Intrusion-Detection-Systeme - nur etwas für große Netzwerke?
Jan. 14, 2022
Ein Intrusion-Detection-System (IDS) soll ein Netzwerk vor Hackerangriffen schützen. Es entdeckt Angriffe und schädliche Aktionen anhand ungewöhnlicher Aktivitäten und warnt Verantwortliche beispielsweise per E-Mail oder SMS.
Intrusion-Detection-Systeme (kurz: IDS) sollen Einbrüche und schadhafte Aktionen in einem Netzwerk erkennen. Im Gegensatz zu Virenscannern und Firewall-Systemen kann ein IDS zudem bei festgelegten Aktionen Warnungen an Verantwortliche absenden. Die Installation eines Intrusion-Detection-Systems verlangt allerdings einige Kenntnisse. Unter Umständen ist die Anschaffung spezieller Hardware notwendig. Zudem macht ein IDS nur Sinn, wenn im Unternehmen auch jemand zeitnah auf eventuelle Alarme reagieren kann. Daher stellt sich die Frage, ob ein Intrusion-Detection-System etwas für vergleichsweise kleine Netzwerkinfrastrukturen von KMU ist. Wir möchten ein paar Fakten liefern, die Ihnen bei der Entscheidung helfen sollen.
Was genau ist ein Intrusion-Detection-System?
Ein IDS soll nach dem Leitfaden des Bundesamtes für Sicherheit in der Informationstechnik im Idealfall aus den folgenden Komponenten bestehen:
1. Netzsensoren: Dienen der Überwachung von Netzwerkverkehr.
2. Hostsensoren: Sollen Aktivitäten vom Betriebssystem, von Anwendungen oder Netzwerkverkehr einzelner Rechner überwachen.
3. Datenbankkomponenten: Diese sind für die Protokollierung der festgestellten Aktivitäten gedacht.
4. Managementstation: Ist für die Konfiguration des gesamten IDS vorgesehen.
5. Auswertungsstation: Dabei handelt es sich um einen Rechner, der für die Analyse festgestellter Aktivitäten eingesetzt wird.
Die Sensoren erfassen festgelegte Aktionen. Dieses können etwa die Menge des Netzwerkverkehrs oder Dateizugriffe auf einem System sein. Ebenfalls ist es möglich, Logprotokolle auf Hosts oder Servern zu überwachen. Für die erhobenen Werte müssen individuelle Regeln im Intrusion-Detection-System festgelegt werden. Diese sind abhängig von den im Netzwerk als normal geltenden Aktivitäten. Werden beispielsweise regelmäßig größere Datenmengen an externe Stellen ausgeleitet, muss dies in die Regeln eingearbeitet werden, um keine unnötigen Fehlalarme zu provozieren. Wird ein bestimmter Schwellenwert überschritten, so löst das IDS einen Alarm aus und versendet zum Beispiel eine E-Mail-Benachrichtigung oder SMS an den Administrator.
Mögliche verdächtige Aktivitäten sind:
- Ungewöhnliche Anzahl an Schreibzugriffen auf unterschiedliche Dateien an einem Speicherort
- Systematische Abfrage der Ports an einem Server
- Große Menge abfließender Daten
- Kritische Einträge in Logprotokollen, etwa über fehlgeschlagene Login-Versuche
- Netzwerkaktivitäten zu ungewöhnlicher Uhrzeit
Darüber hinaus können auch Signaturen verwendet werden, die bekannte Muster schädlicher Aktionen enthalten. Dies ist vergleichbar mit Virensignaturen in entsprechender Virenscanner-Software. Ergänzt wird ein IDS in manchen Fällen um sogenannte Honeypots. Hierbei handelt es sich um absichtlich im Netzwerk platzierte, vulnerable Elemente. Bei einem Angriff ist davon auszugehen, dass diese relativ zeitnah kompromittiert werden. In diesem Fall wird ebenfalls ein Alarm ausgelöst.
Der Administrator kann nach Erhalt der Meldung prüfen, ob es einen harmlosen Grund für die Anomalien gibt oder ob tatsächlich Hinweise auf einen Cyber-Angriff vorliegen.
Von der Intrusion-Detection zur Intrusion-Prevention
Ein Intrusion-Detection-System gibt nur Warnungen an Verantwortliche weiter. Die Reaktionen müssen danach manuell erfolgen. Dies ist nachteilig, wenn es kein Administratoren-Team gibt, das eine permanente Erreichbarkeit gewährleisten kann. Ein Intrusion-Prevention-System (IPS) führt hingegen nach Feststellen einer als verdächtig festgelegten Aktion selbstständig Maßnahmen aus. Dies kann etwa die Unterbrechung des Netzwerkverkehrs sein. Auch Sperrung von bestimmten Ports sind denkbare Reaktionen. Zu Bedenken ist allerdings, dass auf diese Weise auch Sperrungen bei Fehlalarmen verursacht werden können und hierdurch beispielsweise Server des Unternehmens vorübergehend nicht zu erreichen sind.
Welche Arten von Intrusion-Detection-Systemen gibt es?
Es ist nicht zwingend erforderlich, eine Komplettlösung aus mehreren Sensoren und separaten Analyse- und Management-Rechnern zu betreiben. Ein IDS kann auch auf die Überwachung einzelner Server oder Hosts beschränkt werden. Ebenfalls muss nicht der gesamte Netzwerkverkehr überprüft werden. Aufgrund des Aufwands und der laufenden Kosten wird hier eine sorgfältige Risikoabschätzung und Kosten-Nutzen-Analyse notwendig sein.
Mögliche Umsetzungen können sein:
- Kommerzielle Komplettlösungen: Die kostenintensivste Variante ist sicherlich eine Komplettlösung aus Hard- und Softwarekomponenten von Premiumanbietern wie Cisco, Trend Micro, Check Point, Mc Afee und weiteren. Hier kann durch Dienstleister eine komplette Installation und Inbetriebnahme erfolgen. Ein weiterer Vorteil ist, dass Sensoren garantiert für ein bestimmtes Datenvolumen ausreichend sind.
- Firewall mit integriertem IDS: Hersteller von professionellen Hardware-Firewalls wie Barracuda bieten häufig auch ein integriertes Intrusion-Detection-System an. Die Systeme überwachen ohnehin ein- und ausgehenden Netzwerkverkehr und ergänzen diesen Schutz um die Erkennung von möglichen Systemeinbrüchen. Wenn ansonsten keine IDS-Komponenten im Netzwerk vorhanden sind, kann dies ein sinnvoller Kompromiss sein. Denkbar ist zudem eine Ergänzung um hostbasierte Komponenten auf zentralen Rechnern innerhalb des Netzwerks.
- Open-Source-Lösung mit dedizierter Hardware: Hier ist die quelloffene Software Snort zu nennen, die bei den nicht-kommerziellen Lösungen schon ein Quasistandard geworden ist. Bekannt ist Snort aus der Linux-Welt und kann in Verbindung mit dem ebenfalls kostenfreien Betriebssystem insofern für die Erstellung günstiger IDS-Komponenten verwendet werden. Allerdings sind für eine Installation und Konfiguration schon recht fortgeschrittene IT-Kenntnisse erforderlich. Alternativ kann dies natürlich auch durch bezahlte Dienstleister erfolgen.
- Individuelle Softwarelösungen: Viele Security-Suiten beinhalten Komponenten einer Intrusion-Detection, wie zum Beispiel die Überwachung von laufenden Prozessen eines Systems oder die Zugriffe auf festgelegte Speicherorte. Für einzelne Aufgaben gibt es auch spezielle "Insellösungen", beispielsweise die permanente Überwachung der Windows-Registry auf vorgenommene Änderungen.
Sinnvolle Ergänzung: Intrusion-Detection-System im Netzwerk
Weder Firewall noch Virenscanner sind in der Lage, hundert Prozent aller unberechtigten Zugriffe oder schadhafter Software abzuwehren. Das kann auch ein Intrusion-Detection-System nicht. Die unterschiedlichen Ansätze des Schutzes ergänzen sich in vielen Fällen sinnvoll und erhöhen so die Sicherheit Ihres Netzwerks. In einem kleinen Netzwerk, das in einem Angriffsfall aus vorhandenen Backups schnell wieder hergestellt werden könnte, wäre ein kommerzielles IDS-Komplettsystem sicherlich übertrieben. Einzelne Elemente, wie zum Beispiel die Überwachung von Ordnern auf Änderungen, sind aber auch in einem solchen Fall empfehlenswert. Je mehr natürlich die Funktionsfähigkeit oder gar die Existenz eines Unternehmens von der Funktionsfähigkeit der IT-Infrastruktur abhängt, macht ein leistungsfähiges IDS ohne Zweifel Sinn. Wenn Sie bereits über ein Intrusion-Detection-System verfügen, stellen wir dieses übrigens gern auch im Rahmen eines Penetration-Testings auf die Probe.