketebene nicht nur erkannt, sondern auch geblockt.

Ähnlich einem Virenscanner arbeiten sie meist mit einer Liste von Signaturen. Diese beschreiben jedoch nicht nur den Schadcode, sondern nennen auch den Zielport und die Art der am Datenpaket vorgenommenen Modifikation. Anhand der Liste untersucht das IDS die Datenpakete und entscheidet, ob es sich um einen Angriffsversuch oder zulässige Daten handelt. Nur zulässige Daten können das IDS passieren. Der Vorteil einer Signaturliste ist, dass mit ihrer Hilfe nicht nur die Erkennung optimiert, sondern auch der Anwender präziser über die Art des Angriffs informiert werden kann.

Zwingend erforderlich ist die Signaturliste nicht. Bei Lancom wird der Datenverkehr anhand der RFC-Spezifikationen geprüft. Dieses Verfahren hat den Nachteil, dass der Anwender nicht detailliert über die Art des Angriffs informiert werden kann.

Beim Test der SMB-Appliances fällt allerdings auf, dass auch einige der Kandidaten mit Signaturliste die Testattacken lediglich als illegale Datenpakete melden. Das liegt daran, dass bei diesen Produkten die IDS hinter der Firewall platziert ist. Weil die Firewall einen Teil der eingehenden Daten als nicht angefordert erkennt, verwirft sie die Pakete. Das dahinter liegende IDS bekommt sie nicht zu sehen. Angriffe auf das eigene Netz werden dann nicht als solche erkannt.


Optimal: IDS vor der Firewall

Know-how: IDS-Technik

Besser ist es, das IDS in der Verarbeitungsreihenfolge vor die Firewall zu setzen. Für die Hersteller bedeutet das jedoch, dass sie leistungsfähigere Hardware verbauen müssten, um weiterhin akzeptable Transferraten zu erreichen. Der Scan aller Pakete durch das IDS ist sehr rechenintensiv, bei schwachen CPUs bricht die Performance ein.

Nur wenige Hersteller geben Informationen über die interne Arbeitsweise ihrer Produkte preis. Es empfiehlt sich daher, selbst mit der BSI-Suite zu testen. Die Rate der erkannten und benannten Attacken gibt einen Anhaltspunkt darüber, mit welcher Art von IDS man es zu tun hat.