Wie funktioniert ein IDS (Intrusion Detection System)?
Ein IDS(Intrusion Detection System), übersetzt Angriffserkennungssystem, ist eine Software oder ein Gerät, das Angriffe auf überwachte Computer, Netzwerke oder Server erkennen kann und den Administrator bei einer Policy- oder Security-Verletzung alarmiert. In vielen Fällen dient ein IDS als Ergänzung zu einer aktiven Firewall und erhöht durch die Überwachung und Analyse der Netzwerk-Aktivitäten den Schutz vor unbefugten Zugriffen. Auch wenn ein Angreifer die Firewall überwunden hat, kann das IDS diesen dennoch identifizieren und zur Abwehr wichtige Informationen über Herkunft und Art des Angriffs liefern. Ein IDS erkennt als Softwarekomponente oder eigenständige Hardware typische Angriffsmuster, analysiert Konfigurationen und Schwachstellen sowie abnormale Aktivitätsmuster. Die Daten sammelt das System meist in Log-Dateien, die der Administrator auswertet und entsprechende Gegenmaßnahmen ergreift. Mithilfe der bereitgestellten Informationen sperrt der Administrator beispielsweise angegriffene Ports oder hält Services an.
Zur Begriffsabgrenzung: Bei direkt auf Bedrohungen reagierenden Systemen spricht man von einem Intrusion Prevention System (IPS), was übersetzt so viel wie Angriffsverhinderungssystem bedeutet. Diese sind in der Lage Datenpakete zu verwerfen, übertragene Dateien zu ändern oder Verbindungen zu unterbrechen.
Drei Arten der Angriffserkennung
Je nach dem zu schützenden Netzwerk oder System unterscheidet man drei verschiedene Intrusion Detection Systeme. Ein Host-basiertes IDS (HIDS) ist die älteste Form dieser Systeme und wurde ursprünglich vom Militär zur Überwachung von Großrechnern entwickelt. Es ist die passive Stufe eines IDS und muss direkt auf jedem zu überwachenden System installiert sein. Das HIDS analysiert die Konfigurations-Dateien, sammelt Daten aus der Registry-Datenbank, dem Kernel und Logs, findet riskante Netzwerk-Einstellungen und schlägt bei einem vermeintlichen Angriff Alarm. Problem: Das Host-basierte IDS ist zum Beispiel bei einer DoS-Attacke unwirksam, die das gesamte System außer Kraft setzt. Ist das System außer Gefecht gesetzt, ist auch das HIDS lahmgelegt. Vorteil des Systems ist die umfassende Überwachung sowie die Fähigkeit, sehr genaue Aussagen über die Art des Angriffs machen zu können.
Ein Netzwerk-basiertes IDS (NIDS) ist die aktive Stufe eines IDS und versucht den gesamten Netzwerkverkehr zu protokollieren und analysieren, um Angriffsmuster zu identifizieren. Das System muss im Netzwerk so installiert sein, dass es die empfangenen Datenpakete lesen und auf verdächtige Muster prüfen kann. Problem: Bei hoher Auslastung des Netzwerks kann die Datenmenge die Bandbreite des NIDS übersteigen und Datenpakete müssen verworfen werden. Eine lückenlose Überwachung ist dann nicht sichergestellt. Vorteil: Ist das Zielsystem deaktiviert, bleibt das NIDS dennoch aktiv.
Zusätzlich gibt es hybride IDS, die ein Host- und Netzwerk-basiertes System vereinen und einen besseren Schutz vor Angriffen bieten. Ergänzend zu den beiden Bestandteilen ist dabei ein Management-System für den Administrator vorhanden und eine weitergehende Analyse sämtlicher Daten findet statt. Viele moderne IDS-Lösungen beruhen auf dieser Funktionsweise.
Wie funktionieren Intrusion Detection Systeme?
Die Systeme identifizieren Angriffe mithilfe von zwei Verfahren. Zum einen vergleicht das Intrusion Detection System den Datenfluss mit bekannten Angriffsmustern und führt zum anderen die so genannte statistische Analyse durch. Beim ersten Verfahren erkennt das System allerdings nur bereits bekannte Angriffsarten.
Die Funktionsweise der Überprüfung durch den Vergleich mit bekannten Angriffsmustern erfolgt in drei Schritten:
- Wahrnehmung,
- Mustererkennung und
- Reaktion.
Im Rahmen der Wahrnehmung sammelt das HIDS Logdateien beziehungsweise das NIDS Daten des Netzwerkverkehrs. Die gesammelten Daten prüft das System während der Mustererkennung, verarbeitet diese weiter und vergleicht sie mit bekannten Angriffssignaturen aus der Musterdatenbank. Bei einem Treffer wird als Reaktion ein Einbruchs-Alarm (Intrusion-Alert) ausgelöst und der System-Administrator zum Beispiel per E-Mail oder SMS informiert.
Für die Erkennung unbekannter Angriffsarten arbeitet ein IDS mit heuristischen Methoden wie statistischen Analysen. Damit soll das System auch Abweichungen vom Normalzustand erkennen.
Grundsätzliches Problem der Intrusion Detection Systeme: Je nach Konfiguration und eingesetzter Methoden generieren diese entweder viele falsche Warnmeldungen oder entdecken Angriffe nicht.
Weiterer Bestandteil eines IDS: der Honeypot
Bei einem sogenannten Honeypot handelt es sich meist um einen Server in einem Netzwerk, der als Köder agiert und mit absichtlich vorhandenen Sicherheitslücken Angreifer anlocken soll. Solch ein Honeypot ist ein Bestandteil von vielen Intrusion Detection Systemen. Bei Aktivitäten auf diesem System handelt es sich dann in der Regel immer um einen Angriff, da dieses vom Eigentümer beziehungsweise Unternehmen nicht selbst aktiv genutzt wird. Kritische Daten sind auf dem Honeypot-Computer nicht gespeichert, ein Angriff stellt daher kein Sicherheitsproblem dar. Mithilfe solch eines Honeypots bringt der Administrator mehr über die Vorgehensweise der Attacke in Erfahrung und kann entsprechende Gegenmaßnahmen einleiten. Nachteil der Honigtöpfe: Sie können Cyberkriminellen als Eintrittspunkt für weitere Angriffe dienen.