Intrusion Detection System
Ein Intrusion Detection System (IDS) ist ein Programm, das der Erkennung von Angriffen auf ein Computersystem oder Computernetz dient. Richtig eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen so die Sicherheit von Netzwerken. Man unterscheidet netzwerkbasierte (NIDS) und hostbasierte Intrusion Detection Systeme (HIDS).
| Inhaltsverzeichnis |
Architekturen
Man unterscheidet zwei Arten von IDS
Host-Basierte IDS
Sie stellen die älteste Art von Intrusion Detection Systemen dar. Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren. Ein HIDS muss auf jedem zu überwachenden System installiert werden. Der Begriff "Host" darf allerdings nicht missverstanden werden. In diesem Kontext ist als Host jedes System gemeint, auf welchem ein IDS installiert ist. Ein HIDS muss das Betriebssystem unterstützen. Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registry. Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt. Eine Unterart der HIDS sind so genannte "System Integrity Verifiers", die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.
Vorteile:
- sehr spezifische Aussagen über den Angriff
- kann ein System umfassend überwachen
Nachteile:
- kann durch einen DoS-Angriff ausgehebelt werden
- wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahm gelegt
Netzwerk-Basierte IDS
NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden. Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen. Da in der heutigen Zeit überwiegend das TCP/IP-Protokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen. Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden. Jedoch kann die Datenmenge eines modernen 1 GBit-LANs die Bandbreite des Sensors übersteigen. Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
Vorteile:
- ein Sensor kann ein ganzes Netz überwachen
- durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet
Nachteile:
- keine lückenlose Überwachung bei Bandbreitenproblemen
- keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch)
Funktionsweise
Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die sogenannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.
Der komplette Prozess unterteilt sich dabei in drei Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst. Dieser kann vielfältiger Natur sein. Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.
Bild:ids_funk.gif
Andere IDS verwenden heuristische Methoden um auch bisher unbekannte Angriffe zu erkennen. Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung. Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist. Ein Hauptproblem beim praktischen Einsatz von IDS ist, dass sie entweder viele falsche Warnungen (sog. false positives) generieren oder einige Angriffe nicht entdecken (sog. false negatives).
Anstatt nur einen Alarm auszulösen, wie ein NIDS, ist ein Network Intrusion Prevention System (NIPS, oder kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern.
IPS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung. Damit lassen sich Abweichungen von der im RFC-Standard (Request for Comment) festgelegten Protokollspezifikation erkennen und verhindern.
Darüber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich, wie beispielsweise der Schutz von Telekommunikationsanlagen (Nebenstellenanlage) durch intelligente, signaturbasierte Intrusion Detection.
IDS Software
Auf dem Markt gibt es eine ganze Reihe von kommerziellen Network Intrusion Detection Systemen. Aber auch freie Software wird angeboten: Snort ist ein kostenloses IDS für Unix/Linux- und Windows-Systeme.
- Umfangreiche Übersicht über HIDS, NIDS, ...
- Snort [1] - Freies, signaturbasiertes NIDS
- Winsnort - Windows-Version von Snort
- Snort Inline - Freies NIPS
- Tripwire - HIDS, verwendet Prüfsummen um Änderungen am System zu überwachen
- AIDE Freies HIDS, ähnlich Tripwire
- Prelude - Freies, signaturbasiertes HIDS
- GFI LANguard System Integrity Monitor - Freies HIDS
- AFICK (Another File Integrity CHecker) - Freies HIDS
Siehe auch
Firewall, TCP, UDP, Internet Protocol, Netzwerksicherheit
Literatur
- Stephen Northcutt/Judy Novak: IDS: Intrusion Detection System, Bonn 2001
Weblinks
- SecurityFocus IDS (englisch)
- Intrusion Detection FAQ (englisch)