Thema: Konzeptionelle Betrachtung technischer und organisatorischer Aspekte einer IDS - Integration in eine bestehende Infrastruktur

Transkript

1 Thema: Konzeptionelle Betrachtung technischer und organisatorischer Aspekte einer IDS - Integration in eine bestehende Studienarbeit von Patrick Schachner aus Höchenschwand BERUFSAKADEMIE LÖRRACH STAATLICHE STUDIENAKADEMIE UNIVERSITY OF COOPERATIVE EDUCATION Ausbildungsbereich Wirtschaft Betreuender Dozent: Markus Mählmann Abgabetermin: Kurs: WWI 01 B Fachrichtung: CO Unternehmen: Sedus Stoll AG, Waldshut 1

2 EINLEITUNG Ehrenwörtliche Erklärung Ich versichere hiermit, dass ich meine Studienarbeit mit dem Thema Konzeptionelle Betrachtung technischer und organisatorischer Aspekte einer IDS - Integration in eine bestehende selbstständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe. Höchenschwand, (Unterschrift) 2

3 EINLEITUNG Kurzfassung In dieser Studienarbeit gilt es festzustellen, welchen zusätzlichen Nutzen Unternehmen aus dem Einsatz eines Intrusion Detection Systems ziehen können, und welche technischen und organisatorischen Aspekte bei der Integration eines IDS in eine bestehende zu beachten sind. Intrusion Detection Systeme können mit Alarmanlagen auf infrastruktureller Sicherheitsebene verglichen werden. Es handelt sich hierbei um reaktive Sicherheitssysteme, die Angriffe und ungewöhnliche Ereignisse im internen Firmennetzwerk erkennen sollen, die die präventiven Sicherheitskomponenten wie etwa die Firewall bereits überwunden haben. Die meisten Unternehmen setzen bei der Absicherung ihres Unternehmensnetzwerk ausschließlich auf präventive Maßnahmen wie etwa Firewalls oder Virenscanner. Es gibt aber eine Reihe an Einsatzszenarien, bei denen diese Sicherheitskomponenten nichts gegen die Gefahren ausrichten können. Beispiele hierfür sind Angriffe, die aus den internen Reihen des Unternehmens kommen, Fernwartungszugänge oder andere externe Zugänge ins Intranet, wie etwa Modemleitungen, die nicht kontrolliert werden. Bei der Einführung eines IDS sind eine ganze Reihe an verschiedenen technischen Aspekten zu beachten. Beispielsweise muss zuerst überlegt werden, welche Komponenten überhaupt eingesetzt werden, und in welcher Architekturweise diese aufgebaut werden sollen. Außerdem ist auch zu überlegen, ob die Kommunikation zwischen den IDS - Komponenten über das zu überwachende produktive Netz abgewickelt werden soll, oder ob etwa ein separates IDS - Netz aufgebaut werden soll. Auf organisatorischer Seite sind folgende sieben Phasen der Einführung zu unterscheiden: 1. Bedarfserstellung 2. Anforderungsanalyse und Grobkonzept 3. Entscheidungsvorlage 4. Feinkonzept und Produktauswahl 5. Betrieb 6. Revision In jeder dieser Phasen sind unterschiedliche Überlegungen anzustellen, die zur Einführung des IDS beitragen. Zu Beginn muss beispielsweise erst einmal geklärt werden, ob der Einsatz eines IDS im Unternehmen überhaupt Sinn macht. Anschließend müssen Festlegungen getroffen und Maßnahmen festgelegt werden, die zu einer möglichst reibungslosen und unproblematischen Integration des Intrusion Detection Systems in die bestehende IT- beitragen. Abschließend werden in der Arbeit noch einige Überlegungen im Hinblick auf die zukünftige Entwicklung von IDS und IRS dargestellt und bewertet. 3

4 EINLEITUNG Inhaltsverzeichnis Seite Ehrenwörtliche Erklärung... 2 Kurzfassung... 3 Abkürzungsverzeichnis... 6 Abbildungsverzeichnis Einleitung Motivation Problemstellung und -abgrenzung Ziel der Arbeit Vorgehen Grundlagen IDS Komponenten eines IDS Netzbasierte Sensoren Hostbasierte Sensoren Datenbank Management- und Auswertungsstation Arten der Angriffserkennung Erkennung von Angriffsmustern Anomalieerkennung Korrelation von Ereignisdaten IRS Welchen Zusatznutzen bieten IDS einem Unternehmen? Einsatzszenarien Netzübergänge Fernwartungszugänge Serversysteme interne Netzbereiche Technische und organisatorische Aspekte einer IDS - Einführung Technische Aspekte Architekturbeispiele Einsatz eines IDS zur ergänzenden Absicherung des Netzübergangs Einsatz eines IDS zur Überwachung bestimmter Systeme oder Anwendungen Einsatz eines IDS zur Überwachung des internen Netzes Abgriff des Netzverkehrs Kommunikation zwischen den IDS - Komponenten Nutzung des zu überwachenden Netzes Nutzung eines separaten IDS - Netzes Nutzung einer separaten DMZ Organisatorische Aspekte Bedarfsfeststellung Einflussfaktoren für einen IDS - Einsatz Ist ein IDS - Einsatz grundsätzlich sinnvoll? Anforderungsanalyse und Grobkonzept

5 EINLEITUNG Technische Bestehende Prozesse im Falle von Sicherheitsverletzungen Zielsetzung und Anforderungen an das IDS Platzierung der Sensoren und der Management- und Auswertungsstation Abstimmung der Zuständigkeiten Entscheidungsvorlage Feinkonzept und Produktauswahl Integration Vorbereitung der technischen Integration und Inbetriebnahme Kalibrierung der Sensoren Weitere organisatorische Maßnahmen Betrieb Revision Wie sieht die Zukunft von IDS und IRS aus? Quellenverzeichnis Stichwortverzeichnis

6 EINLEITUNG Abkürzungsverzeichnis bzw. d.h. DMZ evtl. IDS IP IRS IT VLAN z.b. beziehungsweise das heißt demilitarisierte Zone eventuell intrusion detection system internet protocol intrusion response system Informationstechnik virtual local area network zum Beispiel 6

7 EINLEITUNG Abbildungsverzeichnis Abbildung 1: ergänzende Absicherung des Netzübergangs Abbildung 2: Überwachung bestimmter Systeme oder Anwendungen Abbildung 3: Überwachung interner Netze Abbildung 4: Nutzung des überwachten Netzes zur Kommunikation Abbildung 5: Nutzung eines separaten Netzes zur Kommunikation Abbildung 6: Sicherung aller Netzübergänge beim Einsatz eines IDS - Netzes Abbildung 7: Gefahr der Überbrückung von Firewalls Abbildung 8: Nutzung einer DMZ zur Kommunikation Abbildung 9: typischer zeitlicher Verlauf einer IDS - Kalibrierung

8 EINLEITUNG 1 Einleitung 1.1 Motivation Für jedes Unternehmen ab einer bestimmten Größe, ist es absolut selbstverständlich, infrastrukturelle Maßnahmen vorzunehmen, um die Unternehmensgüter wie etwa Ausstattung, Werkzeuge oder Maschinen zu schützen. Aber auch wenn sicherheitskritische Bereiche bereits durch starke Wände und Böden sowie einbruchshemmende Türen und Fenster geschützt sind, möchten die allermeisten Unternehmen trotzdem nicht auf den zusätzlichen Einsatz von Alarmanlagen verzichten. Diese sollen Einbrüche melden, die trotz der bereits getroffenen Sicherheitsmaßnahmen erfolgreich waren. Umgesetzt auf die IT- sieht die Situation ganz ähnlich aus: So gut wie alle Unternehmen, die eine mehr oder weniger große IT - besitzen, setzen bereits auf Sicherheitsvorkehrungen wie etwa Firewalls oder Virenscanner. Was sich bisher bei den meisten Unternehmen im Bereich des IT - - Schutzes noch nicht im Einsatz befindet, sind Intrusion Detection Systeme, die vergleichbare Aufgaben wie die Alarmanlagen im Bereich der sicherheit übernehmen. Mittels IDS können Angriffe im Firmennetzwerk erkannt und gemeldet werden, die Sicherheitsvorkehrungen wie Firewalls oder Virenscanner bereits passiert haben. 1.2 Problemstellung und -abgrenzung In dieser Studienarbeit soll zunächst erläutert werden, welche zusätzlichen Sicherheitsnutzen Unternehmen aus dem Einsatz eines Intrusion Detection Systems ziehen können. Außerdem sollen technische und organisatorische Aspekte einer IDS-Integration in die bestehende eines Unternehmens dargestellt, beschrieben und erklärt werden. Bei den technischen Aspekten geht es hauptsächlich um die IDS - Komponenten und verschiedene Architekturmöglichkeiten. Die organisatorischen Aspekte umfassen im Wesentlichen die verschiedenen Phasen einer IDS - Einführung und die nötigen Um- oder Neustrukturierungen bei den Verantwortlichkeiten für die IT-Sicherheit. Nicht in dieser Studienarbeit behandelt werden sollen die tiefer gehenden Techniken von Intrusion Detection Systemen, wie beispielsweise die Signaturanalyse oder Anomalieerkennung, oder wie die Kommunikation zwischen den verschiedenen IDS - Komponenten aus technischer 8

9 EINLEITUNG Sicht abläuft. Ebenfalls soll keine Marktübersicht mit Vergleichen von verschiedenen, zurzeit am Markt verfügbaren, IDS - Angeboten in dieser Arbeit vorgenommen werden. 1.3 Ziel der Arbeit Ziel dieser Studienarbeit ist eine Zusammenfassung aller Maßnahmen, sowohl technischer als auch organisatorischer Art, die zur Integration eines Intrusion Detection Systems in die bestehende IT- eines Unternehmens notwendig sind. 1.4 Vorgehen Um oben genanntes Ziel zu erreichen, möchte ich zunächst im folgenden zweiten Kapitel einige Grundlagen von Intrusion Detection - und Intrusion Response Systemen darlegen und erläutern. Im dritten Kapitel wird untersucht, weshalb Unternehmen, die bereits Sicherheitsvorkehrungen in ihrer IT- vorgenommen haben, darüber hinaus noch ein IDS benötigen, und welche Zusatznutzen und -sicherheiten sie dadurch erhalten können. Alle nötigen technischen und organisatorischen Maßnahmen, die für eine erfolgreiche Integration eines Intrusion Detection Systems in die IT- eines Unternehmens nötig sind, werden im vierten Kapitel dargestellt und erklärt. Im letzten, fünften Kapitel möchte ich dann eine Zusammenfassung und einen Ausblick über das Thema geben. Hierbei möchte ich einen Zukunftsausblick über die Intrusion Detection Systeme selbst und ihre Verbreitung am Markt und in den Unternehmen geben. 9

10 2 Grundlagen 2.1 IDS Bei Intrusion Detection Systemen handelt es sich um eine Ansammlung von Komponenten und Werkzeugen, die externe und auch interne Angriffe auf das Firmennetzwerk abwehren sollen. Hierbei soll der gesamte Abwehrprozess von der Angriffserkennung über die Eskalation bis zur Dokumentation des Angriffsversuchs abgedeckt werden. Der Netzverkehr wird auf verschiedene Arten und durch mehrere verschiedene Komponenten untersucht, wobei dann diejenigen Ereignisse, die eventuell eine Bedrohung für das interne Firmennetzwerk darstellen könnten, herausgefiltert werden. Anschließend wird dann eine automatische Eskalation ausgelöst, die ebenfalls verschiedene Formen annehmen kann: Denkbar sind eine automatische aktive Abwehr des Angriffs, beispielsweise durch die Sperrung eines Dienstes, oder aber auch einfach nur eine Meldung per Mail an den zuständigen Mitarbeiter der IT-Sicherheit. Nach erfolgter Abwehr des Angriffs durch das System oder den Mitarbeiter soll der Angriff genau dokumentiert werden, um z.b. einige Sicherheitskomponenten wie etwa eine Firewall effektiver und sicherer konfigurieren zu können Komponenten eines IDS Netzbasierte Sensoren Bei netzbasierten Sensoren oder Netzsensoren handelt es sich um Sensoren, die den Netzverkehr an irgendwelchen Stellen im Netzwerk abgreifen und untersuchen. Typischerweise überwachen sie den Verkehr eines gesamten Teilnetzes. Sie können jedoch je nach Platzierung auch nur den Netzverkehr eines einzigen Rechners überwachen. Einige Vorteile von Netzsensoren sind beispielsweise, dass sie die überwachten Endsysteme, wie z.b. Server oder Hosts, nicht belasten, dass sie unsichtbar gegenüber Angreifern sind, und dass sie auch Angriffe erkennen können, die gegen mehrere Systeme gerichtet sind. Dahingegen nachteilig bei netzbasierten Sensoren ist, dass viele der verfügbaren Sensoren oftmals nicht mit der hohen Netzlast zurechtkommen, und somit auch nicht der gesamte Netzverkehr beobachtet werden kann. Zwei weitere Nachteile von Netzsensoren sind, dass sie keinerlei Ereignisse in verschlüsseltem Netzverkehr erkennen können, und dass sie nicht völlig fehlerfrei arbeiten, da auffällige Ereignisse nicht nur durch Angriffe, sondern beispielsweise auch durch Fehlkonfigurationen anderer Komponenten ausgelöst werden können. 10

11 GRUNDLAGEN Hostbasierte Sensoren Im Gegensatz zu den Netzsensoren werden hostbasierte Sensoren direkt auf dem zu überwachenden System betrieben. Diese Art von Sensoren kann dann natürlich nicht den Netzverkehr von bestimmten Netzabschnitten betrachten. Von Hostsensoren wird vielmehr das Verhalten des zu überwachenden Systems selbst, wie etwa einem Client oder einem Server, überwacht. Auffällige Ereignisse auf einem dieser Systeme können beispielsweise Rechteüberschreitungen von Benutzern beim Zugriff auf Prozesse, Anwendungen oder Daten sein. Denkbar sind aber z.b. auch eine Anhäufung von Login - Fehlversuchen oder ein Trojaner auf dem System. Einige Hostsensoren können zusätzlich zu der Überwachung des Systems selbst auch noch den Netzverkehr an diesem Host überwachen. Diese Art der Sensoren werden Hybridsensoren genannt. Der wohl größte Vorteil von hostbasierten Sensoren besteht in der Möglichkeit, die Arbeit und Reaktionen des Hosts selbst zu beobachten. Dies kann verschiedene Ausprägungen annehmen, wie etwa die Überwachung von Applikationen oder der Benutzerzugriffe auf Daten, Applikationen oder das System selbst. Dagegen ist der größte Nachteil, dass der Sensor auf dem System selbst betrieben wird. Dies bedeutet nämlich, dass das System belastet wird, dass der Sensor nicht unsichtbar arbeiten kann, und dass die Hostsensoren natürlich auf jedem zu überwachenden System installiert und konfiguriert werden müssen. Ein weiterer Nachteil von Hostsensoren ist, dass sie keine Angriffe erkennen können, die sich gegen mehrere verschiedene Systeme richten Datenbank Da bei der Überwachung des Verkehrs und der Erkennung von Daten eine große Anzahl an Daten anfällt, die für spätere Verwendungszwecke, wie etwa die Verbesserung der Systeme oder als Beweis- und Nachweisfunktion, in relativ hoher Detailtiefe benötigt werden, kommt man beim Einsatz eines IDS wohl kaum ohne den Einsatz eines Datenbanksystems aus. Welche Datenbank eingesetzt werden kann, hängt von der Unterstützung des IDS ab, wobei die meisten aktuellen Hersteller von Intrusion Detection Systemen Schnittstellen zu den gängigen Datenbanksystemen anbieten Management- und Auswertungsstation Von den Funktionen her gesehen, bilden die Management- und die Auswertungsstation eigentlich zwei verschiedene Komponenten. Ich habe sie hier jedoch zusammengefasst, da sie in der Systemarchitektur fast immer gemeinsam am gleichen Ort zu finden sind, d.h. auf dem gleichen Rechner installiert sind, und sozusagen das Herz des Intrusion Detection Systems darstellen. An dieser Stelle laufen alle Kommunikationsstränge von und zu den einzelnen Komponenten zusammen. Bei der Managementstation handelt es sich um die Kommandozentrale des IDS. Hier erfolgt die Konfiguration und Kalibrierung der verschiedenen Systemkomponenten. Einige typische Funktionen, die an dieser Station erledigt werden, sind das Einstellen der für die Kommunikation nötigen Parameter, wie etwa IP-Adresse oder Name, oder die Erstellung von Überwachungsregeln und deren Gruppierung zu IDS - Policies. In der Auswertungsstation finden alle Tätigkeiten statt, die für die Analyse der erkannten Ereignisse benötigt werden. Hier werden Ereignisse, die von den Sensoren erkannt wurden, erfasst, analysiert und nach verschiedenen Kriterien sortiert und klassifiziert. Ebenfalls können von dieser Station aus die ersten Eskalationen, wie beispielsweise Alarmierung oder Reaktion 11

12 GRUNDLAGEN auf das Ereignis, angestoßen werden. Darüber hinaus gibt es in der Auswertungsstation üblicherweise eine Reportingfunktion, die langfristige Analysen von Meldungen und Ereignissen, sowie das Generieren von Reports und Statistiken für das Unternehmensmanagement erlaubt Arten der Angriffserkennung Es gibt verschiedene Möglichkeiten, wie die Sensoren Angriffe oder außergewöhnliche Ereignisse erkennen können. Man unterscheidet grundsätzlich die Erkennung von Angriffsmustern, die Anomalieerkennung und die Korrelation von Ereignisdaten, wobei es bei der Anomalieerkennung noch drei verschiedene Ausprägungen gibt. Im Folgenden möchte ich diese verschiedenen Möglichkeiten der Angriffserkennung kurz erläutern: Erkennung von Angriffsmustern Hierbei werden Angriffe an Hand von Signaturen erkannt. Als Signaturen werden hierbei bekannte Muster oder Ereignisse bezeichnet, die auf einen Angriff oder eine ungewöhnliches Systemverhalten hinweisen. Diese Signaturen können komplexe Verhaltensweisen oder aber auch das einfache Erkennen von bestimmten Zeichensätzen in Daten, auch Pattern Matching genannt, sein. Über die komplexen Verhaltensweisen können beispielsweise auch fehlerhafte oder ungewöhnliche Verhaltensweisen von System oder Systembenutzern erkannt werden. Ein Vorteil dieser Signaturerkennung zum Aufspüren von Angriffen ist die Einfachheit des Erkennungsprozesses. Der dagegen stehende Nachteil ist aber, dass natürlich auch nur diejenigen Angriffe erkannt werden können, deren Signatur im IDS gespeichert sind. Man kann zwar auch durch eine entsprechend ungenaue Definition der Signaturen erreichen, dass auch dem Angriff ähnliche Ereignisse erkannt werden können, wodurch aber auch die Anzahl der Fehlalarme erhöht wird. Diese Art der Angriffserkennung wird auf Grund ihrer leichten Handhabbarkeit von fast allen IDS - Anbietern angewandt, wobei diese dann den Kunden auch in regelmäßigen Abständen Signaturupdates zur Verfügung stellen, die dann ins System eingespielt und evtl. angepasst werden können Anomalieerkennung Bei der Anomalieerkennung kann zwischen folgenden drei Methoden unterschieden werden: 1. Anomalieerkennung durch Protokollanalyse Bei dieser Methode wird das Normalverhalten des Netzwerkverkehrs durch bestimmte Protokollspezifikationen definiert. Anschließend wird dann der durch die Sensoren untersuchte Netzverkehr darauf überprüft, ob er dem definierten Normalverhalten entspricht, oder ob er eine Abweichung davon aufweist. Hierbei kann eine relativ gute Angriffserkennung gewährleistet werden, da viele Angriffe in IP - basierten Netzen auf einer Abweichung von spezifizierten Protokollen beruhen. Ebenfalls bietet diese Variante im Vergleich zur Signaturerkennung eine wesentlich höhere Performance, da nicht der komplette Netzverkehr auf eine Vielzahl definierter Signaturen überprüft werden muss. Wird allerdings das Normalverhalten über die Protokollspezifikationen zu unscharf oder fehlerhaft definiert, so können eine Reihe von Angriffen dadurch nicht erkannt werden. 12

13 GRUNDLAGEN Deswegen bieten die meisten IDS - Hersteller in ihren Produkten sowohl die Möglichkeit der Signaturerkennung als auch der Anomalieerkennung durch Protokollanalyse zur Angriffserkennung an. Durch diese Verbindung beider Erkennungsvarianten kann dann eine relativ komplette und umfassende Angriffserkennung geboten werden. 2. Anomalieerkennung auf Basis statistischer Daten Diese Methode beruht auf der Annahme, dass Angriffe signifikant von statistischen Werten des Normalverhaltens eines Systems abweichen. Hierbei werden für alle Objekte des Systems und deren zugehörige Verhaltensweisen über bestimmte Kennwerte wie z.b. Mittelwert oder Varianz, statistische Werte für ein Normalverhalten definiert. Unter oben genannten Objekten des Systems können beispielsweise Applikationen, Dateien oder Anwender verstanden werden, während deren Verhaltensweisen dann etwa Zugriffsdauer, Zeitpunkte des Zugriffs, Nutzungshäufigkeit, Anzahl der Anmeldefehlversuche oder Tageszeiten bei der Anmeldung sein könnten. Derzeit bieten aktuelle IDS - Produkte mittels Reportingfunktionen und Angriffsstatistiken lediglich manuelle Möglichkeiten zur Anomalieerkennung auf Basis statistischer Daten. Jedoch verlangt dieses Verfahren ein hohes Maß an intuitivem Wissen und Handeln, denn es ist weder gewährleistet, dass ein Angriff nicht innerhalb der ermittelten statistischen Werte stattfinden kann, noch dass ein erkanntes Ereignis außerhalb des ermittelten Normalverhaltens auch wirklich ein Angriff sein muss. Automatische Lösungen auf Basis statistischer Daten gibt es im kommerziellen Bereich überhaupt keine. Lediglich im wissenschaftlichen Sektor gibt es einige Individuallösungen, bei denen die menschliche Intuition der manuellen Variante durch künstliche Intelligenz ersetzt wird. Hierdurch kann zwar durch die maschinelle Verrichtung die Performance wesentlich gesteigert werden, wobei sich aber auch die Anzahl der Fehler erhöht und vermutlich eine manuelle Nachbearbeitung nicht ausbleiben kann. 3. Anomalieerkennung auf Basis von Honeypots Honeypots sind nicht-produktive IT-Systeme, wie beispielsweise Prozesse, Server oder ganze Netze, die ausschließlich als Fallen für Angreifer dienen. Charakteristisch für Honeypots ist, dass es in der Regel gar keine oder nur eine geringe Anzahl an Zugriffen auf sie gibt. Daher können prinzipiell alle Aktivitäten auf diesen IT-Systemen als ungewöhnlich und beobachtenswert eingestuft werden. Jedoch eignet sich diese Art der Angriffserkennung nicht zum alleinigen Einsatz zum Schutz vor Angriffen. Denn es kann ja niemals ausgeschlossen werden, dass nicht früher, gleichzeitig oder später ebenfalls Angriffe auf das Produktivsystem laufen, die der Honeypot natürlich nicht erkennen kann. In der Praxis werden heutzutage Honeypots vor allem zur wissenschaftlichen Untersuchung von Angriffen betrieben, um zusätzliche Informationen über bestehende und neue Angriffsmethoden erlangen zu können Korrelation von Ereignisdaten Bei der Korrelation von Ereignisdaten werden die aufgezeichneten Daten von verschiedenen Sensoren und Zeitpunkten miteinander verglichen und auf Gemeinsamkeiten überprüft. Üblicherweise werden automatische Korrelationen durch die Möglichkeit der Filterung in den gespeicherten Ereignisdaten nach verschiedenen Kriterien angeboten. Hierbei handelt es sich 13

14 GRUNDLAGEN prinzipiell nur um eine Reportingfunktion, die es erlaubt, die gesammelten Daten zu verwenden. Voraussetzung hierfür ist natürlich eine geeignete und umfangreiche Speicherung der Ereignisdaten und der zugehörigen Informationen wie etwa IP-Adressen, Art des Angriffs, etc. Allerdings konkurriert diese Forderung nach umfangreicher und langfristiger Speicherung der aufgezeichneten, und teilweise personenbezogenen Daten mit Anforderungen des Datenschutzes und der Mitarbeitermitbestimmung. Erschwert wird diese Art der Angriffserkennung heutzutage hauptsächlich durch fehlende Standardisierung bei Sensoren verschiedener Hersteller, was teilweise eine Korrelation der Ereignisdaten nicht zulässt. Eine manuelle Korrelation der Daten der verschiedenen Sensoren ist zwar möglich, aber natürlich mit einem sehr hohen Aufwand und damit mit sehr hohen Kosten verbunden, und ist deswegen auch nur bedingt geeignet. 2.2 IRS Ein Intrusion Detection System allein hilft einem Unternehmen natürlich nicht viel. Einen Nutzen kann man ja aus der alleinigen Tatsache, dass ein Angriff erkannt wurde, noch nicht ziehen. Deshalb ist es nötig, dass Abwehrmaßnahmen eingeleitet werden, nachdem ein auffälliges Ereignis erkannt wurde. Die Maßnahmen, die automatisch auf Basis der vom IDS erkannten Angriffe und Ereignisse ausgelöst werden, bezeichnet man als Intrusion Response. Vom IRS ist das Incident Response abzugrenzen. Hierbei handelt es sich um die technischen und organisatorischen Maßnahmen, die den Umgang mit den erkannten Ereignissen regeln, wie beispielsweise ein Eskalationsprozess. Vom IRS können mehrere verschiedene Maßnahmen eingeleitet werden. Welche der Maßnahmen jeweils getroffen werden, hängt vom erkannten Ereignis und dem zugehörigen Alarm-Level ab, der im IDS gespeichert ist. 1. Für den niedrigsten Alarmlevel sehen die IRS eine Dokumentation des Ereignisses mit zugehörigen relevanten Parametern, wie etwa Zeitpunkt und Art des Angriffs, vor. Diese Dokumentation stellt unter anderem die Grundlage für die Bewertung der Ereignisse und für Verbesserungen verschiedener Sicherheitskomponenten, wie z.b. der Firewall, dar. 2. Der häufigste Fall der automatisch eingeleiteten Maßnahmen eines IRS stellt die Alarmierung dar. Hierbei wird ein zuständiger Mitarbeiter beispielsweise per Mail oder SMS über das Ereignis informiert, wodurch dann der Eskalationsprozess angestoßen wird. Bei der Alarmierung wird meistens je nach Art und Gefährlichkeit des Angriffs zwischen verschiedenen Alarmstufen unterschieden, so dass beispielsweise bei besonders gefährlichen Angriffen ein Mitarbeiter auf Abruf sofort per Handyanruf alarmiert wird. In leichteren Fällen kann es auch genügen, wenn der zuständige Mitarbeiter per Mail darüber informiert wird und spätestens am nächsten Arbeitstag auf die Meldung reagieren kann. 3. Bei scheinbar besonders schwerwiegenden Angriffen kann das IRS auch automatische Abwehrmaßnahmen einleiten, wodurch eine unverzügliche Reaktion gewährleistet ist. Beispiele für solche automatischen Abwehrmaßnahmen könnten eine temporäre Änderung der Firewallregeln, das Sperren von Kommunikationsverbindungen oder von Zugriffsrechten sein. 14

15 GRUNDLAGEN Jedoch sollte man bei der Einstellung solcher automatischer Abwehrprozeduren zurückhaltend sein, da diese bei Fehlalarmen zu Unannehmlichkeiten bei der Arbeit der Unternehmensmitarbeiter führen könnten, und somit nicht zur Akzeptanz des gesamten Systems beitragen. 15

16 WELCHEN ZUSATZNUTZEN BIETEN IDS EINEM UNTERNEHMEN? 3 Welchen Zusatznutzen bieten IDS einem Unternehmen? Standardmäßig hat jedes Unternehmen mit einer einigermaßen großen IT- eine Firewall im Einsatz, um das eigene Firmennetzwerk vor Gefahren aus dem Internet zu schützen. Aber lediglich im allgemeinen Sprachgebrauch geht man davon aus, dass eine Firewall das Internet von einem internen Netz trennt. Allgemein definiert handelt es sich bei einer Firewall um eine Gruppe von Netzwerkkomponenten, die sowohl Hard- als auch Software sein können, mittels derer ein Übergang zwischen zwei Netzwerken kontrolliert werden kann. Dabei kann es sich bei beiden Netzen sowohl um interne als auch öffentliche Netze bzw. Netzbereiche handeln. Mittels der Firewall wird geregelt, welche Dienste im jeweils anderen Netz genutzt werden dürfen. Alle Pakete werden untersucht und nur die unverdächtigen dürfen über die Firewall in das andere Netz eintreten. Der Vorteil einer Firewall ist, dass es sich um einen zentralen Sicherheitsknoten handelt, durch den das Sicherheitsmanagement für das komplette Netz vereinfacht werden kann. Typischerweise wird eine Firewall in einem Unternehmen wie bereits erwähnt an der Schnittstelle zwischen dem privaten Firmenintranet und dem öffentlichen Internet eingesetzt. An dieser Stelle kann mit einer Firewall auch schon ein Großteil der Gefahren aus dem Internet abgeblockt werden. Jedoch gibt es auch eine Reihe von Bedrohungen, bei denen eine Firewall nichts gegen die Angriffe unternehmen kann. Einige Beispiele für Bedrohungen und Angriffe, gegen die eine Firewall nichts ausrichten kann möchte ich hier kurz darstellen: interne Angriffe Eine Firewall kann nur Angriffe abwehren, die auch über sie laufen. Werden jedoch, aus welchen Gründen auch immer, Angriffe aus dem internen Netz gestartet, so besteht für die Firewall keine Chance, den Angriff zu stoppen oder überhaupt nur zu bemerken. Fehlkonfiguration Eine Firewall kann nur so gut arbeiten, wie sie konfiguriert ist. Können Angriffe aufgrund einer Fehlkonfiguration der Firewall ins interne Netzwerk gelangen, so kann dies natürlich nicht von der Firewall kontrolliert oder aufgehalten werden. 16

17 WELCHEN ZUSATZNUTZEN BIETEN IDS EINEM UNTERNEHMEN? andere externe Zugänge ins Intranet Wie bereits bei den internen Angriffen erwähnt, kann die Firewall nur Schutz gegen unerlaubte Kommunikation bieten, die auch über sie läuft. Verläuft die Kommunikation von außerhalb des Intranets aber beispielsweise über eine Modemleitung ins interne Netzwerk, so kann auch in diesem Fall die Firewall nichts gegen die Angriffe tun. 3.1 Einsatzszenarien Nachdem ich nun gerade Szenarien genannt habe, in denen eine Firewall das interne Firmennetzwerk nicht ausreichend schützen kann, möchte ich in den folgenden Kapiteln einige Szenarien erläutern, in denen mit Hilfe eines Intrusion Detection Systems das Intranet eines Unternehmens noch effektiver geschützt und überwacht werden kann: Netzübergänge Wie bereits erwähnt wurde, haben sich Firewalls als Standardsicherheitsmaßnahme zur Sicherung von Netzübergängen etabliert. Ein IDS kann diese auch nicht ersetzen, sondern lediglich sinnvoll ergänzen. Denn grundsätzlich ist klar, dass die Firewallsysteme mit zunehmender Komplexität automatisch anfälliger für Fehlkonfigurationen oder Schwachstellen werden. Meistens gibt es für unternehmensspezifische Applikationen auch keine geeigneten Applikations-Gateways, die eine anwendungsbezogene Datenflusskontrolle gewährleisten könnten. Nicht zuletzt erfordern neue Anforderungen des E-Business Bereichs eine zunehmendere Öffnung der Netzübergänge. Einerseits möchte man seinen externen Geschäftspartnern möglichst komfortable Arbeitsbedingungen schaffen, andererseits erhöht man dadurch selbst das Risiko von unautorisierten Zugängen ins eigene Intranet. In all diesen Fällen treten neue Sicherheitslücken auf, durch die Gefahren für das interne Unternehmensnetzwerk entstehen können, da es potentiellen Angreifern leichter gemacht wird, in das Intranet einzudringen. In diesen Szenarien können Intrusion Detection Systeme zur sichereren und effektiveren Absicherung des Netzwerkübergangs beitragen. Durch den kombinierten Einsatz von Firewall und IDS kann das Restrisiko auf ein Minimum reduziert werden: Die Firewall filtert den ein- und ausgehenden Verkehr und das IDS überwacht den von der Firewall durchgelassen Verkehr auf mögliche Angriffe. Gleichzeitig kann hierdurch die Konfiguration und Funktion der Firewall überprüft werden: Passiert nämlich eine bestimmte Art von Netzwerkverkehr die Firewall, der eigentlich abgeblockt werden sollte, so ist dies für den Administrator ein hilfreicher Hinweis auf eine Fehlkonfiguration oder -funktion des Firewallsystems Fernwartungszugänge Hierbei handelt es sich um einen Spezialfall der Überwachung von Netzübergängen. Bei Fernwartungszugängen besteht grundsätzlich immer ein konträres Verhältnis: Auf der einen Seite will man die Aktivitäten des Wartenden gut kontrolliert haben, auf der anderen Seite benötigt der Fernwartende in den meisten Fällen aber administrative Zugriffsrechte, um seine Arbeit verrichten zu können. Eine weitere Gefahr bei der Fernwartung ist das so genannte System - Hopping. Hiermit ist gemeint, dass der Fernwartende mittels seines administrativen Zugriffs auf einem System evtl. auch auf andere Systeme gelangen könnte. 17

18 WELCHEN ZUSATZNUTZEN BIETEN IDS EINEM UNTERNEHMEN? Organisatorisch könnte man diesen Problemen begegnen, indem man die komplette Arbeit des Fernwartenden auf einem lokalen Client von einem eigenen Mitarbeiter beobachten lassen würde. Dies wäre aber natürlich mit einem immensen und vermutlich nicht zumutbarem Aufwand verbunden. Hier wäre ein Intrusion Detection System ebenfalls die ideale Lösung: Der Netzverkehr wird überwacht, und nur bei einem nicht zulässigen Verhalten des Fernwartenden muss seitens des Unternehmens eingegriffen werden. Aber auch in diesem Fall sollte das IDS nur begleitende Maßnahme neben Virenscannern und Integritätstest der gewarteten Systeme sein Serversysteme Im Falle des Einsatzes von mehreren Servern und verschiedenen Applikationen, an die hohe Anforderungen bezüglich der Verfügbarkeit und der Integrität gestellt werden, fällt eine sehr große Menge an Log- und Protokolldaten der Betriebssysteme und Anwendungen an, die überprüft werden muss, um die Anforderungen erfüllen zu können. Schnell wird diese Datenmenge zu groß, als dass sie manuell überprüft oder überwacht werden könnte. Auch für diesen Fall stellt ein IDS ein wirksames Hilfsmittel dar: Mittels installierter Hostsensoren auf den Servern könnten sämtliche Logdaten gesammelt und auch noch von den verschiedenen Servern und Anwendungen bei der Auswertungsstation zusammengeführt werden, um übergreifende Ereignisse feststellen zu können. Um eine vollständige Überwachung der Server zu gewährleisten, sollte zusätzlich der an den Rechnern anfallende Netzverkehr überwacht werden. Dies kann entweder durch den zusätzlichen Einsatz von Netzsensoren oder durch Hybridsensoren auf den Servern realisiert werden interne Netzbereiche Die Überwachung von internen Netzbereichen zielt auf die Sicherung der internen Ressourcen wie etwa Prozesse, Daten oder Anwendungen. Bedrohungen für diese internen Netzbereiche können von Innentätern kommen, die beispielsweise ihre Benutzerrechte missbrauchen, Anwendungen oder Dienste versehentlich oder bewusst in nicht zulässiger Form nutzen oder unberechtigt auf Daten oder Informationen zugreifen. Aber auch von außerhalb des Intranets können Gefahren in das interne Netzwerk gelangen. Dies kann etwa durch die unberechtigte Nutzung von externen Zugriffsmöglichkeiten wie Modems geschehen. Zur Absicherung vor diesen Gefahren ist der Einsatz von Netzsensoren zur Überwachung des Netzverkehrs in bestimmten Netzbereichen am wichtigsten. Aber auch der Einsatz von Hostsensoren auf Servern mit kritischen Anwendungen oder Daten kann in einigen Situationen durchaus sinnvoll sein. Kritisch ist der Einsatz von IDS lediglich im Hinblick auf einige datenschutzrechtliche Bestimmungen, da auch mitarbeiterspezifische Daten aufgezeichnet werden, die theoretisch missbraucht werden könnten. 18

19 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG 4 Technische und organisatorische Aspekte einer IDS - Einführung Im folgenden Kapitel möchte ich zuerst auf die Basisarchitektur von Intrusion Detection Systemen eingehen. Dabei werde ich verschiedene Architekturbeispiele erläutern, unterschiedliche Möglichkeiten darstellen, wie der Verkehr bei netzbasierten Sensoren abgegriffen werden kann, und wie die Kommunikation zwischen den verschiedenen IDS - Komponenten ablaufen kann. Anschließend möchte ich im organisatorischen Bereich die verschiedenen Phasen einer IDS - Einführung in ein bestehendes Firmennetzwerk darstellen und erklären. Hierbei gehe ich davon aus, dass ein dreistufiger Netzübergang zwischen Internet und Firmenintranet installiert ist. Dies bedeutet, dass von der Seite des Internets herkommend, zuerst ein externer Paketfilter, dann ein Applikationsgateway und dann ein interner Paketfilter implementiert sind. Das Intranet kann nur über den internen Paketfilter erreicht werden, wobei die meisten Anwendungsserver sich in einer DMZ befinden, die über das Applikationsgateway angeschlossen ist. 4.1 Technische Aspekte Architekturbeispiele Im Folgenden möchte ich Architekturbeispiele für unterschiedliche Einsatzszenarien erläutern. Die von mir vorgestellten verschiedenen Einsatzmöglichkeiten sind: ergänzende Absicherung von Netzübergängen Überwachung einzelner Systeme oder Anwendungen Überwachung des internen Netzes Einsatz eines IDS zur ergänzenden Absicherung des Netzübergangs In nachfolgender Abbildung 1 ist der Einsatz eines Intrusion Detection Systems zur ergänzenden Absicherung des Netzübergangs dargestellt. 19

20 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Abbildung 1: ergänzende Absicherung des Netzübergangs Wie in Abbildung 1 sichtbar, werden zur Unterstützung des Firewallsystems drei Netzsensoren eingesetzt, deren Funktionen und Aufgaben ich im Folgenden kurz erläutern möchte: 1. Netzsensor zwischen externem Paketfilter und Gateway An dieser Stelle kann durch einen netzbasierten Sensor der gesamte Netzverkehr zwischen den Internet und dem firmeneigenen Netzwerk überwacht und aufgezeichnet werden. Trotzdem eignet sich ein Sensor an dieser Stelle nicht optimal zur Erkennung von Angriffen auf das Firmennetzwerk, da nicht klar ist, ob einige dieser Angriffe nicht durch weiter innen liegende Sicherheitskomponenten abgewehrt werden könnten. Ein Sensor an dieser Platzierung eignet sich wohl eher für die Aufzeichnung von Kontextinformationen über mögliche Angriffe auf das Intranet. 2. Netzsensor in der DMZ Dieser Sensor eignet sich zur Überwachung des gesamten Netzverkehrs zwischen Ressourcen in der DMZ, wie beispielsweise Mail- oder Webserver, und anderen Kommunikationspartnern. Hierdurch können sowohl Angriffe auf das Firmennetzwerk, als auch die unberechtigte Nutzung von Kommunikationsdiensten, erkannt werden. 3. Netzsensor zwischen Gateway und internem Paketfilter An dieser Stelle kann der gesamte Verkehr überwacht werden, der wirklich in das interne Netz eintritt. Da dieser Verkehr bereits mehrfach durch die vorgeschalteten Sicherheitskomponenten überprüft wurde, dürften an dieser Stelle normalerweise keine, bzw. nur noch wenige Angriffe auftreten. 20

21 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Einsatz eines IDS zur Überwachung bestimmter Systeme oder Anwendungen Zur Überwachung von Systemen und Anwendungen kommen im Gegensatz zur Überwachung des Netzverkehrs hostbasierte Sensoren zum Einsatz. Diese müssen direkt auf den zu überwachenden Systemen bzw. auf den Servern, auf denen die Anwendungen laufen, installiert und betrieben werden. In untenstehender Abbildung 2 ist der Einsatz mehrerer Sensoren zur Absicherung verschiedener Systeme und Anwendungen dargestellt. In diesem Beispiel werden die Firewall, der Webserver in der DMZ, sowie mehrere Server im Intranet überwacht. Abbildung 2: Überwachung bestimmter Systeme oder Anwendungen Einsatz eines IDS zur Überwachung des internen Netzes Beim Einsatz eines Intrusion Detection Systems zur Absicherung des internen Firmennetzwerkes kommen sowohl netzbasierte, als auch hostbasierte Sensoren zum Einsatz. Die Netzsensoren werden hierbei zur Überwachung des Netzverkehrs in spezifischen Netzbereichen eingesetzt, um beispielsweise Angriffe erkennen zu können, die auf mehrere Systeme zielen. Die hostbasierten Sensoren werden zur Überwachung von Servern, aber auch von wichtigen Clients eingesetzt. Wichtige Clients könnten beispielsweise Rechner mit lokal liegenden kritischen Daten, oder mit Modemanbindung sein. Dieses Einsatzszenario ist in folgender Abbildung 3 dargestellt: 21

22 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Abbildung 3: Überwachung interner Netze Abgriff des Netzverkehrs Beim Einsatz von Netzsensoren gibt es mehrere verschiedene Möglichkeiten, wie der Netzverkehr abgegriffen werden kann. Diese möchte ich in den folgenden Abschnitten kurz darstellen und erklären: Abgriff des Netzverkehrs an einem Hub Mittels eines Hubs können mehrere Geräte an ein Netzsegment angeschlossen werden, wobei sich alle angeschlossenen Teilnehmer die Ressourcen, wie etwa die Bandbreite, teilen müssen. Der Vorteil ist, dass sämtliche am Hub angeschlossenen Geräte den gesamten Netzverkehr des Netzbereiches sehen können. Hierdurch kann mittels eines Netzsensors, der an den Hub angeschlossen wird, der gesamte Netzverkehr des Netzsegmentes überwacht werden. Abgriff des Netzverkehrs an einem Switch Ähnlich wie ein Hub dient ein Switch ebenfalls dazu, mehrere Geräte an ein Netzsegment anzuschließen. Jedoch müssen sich im Gegensatz zum Hub die Geräte die Ressourcen nicht teilen und werden über Ports an den Switch angeschlossen, mit Hilfe derer der Verkehr geregelt werden kann. Dies ermöglicht die Bildung von VLANs, d.h. es können beispielsweise die Geräte an Port 1 und 3 miteinander kommunizieren, während gleichzeitig zwei Geräte an den Ports 2 und 4 miteinander kommunizieren, ohne dass der Netzverkehr der beiden Verbindungen jeweils für die anderen Geräte sichtbar ist. Dies hat für den Abgriff des Verkehrs durch einen Netzsensor wiederum den Vorteil, dass über die Regeln des Switches eingestellt werden kann, welcher Teil des Netzverkehrs durch den Netzsensor überwacht werden soll. Darüber hinaus bieten die meisten Switches so genannte Switch Port Analyser an, mit deren Hilfe der gesamte Netzverkehr eines Ports gespiegelt werden kann. Hierbei muss jedoch darauf geachtet werden, dass der Port über eine ausreichend hohe Bandbreite verfügt, um den gesamten Verkehr auch bei hoher Auslastung des Ports spiegeln zu können. 22

23 Abgriff des Netzverkehrs über einen TAP TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Ein TAP ist ein speziell für den Abgriff des Netzverkehrs entwickeltes Gerät, das mit einem Hub mit drei Anschlüssen vergleichbar ist. Grundlegend an einem TAP ist dabei, dass der Verkehr der gesamten Netzstrecke abgegriffen werden kann, jedoch keine Datenpakete in das Netz eingespielt werden können. Dies hat zum Vorteil, dass keine negativen Rückkopplungen auf die überwachte Netzstrecke möglich sind, selbst falls der Sensor durch einen Angreifer entdeckt und zu Fehlfunktionen gebracht wurde. Diesem großen Vorteil steht jedoch der Nachteil gegenüber, dass durch den Netzsensor nach erkannten Angriffen keine aktiven Reaktionen, wie etwa dass Einspielen von Reset-Paketen ins Netz, möglich sind Kommunikation zwischen den IDS - Komponenten Während in den beiden vorhergehenden Kapiteln verschieden Platzierungsmöglichkeiten der Sensoren und Abgriffsmöglichkeiten des Netzverkehrs dargestellt wurden, geht es in diesem Kapitel darum, wie die einzelnen IDS - Komponenten wie etwa die Sensoren und die Management- und Auswertungsstation miteinander kommunizieren können. Auch hierfür gibt es verschiedene Ansätze, die ich in den folgenden Abschnitten kurz darstellen und gegeneinander abwägen möchte: Nutzung des zu überwachenden Netzes Bei diesem Ansatz, der in Abbildung 4 dargestellt ist, werden direkt die Kommunikationsstrecken des zu überwachenden produktiven Netzes genutzt. Dieser Ansatz hat zwar den Vorteil, dass keinerlei Erweiterung der nötig ist, und es sich somit um eine sehr kostengünstige Variante handelt. Jedoch weist dieser Ansatz einige schwerwiegende Nachteile auf: Da das IDS die Kommunikationsverbindungen des Produktivnetzes nutzt, kann bei einem Angriff auf dieses die Funktion des IDS beeinträchtigt werden. Außerdem können die IDS - Komponenten über ihren Datenaustausch untereinander identifiziert und geortet werden. Dadurch werden direkte Angriffe auf das IDS vereinfacht und überhaupt erst ermöglicht. Abbildung 4: Nutzung des überwachten Netzes zur Kommunikation Nutzung eines separaten IDS - Netzes Um die Nachteile des eben vorgestellten Ansatzes zu kompensieren, sollte man alle IDS - Komponenten in einem separaten Teilnetz zusammenfassen. Diese Variante ist in Abbildung 5 dargestellt. 23

24 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Abbildung 5: Nutzung eines separaten Netzes zur Kommunikation Durch die Tatsache, dass die Kommunikation der IDS - Komponenten vom überwachten Netz entkoppelt ist, ergeben sich eine Reihe verschiedener Vor- und Nachteile, die im Folgenden erläutert werden sollen: Vorteile: Die IDS - Komponenten können nicht mehr anhand ihres Datenaustausches untereinander erkannt werden. Um die Sensoren für Angreifer völlig unsichtbar operieren zu lassen, sollte der Abgriff des Netzverkehrs über TAPs erfolgen, bzw. die genutzten Netzwerkinterfaces sollten so konfiguriert werden, dass die Sensoren im Stealth Modus, d.h. ohne zugewiesene IP-Adresse, arbeiten. Durch Angriffe auf überwachte Netze oder Netzbereiche wird die Funktionalität des IDS nicht mehr beeinflusst. Nachteile: Alle Netzübergänge zwischen überwachtem Netz und separatem Teilnetz müssen, wie in Abbildung 6 exemplarisch dargestellt, durch Firewalls entsprechend gesichert werden. Abbildung 6: Sicherung aller Netzübergänge beim Einsatz eines IDS - Netzes 24

25 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Neben Schnittstellen bei den eingesetzten Sensoren umfasst dies in der Regel noch die Übergänge an Kommunikationsschnittstellen zu Mailsystemen, mit deren Hilfe Alarmierungen in Angriffsfällen erfolgen soll, sowie den Netzübergang, der für Remotezugriffe auf Management- und Auswertungsstation genutzt wird. Hierdurch wird einerseits eine vollständige Entkopplung des IDS - Netzes vom überwachten System erreicht, wodurch direkte Angriffe auf IDS - Komponenten verhindert werden können. Andererseits wird vermieden, dass bei Fehlkonfiguration oder -funktion eines Sensors eventuell Firewalls des Produktivsystems überbrückt, und getrennte Netzbereiche des überwachten Systems miteinander verbunden werden. Dieser Gefahrenzustand der Überbrückung wird in Abbildung 7 deutlich. Abbildung 7: Gefahr der Überbrückung von Firewalls Aus den eben genannten Gründen ist bereits ersichtlich geworden, dass die Einrichtung und der Betrieb eines völlig separaten IDS - Netzes zur Kommunikation sehr aufwändig und kostenintensiv ist Nutzung einer separaten DMZ Hierbei wird einerseits, wie beim ersten Ansatz, die bestehende verwendet, aber andererseits auch die gesamte Kommunikation zwischen den IDS - Komponenten getrennt vom überwachten System betrieben. Graphisch ist dieser Zustand in unten folgender Abbildung 8 dargestellt. 25

26 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Abbildung 8: Nutzung einer DMZ zur Kommunikation Die beiden zentralen Vorteile dieser Architektur sind der geringere Aufwand im Vergleich zur Errichtung eines separaten IDS - Netzes und die zentrale Sicherung durch das bestehende Firewall - System. Der Aufwand ist deshalb geringer, da die vorhandene Firewall zur Entkopplung der IDS - Komponenten vom überwachten Netz genutzt werden kann, wobei lediglich einige Netzwerkinterfaces an der Firewall nachgerüstet werden müssen. Der zweite große Vorteil besteht darin, dass durch die zentrale Absicherung aller Netzübergänge durch die bestehende Firewall auch im Falle von Fehlfunktionen oder -konfigurationen von IDS - Komponenten kein zusätzlicher Netzübergang erzeugt werden kann, d.h. die Firewall kann dadurch nicht überbrückt werden. Außerdem sind bei diesem Ansatz die Netzsensoren von den überwachten Netzen aus ebenfalls unsichtbar. Nachteilig an diesem Architekturansatz ist, dass die gesamte Sicherheit der IDS - Kommunikation von der korrekten Konfiguration und Funktion des Firewallsystems abhängt. Eventuell kann auch unvorteilhaft sein, dass die Management- und Auswertungsstation in räumlicher Nähe zur Firewall platziert sein muss, da zwischen diesen beiden Elementen eine gesicherte physikalische Verbindung notwendig ist. 4.2 Organisatorische Aspekte Im Bereich der organisatorischen Aspekte einer IDS - Einführung lassen sich sieben verschiedene Phasen unterscheiden, die in den folgenden Kapiteln genauer beschrieben werden: 1. Bedarfsfeststellung 2. Grobkonzept und Anforderungsanalyse 3. Entscheidungsvorlage 4. Feinkonzept und Produktauswahl 5. Integration 6. Betrieb 7. Revision 26

27 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Bedarfsfeststellung In der Phase der Bedarfsfeststellung geht es hauptsächlich um eine grundsätzliche Beurteilung, ob der Einsatz eines IDS zur ergänzenden Absicherung des Firmennetzwerkes als sinnvoll zu erachten ist. Um diese Frage beantworten zu können, sollten zunächst die verschiedenen Einflussfaktoren für den Einsatz eines IDS, insbesondere an den sicherheitsrelevanten Netzübergängen zum Internet, betrachtet werden Einflussfaktoren für einen IDS - Einsatz Die wesentlichen Einflussfaktoren für die Beurteilung, ob der Einsatz eines IDS sinnvoll ist oder nicht, werden im Folgenden kurz beschrieben: 1. Risikobereitschaft der Organisation Die allgemeine Risikobereitschaft des Unternehmensmanagements spielt eine wesentliche Rolle bei der Gestaltung des IT - Sicherheitsmanagements. Im Bereich der Gefahrenabwehr unterscheidet man zwischen protektiven und reaktiven Maßnahmen. Mittels protektiver Maßnahmen, wie beispielsweise Firewalls, sollen Gefahren abgewehrt und im Vorfeld vermieden werden, während reaktive Maßnahmen, wie etwa Intrusion Detection Systeme, Angriffe erkennen und melden sollen. Protektive und reaktive Maßnahmen können sich gegenseitig ergänzen, jedoch nicht ersetzen. Hierbei gilt es nun zu bewerten, ob die Firmenorganisation eher auf protektive oder auf reaktive Maßnahmen zur Gefahrenabwehr setzt. 2. bestehende und Schutzmaßnahmen des Unternehmens In diesem Abschnitt werden allgemeine Fragestellungen die Organisation der Netzübergänge betreffend behandelt. Typischerweise wird hierbei untersucht, ob die eingesetzten Firewallsysteme auf physikalischem Weg überbrückt werden können, ob interne Mitarbeiter weitere Netzübergänge, z.b. durch die Installation von Modems, schaffen können, oder ob sämtliche IT-Systeme an gesicherten Orten aufgestellt sind. Nützlich für eine übersichtliche Darstellung aller möglichen Netzübergänge ist in dieser Phase die Erstellung eines Netzwerkdiagramms, sofern dieses noch nicht vorhanden ist. 3. Organisation und Aufbau des Netzübergangs zum Internet Nachdem im obigen Abschnitt mögliche Netzübergänge untersucht wurden, sollen die bestehenden Netzübergänge näher betrachtet werden: Es wird untersucht, welche Systemkomponenten eingesetzt werden, durch welche Prozesse Umkonfigurationen an Sicherheitskomponenten begleitet werden oder welche der Systemkomponenten besonderen Gefährdungen ausgesetzt sind. 4. Zweck und Art der eingesetzten Kommunikationsdienste In dieser Phase wird zuerst untersucht, welche physischen und logischen Kommunikationsverbindungen an den Netzübergängen bestehen. Im Anschluss daran wird untersucht, welchen Zwecken diese Verbindungen dienen, und welche Anforderungen bezüglich Verfügbarkeit und Integrität an sie gestellt werden. 27

28 TECHNISCHE UND ORGANISATORISCHE ASPEKTE EINER IDS - EINFÜHRUNG Ist ein IDS - Einsatz grundsätzlich sinnvoll? Ob der zusätzliche Einsatz eines IDS grundsätzlich sinnvoll ist, lässt sich an folgenden Fragestellungen beurteilen: 1. Ergibt sich durch den IDS - Einsatz ein zusätzlicher Sicherheitsnutzen? 2. Kann dieser zusätzliche Sicherheitsnutzen nicht auch durch andere Maßnahmen mit vergleichbarem oder geringerem Aufwand erzielt werden? Bei der Absicherung des Netzübergangs zum Internet sollten zunächst alle protektiven Maßnahmen ausgeschöpft werden, da die reaktiven Maßnahmen erst ihre volle Wirkung entfalten können, wenn bereits alle protektiven Schutzmaßnahmen genutzt werden. Nachdem der Einsatz eines IDS grundsätzlich als sinnvoll beurteilt wurde, sollten die Entscheider im Unternehmen durch eine motivierende Heranführung für das Thema Intrusion Detection sensibilisiert werden Anforderungsanalyse und Grobkonzept In dieser Phase der IDS - Einführung sollte untersucht werden, auf welche Weise ein IDS in die bestehende des Unternehmens integriert werden kann. Auch diese Phase untergliedert sich in verschiedene Einzelschritte, die ich im Folgenden kurz darstellen möchte: Technische Um festzulegen, wie ein IDS am Besten in die bestehende des Unternehmens integriert werden kann, müssen zuerst alle bestehenden Systemkomponenten der am Netzübergang zum Internet untersucht werden. Es sind verschiedene Fragen zu klären, wie beispielsweise welche Komponenten eingesetzt werden, wo sich diese befinden und welche Protokolle und Dienste genutzt werden Bestehende Prozesse im Falle von Sicherheitsverletzungen Ebenfalls muss die bestehende Incident Response Organisation des Unternehmens erfasst werden. Es muss geklärt werden, welche Prozesse und Vorgehensweisen im Bereich der Sicherheitsverstöße bereits definiert sind, um diese dann mit dem einzuführenden IDS abzustimmen Zielsetzung und Anforderungen an das IDS Nachdem die Ziele festgesetzt wurden, die durch den Einsatz des IDS erreicht werden sollen, lassen sich daraus Anforderungen an das System ableiten, die dann in verschiedene Prioritäten eingeteilt werden. Hierbei sollte mindestens nach folgenden vier verschiedenen Gewichtungen unterschieden werden: Ausschlusskriterium Soll - Kriterium Wunschkriterium Irrelevantes Kriterium 28