IDS

IDS - die intelligente Ergänzung zur Firewall

Neuen Schutzsysteme, die mittlerweile auf einem hohen Niveau operieren, sind die sogenannten Intrusion Detection Systeme (IDS). Sie sind die ideale Ergänzung zur ``normalen'' Firewall.

Definition

Eine Intrusion kann gemäß [Heberlein, Levitt and Mukherjee, 1991] wie folgt beschrieben werden: ``Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren''. Allgemeiner gefasst kann man unter einer Intrusion die absichtliche Verletzung der Sicherheitsmaßnahmen eines System verstehen. Das Ziel der Intrusion Detection (ID) ist es, diese Verletzungsversuche zu erkennen, sie für den die Systemsicherheit zuständigen Personen zu melden und geeignete Gegenmaßnahmen zu treffen, bzw. das System für Intrusions-Gegenmaßnahmen (Intrusion Response System, IRS) mit geeigneter Information über den Angriff zu versorgen.

Zur Entwicklung des Gebiets Intrusion Detection

Intrusion Detection (ID) ist ein relativ junges Teilgebiet aus dem IT-Sicherheitsbereich, welches das Ziel hat, Methoden zur Erkennung von Angriffen auf Rechnersystemen zu entwickeln. Ein ID-System (IDS) wird in Analogie zu einer Alarmanlage gesehen. Gelingt es beispielsweise einem Angreifer trotz des Firewallschutzmechanismus, ein Virenprogramm zu installieren und auch zu aktivieren, so soll das IDS einen Alarm auslösen und den zuständigen Sicherheitsbeauftragten (System Security Officer, SSO) mittels E-Mail, Pager etc. informieren. Der SSO kann dann das IDS nach genaueren Information zu dem Angriff befragen, um so geeignete Gegenmaßnahmen zu treffen. Im schlimmsten Fall kann er sich dazu entscheiden, das System herunterzufahren.

Ein gut funktionierendes IDS darf sich daher nicht auf die Fähigkeit beschränken, Angriffe zu erkennen. ID-Systeme benötigen Eigenschaften, die nicht im direkten Zusammenhang mit der Entdeckung von Angriffen stehen. So ist es beispielsweise sehr wichtig, die Integrität der IDS-Konfigurationsdaten oder auch die Echtheit einer Alarmmeldung zu garantieren.

Ein Intrusions-Erkennungssystem (IDS) besteht aus den folgenden drei Hauptkomponenten:

Einer Komponente zur Datensammlung, die Informationen z.B. über den allgemeinen Systemzustand und die Betriebsmittelvergabe sammelt. Diese Information kann quantitativer Art sein, z.B.: der Port 4711 empfing während der letzten Sekunde 20 SYN-Pakete. Es kann sich allerdings auch um qualitative Aussagen handeln, etwa der folgenden Art: Benutzer Felix schickte eine E-Mail ab, kurz nachdem der sich beim System angemeldet hat.
Einer Komponente zur Datenanalyse, welche die gesammelten Daten im Hinblick auf mögliche Angriffe analysiert.
Einer Komponente zur Ergebnisdarstellung, die das Analyseergebnis benutzergerecht aufbereitet und dem Sicherheitsbeauftragten als Entscheidungshilfe für das weitere Vorgehen liefert.

Für den Erfolg eines ID-Systems ist es wichtig, aus welcher Quelle die Daten zur Intrusionserkennung genommen werden. Die beste Analysekomponente ist wirkungslos, wenn ihr nicht in ausreichendem Maße Daten zu Verfügung stehen.

Der tatsächliche Erkennungsprozeß findet in der Analysekomponente des IDS statt. Hier gibt es zwei unterschiedliche Techniken: Mißbrauchserkennung (misuse detection, auch als Signaturanalyse bezeichnet) und Anomalieerkennung. Während die Mißbrauchserkennung versucht, bekannte Angriffe zu identifizieren, hat Anomalieerkennung das Ziel, die unmittelbaren Folgen eines Angriffs zu erkennen. Damit ist es, zumindest vom Ansatz her, mittels Anomalieerkennung möglich, das System auch vor noch unbekannten Angriffen zu schützen.

Die Mißbrauchserkennung versucht, in den Daten die für bekannte Angriffe typischen Muster zu erkennen. Hier finden häufig ``String Matching''-Algorithmen Anwendung: Der Datenstrom wird auf ein bestimmtes Muster hin untersucht. Hierbei ist noch nicht spezifiziert, wie mächtig dabei die Sprache zur Beschreibung des zu suchenden Musters sein kann. Die Mißbrauchserkennung stellt gewisse Anforderungen an den zu erkennenden Angriff:

Es muss bekannt sein, worauf dieser Angriff basiert (beispielsweise IP-Paket mit falscher Größenangabe).
Es muss eine Signatur für diesen Angriff vorliegen.
Die Signatur muss für das ID-System zugänglich gespeichert werden. Die Angriffsmuster werden in einer sogenannten Signaturdatenbank gespeichert. Diese Datenbank bildet die zentrale Komponente des Mißbrauchserkennungssystems.

Die Anomalieerkennung basiert auf der Überlegung, dass ein Angriff ein atypisches Systemverhalten (Anomalie) erzeugt, wodurch er erkannt werden kann. Entsprechende Systeme betrachten bestimmte Ereignisfolgen als typisch. Beobachtet das System den Anfang einer gewissen Ereignisfolge, so erwartet es, dass auch der Rest der Ereignisfolge abläuft. Ist dies nicht der Fall, wird das beobachtete Systemverhalten als anomal bewertet.