Login
Newsletter
Werbung

Mo, 17. September 2001, 00:00

Intrusion Detection am Beispiel von Snort (Teil 1)

1.4 Eingliederung in die lokale Netzwerkstruktur

Ein Intrusion Detection-System wird oftmals mit einer Firewall in Verbindung gebracht oder gar mit selbiger verwechselt. So hat ein Intrusion Detection-System nicht die Aufgabe, eine Firewall zu ersetzen, sondern stellt eine sehr sinnvolle Ergänzung zu ihr dar. Eine Firewall legt Regeln fest, welcher Netzverkehr nach außen bzw. nach innen dringen darf und ein Intrusion Detection System kann überprüfen, ob diese Regeln auch wirklich eingehalten werden.

Im Zusammenhang mit einem Netzwerk stellt sich oftmals die Frage, an welcher Stelle das Intrusion Detection System greifen soll. Wird es vor der Firewall positioniert, kann es den hereinkommenden Verkehr auf etwaige Angriffe überprüfen. Heutzutage stellt aber nicht mehr nur der Verkehr, der von außen in ein Netzwerk dringt, eine Gefahr für selbiges dar, sondern auch der Verkehr im Innern des Netzwerkes. Der Hauptgegner lauert oftmals nicht mehr nur im Internet oder generell außerhalb des lokalen Netzes. Oftmals sind es die eigenen Mitarbeiter, Fremde, die sich Zugang zum Netz verschafft haben oder Würmer, Trojaner o.ä., die eine Gefahr für das Netz darstellen. Daraus ergibt sich ein weiterer Faktor, der bei der Positionierung des IDS zu beachten ist. Für die Positionierung des IDS im Innern des Netzwerks spricht noch eine andere Tatsache. Grundlage eines jeden Netzwerkes, vor allem in Firmen, sollte eine vor der Installation von Firewalls und Intrusion Detection Systemen festgelegte Sicherheitspolitik sein. Existiert diese nicht, ist fraglich, was für einen Sinn eine Firewall oder ein IDS machen würde. Davon ausgehend, dass eine existiert, wird mit einer Firewall festgelegt, welcher Verkehr aus einem anderen Netz, sei es das Internet oder jegliche Art externer Verbindungen aus anderen Netzen, die überwacht werden sollen, in das eigene gelangen soll. Die Firewall stellt damit eine Art Wiederspiegelung der Sicherheitspolitik dar. Sollte diese verletzt werden und ein Angreifer seinen Weg in das lokale Netz finden, so hat ein IDS, welches vor der Firewall positioniert ist, keine Chance, dieses Vorgehen zu entlarven. Generell kann es zwar erkennen, dass ein Angriff an der Firewall angekommen ist, aber nicht, ob er wirklich abgeblockt wurde. Somit würde ein Intrusion Detection System, welches den Verkehr, der von der Firewall in das interne Netz gelangt, analysieren kann, solch einen Angriff erkennen. Somit sollte ein IDS vor der Firewall positioniert werden und eines hinter der Firewall am Eingang zum lokalen Netz. Abbildung 3 verdeutlicht dies. Mit dieser Konstellation können Angriffe sowohl von innen als auch von außen erkannt werden.

Figure 3: Positionierung des IDS

Alexis Hildebrandt und Mathias Meyer

Figure 3: Positionierung des IDS

Zum Einsatz von Intrusion Detection Systemen muss allgemein noch etwas angemerkt werden. Wie ein Packet Sniffer muss auch ein IDS die Netzwerkkarte in den sogenannten »promiscuous mode«3 schalten, um den gesamten Netzverkehr analysieren zu können. Normalerweise akzeptiert eine Netzwerkkarte nur Pakete, die an sie gerichtet sind. Alle anderen werden einfach ignoriert. Der »promiscuous mode« sorgt dafür, dass die Karte auch alle anderen Pakete akzeptiert. Wäre dies nicht möglich, könnte ein IDS nur Angriffe auf den Host, auf dem es installiert ist, erkennen.

Aus dieser Tatsache ergibt sich noch ein anderes Problem der Positionierung. In einer geswitchten Netzwerkumgebung existieren normalerweise nur Punkt-zu-Punkt-Verbindungen zwischen den einzelnen Hosts. Hängt das IDS an einem normalen Port eines Switches, kann es somit nicht auf den gesamten Verkehr des Netzwerkes zugreifen, sondern hat wiederum nur Zugriff auf Pakete, die an seinen Host adressiert sind. Viele Switches bieten allerdings Monitoring-Ports, auf die der gesamte Verkehr, der den Switch passiert, geleitet wird. Es versteht sich von selbst, dass ein IDS-Host an einen solchen Port angeschlossen werden sollte.

Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung