Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.02.2000 - 

Sicherheit im Netz/Host- und Netz-basierte Intrusion-Detection-Systeme im Vergleich

Wenn Unternehmen Gefahr durch eigene Mitarbeiter droht

Die meisten Sicherheitsverantwortlichen richten ihre Aufmerksamkeit nach wie vor auf Hacker oder Viren, die das Netz von außen attackieren. Dabei lauert die größte Bedrohung inzwischen ganz woanders, nämlich im Innern des Unternehmens. Artur Heil* beschreibt, wie Anwender diese Risiken reduzieren können.

Je weiter die Vernetzung der Geschäftswelt voranschreitet, desto öfter werden Geschichten über interne Sicherheitsverletzungen zu hören sein. Ob nun löchrige Sicherheits-Policies, allzu leichtsinnig verteilte Zugangsberechtigungen oder unübersichtliche IT-Strukturen der Grund sind: Eine aktuelle Studie der International Data Corporation (IDC) zeigt, dass die eigentliche Gefahr für sensible Unternehmensdaten inzwischen vor allem in den eigenen Reihen zu orten ist: So haben den Angaben zufolge etwa 90 Prozent aller Verstöße gegen die IT-Sicherheit interne Ursachen. Und mehr als 45 Prozent der dadurch entstehenden Schäden werden durch unzuverlässige Mitarbeiter verursacht. Auf den ersten Blick sind diese Zahlen erschreckend. Letztendlich können sie aber nicht wirklich überraschen, wenn man bedenkt, dass interne Anwender sich mit den vorhandenen Business-kritischen Informationen und Systemen häufig einfach am besten auskennen.

Hinter illegalen Machenschaften am Bildschirm stecken die unterschiedlichsten Motive: Die Spanne reicht von persönlicher Bereicherung und lukrativer Industriespionage über Racheakte bis hin zu reiner Neugier. Unbefugten wird es immer noch viel zu leicht gemacht, an geschützte Unternehmensdaten heranzukommen: Herumexperimentieren oder Passwörter ausspionieren - dazu braucht man schließlich keine speziellen Hackerkenntnisse.

In vernetzten Umgebungen ist jeder Zugangspunkt zum Netz - sei es ein PC, ein Laptop oder eine Workstation - eine potenzielle Gefahrenquelle und bietet Raum für gezielte Systemmanipulationen oder Datenklau. Obwohl in großen Unternehmen fast täglich unerlaubt auf Daten zugegriffen wird, kommt nicht jeder Missbrauch automatisch ans Licht. Hat es der Unbefugte nämlich erst einmal geschafft, in das System einzudringen, merkt selbst der Systemadministrator nicht, welche Daten entwendet wurden. Auch die Manipulation von Daten wird oft zu spät oder gar nicht entdeckt.

Die finanziellen Folgen lassen sich schwer beziffern; sicher ist aber, dass solche Manipulationen für ein Unternehmen katastrophal sein können - beispielsweise wenn geheime Entwicklungspläne für ein neues Produkt verschwinden und von der Konkurrenz ausgenutzt werden. Manchmal kann ein solcher Verlust sogar das unternehmerische Aus bedeuten. Trotzdem werden die wenigsten internen "Netzgangster" später für ihre Datenspitzeleien oder -manipulationen zur Verantwortung gezogen, denn oft erweist sich die Beweisführung als zu schwierig, als dass sie sich gerichtlich belangen ließen.

In Zeiten von E-Business vertreten viele Unternehmen die Auffassung, eine Firewall biete ausreichend Schutz und Abwehr für das gesamte Informationssystem. Doch dem ist nicht so. Eine Firewall sichert das Netzwerk zwar gegen Attacken von außen, sie hat aber überhaupt keinen Einfluss auf unzulässige Aktivitäten, die innerhalb des Unternehmensnetzes stattfinden.

Mit modernen Intrusion-Detection-Systemen (IDS) lässt sich auch die nötige Sicherheit nach innen garantieren. Diese Tools können in existierende Netzwerktopologien und alle gängigen Management-Plattformen integriert werden. Bei unberechtigten Zugriffen - ob von außen oder von innen - schlägt ein IDS-System sofort Alarm. Es entdeckt Einbrüche ins Netz in Echtzeit und dokumentiert diesen Vorgang gleichzeitig vom Anfang bis zum Ende. Darüber hinaus beeinträchtigen IDS-Lösungen die Anwender nicht bei ihrer Arbeit. Die üblichen Applikationsgeschwindigkeiten sinken auch nach der Implementierung kaum. Etablierte Zugangskontrollen und die Durchlässigkeit zum Internet bleiben ebenfalls erhalten.

Grundsätzlich unterscheidet man heute zwischen Host- und Netzwerk-basierten IDS-Lösungen. Host-basierte IDS überwachen alle Aktivitäten jeweils am Host sowie an den daran angeschlossenen Geräten im Netz. Der Datenverkehr über Web-Server, Firewalls und Router wird von so genannten Host Agents ständig kontrolliert. Diese halten Ausschau nach Einbruchsversuchen, registrieren alle verdächtigen Aktionen in Echtzeit und leiten bei Bedarf sofortige Gegenmaßnahmen ein.

Jeder Zugriff auf einen Netzwerkrechner wird mit Angaben - zum Beispiel über Benutzernamen, Passwörter, Zugriffszeit und -dauer - in die jeweilige Log-Datei eingetragen. Das IDS wertet diese Informationen aus. Sobald eine Sicherheits-Policy durch einen unerlaubten Vorgang übertreten wird, hat die IDS-Software mehrere Möglichkeiten zu reagieren: Sie kann beispielsweise eine Management-Konsole benachrichtigen, eine E-Mail an den Administrator verschicken, einen Pager anpiepsen, einen Anwendungs-Account schließen, den feindlichen Angriff in Echtzeit stoppen, die gefährliche Session des Angreifers abbrechen, das System herunterfahren etc.

Host-basierte IDS lassen sich grundsätzlich in zwei Kategorien einteilen: Single System und Manager/Agent. Ein Single System schützt nur einen bestimmten Server (etwa einen Datenbank- oder Web-Server), indem es Einbrüche in den Audit-Log-Dateien erkennt. Bei Manager/Agent-Applikationen dagegen werden Agenten auf mehreren zu schützenden Systemen installiert. Diese Agenten wiederum sind mit ID-Managern verbunden, die an eine zentrale ID-Management-Konsole angeschlossen sind. Die Agenten können remote neue ID-Versionen und -Regeln für Attacken installieren beziehungsweise Upgrades durchführen.

Allerdings ist bei Host-basierten IDS der Zugang zu den Audit Trails nur auf der Ebene des Betriebssystems oder auf der Ebene der Applikationen möglich. Es wird also nicht der Netzverkehr selbst, sondern in erster Linie die Protokolldatei überprüft. Deshalb bemerken solche IDS-Tools beispielsweise keine "Denial-of-Service-Attacken" - diese können jedoch den Ausfall ganzer Systeme verursachen.

Der Trend zu immer größeren Netzwerken erfordert das Überwachen von Daten auf allen Kommunikationsebenen. Deshalb gehört zu einem wirklich umfassenden Sicherheits-Management heute auch ein Netzwerk-basiertes IDS-System. Diese Tools analysieren sämtliche Datenpakete im Netzverkehr und gleichen sie mit bekannten Angriffsmustern ab. Dabei werden die Parameter einer Anwendersession mit den jeweiligen Anwendungsbefehlen des Users verglichen und auf diese Weise mögliche Unregelmäßigkeiten aufgespürt, beispielsweise ein als Internet-Session getarnter Zugriff auf den internen FTP-Server. Außerdem verarbeitet ein spezielles Programmteil jede einzelne erkannte Angriffssignatur weiter und integriert sie ins System. Wird eine solche Angriffssignatur entdeckt, werden sofort Gegenmaßnahmen eingeleitet. Diese Art der Intrusion Detection ist plattformunabhängig und muss nicht auf jedem einzelnen Host im Netz installiert werden. Das kommt vielen Sicherheitsexperten entgegen: In der IDC-Studie gaben immerhin 37 Prozent von ihnen an, dass vor allem die große Zahl unterschiedlicher Plattformen die Administration erschwert.

Ganz entscheidend für die Netzwerk-basierte Störungssuche ist die Art und Weise, wie Eindringlinge aufgespürt werden: Die meisten IDS überprüfen den Netzverkehr statisch, das heißt, sie erkennen Attacken ausschließlich auf Basis vordefinierter Angriffsmuster, die im System gespeichert sind. Für jede einzelne Angriffssignatur ist dabei eine eigene Routine erforderlich. Dieses Verfahren hat zwei wesentliche Nachteile: Erstens sind solche Systeme nicht lernfähig - jede Attack Signature muss einzeln "nachinstalliert" werden, und in dieser Zeit findet keine Überwachung statt; zweitens wird die Performance der IDS mit jeder zusätzlichen Abwehrroutine schlechter: Je mehr Angriffsmuster erkannt und abgewehrt werden, desto langsamer läuft der gesamte Vorgang.

So wichtig IDS-Systeme auch sind: Unternehmen können auch nach der Implementierung nicht davon ausgehen, dass sie ihre Netzwerke damit 100-prozentig vor unerlaubten Zugriffen schützen. Sie müssen den internen Risiken vielmehr mit einem verantwortlichen Management entgegentreten. Denn jedes IDS ist nur so sicher wie die dahinter stehende Sicherheits-Policy, die die Basis für interne Sicherheit bildet. Die Policy legt fest, welche Daten unternehmenskritisch sind und deshalb geschützt werden müssen. Sie bestimmt auch, welche Systeme besonders gefährdet sind und warum. Über die Policy werden Richtlinien und Regeln für alle erlaubten und nicht erlaubten Aktivitäten im Netz definiert. Konkret kann das beispielsweise heißen: Ein User darf innerhalb von zwei Minuten nur drei verschiedene Passwörter eingeben, sonst wird ihm der Zugang zum Netz komplett verweigert. Solche Policies ermöglichen dem Unternehmen nicht nur einen genauen Überblick über seine Sicherheitsstandards, sondern sie erleichtern auch die Kontrolle der Netzwerkzugriffe. Eine Notfallplanung, die genau vorgibt, welche Abwehrmaßnahmen im Einbruchsfall zu ergreifen sind, ist in einem solchen Konzept inbegriffen.

Eine Sicherheits-Policy kann aber nicht bedeuten, dass komplizierte, undurchschaubare Sicherheitsdirektiven von oben diktiert werden. Vielmehr geht es beim Aufsetzen eines internen Sicherheitskonzeptes darum, das Bewusstsein der Mitarbeiter zu schärfen und ihnen deutlich zu machen, dass die Datensicherheit im Unternehmen einen extrem hohen Stellenwert hat. Sicherheit muss gelebt werden. Daher ist es notwendig, die Mitarbeiter beim Aufbau der Security-Policy aktiv mit einzubeziehen und sie nicht nur nebenbei oder gar nicht zu informieren.

*Artur Heil ist General Manager central Europe bei Axent Technologies in Unterföhring.

Abb.: Ein Intrusion-Detection-System schlägt auch bei internen Vorfällen Alarm. Quelle: Axent

Abb.: Funktionsweise eines Host-basierten Intrusion-Detection-Systems mit Manager/Agent-Architektur: Agenten überwachen jedes einzelne System, auch bei weitverzweigten und komplexen Netzen. Sie sind mit mehreren Intrusion-Detection-Managern verbunden, die ihrerrseits an die zentrale Intrusion-Detection-Konsole angeschlossen sind. Quelle: Axent

Abb.: Netzwerk-basierte Intrusion-Detection-Systeme (IDS) überprüfen den Datenverkehr im Netz - vor und hinter der Firewall - nach verdächtigen Aktivitäten und leiten entsprechende Gegenmaßnahmen ein. Beispielsweise Denial-of-Service-Angriffe werden so erkannt. Quelle: Axent