Begriffserklärung IDS/IPS

Mittlerweile werden insbesondere IPS-Lösungen auch im Endverbraucherbereich angeboten.

Aber was sind IPS/IDS-Systeme eigentlich?

IDS (Intrusion Detection System) sind Lösungen zur Erkennung von Einbruchsversuchen.

IPS (Intrusion Prevention System) sind Lösungen zur Verhinderung von Einbruchsversuchen.

IDS-Lösungen sind also passiv. Sie schreiben verdächtige Aktionen in Logfiles bzw. können einen Alarm (E-Mail, Pager) auslösen.

IPS-Lösungen können zusätzlich aktiv verdächtige Aktionen unterbinden. So kommunizieren sie beispielsweise mit der Firewall, um aktiv Regeländerungen zu veranlassen.

Bei den IDS/IPS-Lösungen gibt es zwei grundsätzliche Unterscheidungen:

• Netzwerkbasiertes IPS/IDS

• Hostbasiertes IPS/IDS

Netzwerkbasiertes IPS/IDS:

Bei diesen Lösungen handelt es sich um spezielle Hardware oder Rechner, die speziell konfiguriert sind.

Netzwerkbasierte IPS/IDS überwachen in Echtzeit folgende Aktivitäten:

• Auslastung des Netzwerks

• Kommunikationsbeziehungen

• Überwachung bestimmter Ports

Die Erkennung von Einbruchsversuchen basiert dabei auf zwei Analyseverfahren:

• Erkennung von Abweichungen im normalen Netzwerkverkehr

• Erkennung nach Mustern (Signaturen) für Einbrüche

Hier werden auch gleichzeitig die Schwachstellen bzw. Probleme von netzwerkbasierten IDS/IPS erkennbar:

• Definition „normaler Netzwerkverkehr“

• Auswertung der Logfiles

• Positionierung der IDS/IPS Lösung im Netzwerk

• Aktualität und Verlässlichkeit der Signaturen

• Sichere Verbindung IDS/IPS zum Log-Server

• Absicherung des Log-Servers

Eine Definition des „normalen Netzwerkverkehrs“ ist extrem schwierig! Zum einen muss das Netzwerk über einen längeren Zeitraum genau beobachtet werden und zum zweiten darf das Netzwerk über den gesamten Zeitraum nicht kompromittiert sein!!

Hierzu ein Beispiel:

Es wird der normale E-Mailverkehr vom 01.03. bis 01.09. über ein halbes Jahr kontrolliert. Es ergeben sich spezifische Spitzen, die alle nachvollziehbar sind. Man setzt nun aktive Limits, um mögliche E-Mailviren zu verhindern.

Nun kommt aber Weihnachten und Silvester. Ein Zeitraum indem alle Mitarbeiter Glückwünsche mit Anhängen kreuz und quer verschicken. Das IPS schliesst beim Überschreiten des definierten Limits die entsprechenden Ports, weil es einen Angriff vermutet. Den Rest können Sie sich selber ausmalen.

Sie sehen, wie schwierig anhand eines solch einfachen Beispiels die Definition „normaler Netzwerkverkehr“ ist. Ein Netzwerk ist nie statisch! Es wächst dynamisch – und damit sind auch die Regeln immer als dynamisch zu sehen.

Auch die Auswertung der Logfiles ist eine sehr zeitintensive Aufgabe. Ausserdem sind hierfür tief greifende Kenntnisse notwendig.

Hostbasiertes IDS/IPS:

Diese Lösungen werden auf den zu überwachenden Rechnern installiert. Sie kommunizieren dann normalerweise mit einem IDS/IPS-Server. Von diesem beziehen sie auch die notwendigen Regeln. Es gibt aber auch unabhängige Systeme.

Bei diesen Systemen werden kritische Systemoperationen überwacht. Dies sind z.B.:

• Manipulation von Systemdateien

• Manipulation von Treiberdateien

• Installation zusätzlicher Software

• Manipulation der Registry

• Auswertung der Logfiles

• Überwachung von Anmeldeversuchen

• Überwachung der Gruppenrichtlinien

• Überwachung der Benutzerkonten

• Überwachung des Arbeitsspeichers

• Überwachung der Autostarteinträge

• Usw.

Aber auch hier erkennt man mögliche Probleme!

So werden z.B. gewollte Softwareupdates oder ein Remote Patchverwaltung be-/verhindert.

Auch das Einspielen von neuer Software über Gruppenrichtlinien kann von einem hostbasierten IDS/IPS verhindert werden.

Auch beliebte Hilfsmittel zur Fernverwaltung (remote Desktop) können verhindert werden.

Sie sehen, die beiden Systeme verfolgen teilweise unterschiedliche Philosophien.

Prinzipiell kann man aber folgende Empfehlungen geben:

• Da der Markt der IPS/IDS-Lösungen sehr jung ist, informieren Sie sich sehr gut! Achten Sie auf vertrauenswürdige Marken. Beobachten Sie den Markt. Hier sind Firmenübernahmen recht häufig – mit all ihren Folgen für die Kunden.

• Achten Sie auf die personellen Aufwendungen zur Pflege und Kontrolle der Systeme.

• Achten Sie auf die Häufigkeit der angebotenen Updates (Signaturen).

• Achten Sie besonders bei netzwerkbasierten Lösungen auf die mögliche Bandbreite, die diese Systeme verarbeiten können.

• Analysieren Sie Ihr Netzwerk, um die beste Platzierung zu finden.

• Achten Sie auf eine möglichst perfekte Absicherung der Log-Server.

• Achten Sie auf standardisierte Kommunikation der IPS/IDS-Lösungen, damit sie sich z.B. mit Ihrer Firewall versteht.

Zu hostbasierten IDS/IPS-Systemen werde ich zukünftig noch einige Test durchführen und veröffentlichen. Diese können Sie dann in dem neuen Bereich unter Projekte nachlesen --> http://www.security-dome.eu/html/ids_ips.html

Frank Richter

<-- Zurück zu den News