Grundlagen: 2. Zusammenspiel von IDS mit anderen Sicherheitskomponenten

« zur Übersicht

Zur Sicherstellung einer wirksamen Sicherheitsgesamtfunktionalität ist von besonderer Bedeutung, wie IDS mit anderen, bereits im Einsatz befindlichen Sicherheitskomponenten zusammenspielen, deren Funktionalität ergänzen bzw. möglicherweise einschränken.

In diesem Kapitel werden Intrustion Detection Systeme im Zusammenhang mit folgenden, anderen Sicherheitskomponenten bzw. -funktionen betrachtet.

• Virenscanner
• Content Filter
• Vulnerability Scanner
• Verschlüsselungskomponenten
• Firewalls
• Hochverfügbare Systeme

Hierzu wird der Einsatzzweck und die Funktionsweise der Sicherheitskomponente zunächst kurz erläutert und gegenüber dem Einsatzzweck und der Funktionsweise von IDS abgegrenzt. Danach werden Möglichkeiten, Einschränkungen und ggf. Zusatznutzen der Kombination der jeweiligen Sicherheitskomponente/-funktion mit IDS erläutert.

2.1 Virenscanner

2.1.1 Kurzbeschreibung und Abgrenzung

Beim Virenscan werden Dateien auf Virenbefall untersucht. Im Vordergrund der Untersuchung stehen ausführbare Programme sowie Dateien mit aktiven Elementen. Zu letzteren gehören z. B. Word und Excel Dateien, die Makroviren enthalten können, oder HTML-Seiten, in denen aktive Elemente (ActiveX) mit Schadfunktionen eingebettet sein können. Des Weiteren werden zum Teil Prozess-Heuristiken erstellt, um "virale Prozesse" zu identifizieren

Um dem Nutzer die Anwendung zu vereinfachen binden sich Virenscanner im Allgemeinen automatisch in gefährdete Aktionen mit ein, so dass etwa

• beim Laden von Dateien von Diskette,
• bei der Installieren neuer Software oder
• beim Öffnen von E-Mail-Anhängen

automatisch eine Virenprüfung der jeweiligen Dateien erfolgt. Daneben kann z. B. ein regelmäßiges Scannen des gesamten Systems konfiguriert werden.

Virenscanner können im erweiterten Sinn als spezielle hostbasierte Sensoren betrachtet werden, die Dateien, Software und z. T. Prozess-Heuristiken analysieren. Wie bei IDS gibt es Managementstationen, Alarmierungen, aktive Reaktionen und Signaturdatenbanken für Viren, die regelmäßig aktualisiert werden müssen.

Als Reaktion erfolgt bei erkannten Viren typischerweise eine Alarmierung. In vielen Fällen erlauben Virenscanner als Reaktion auch die direkte Entfernung des Virus, d. h. das "Desinfizieren" der befallenen Datei.

2.1.2 Zusammenspiel mit IDS

Die Funktionalitäten von IDS und Virenscannern ergänzen sich gegenseitig. Intrusion-Detection und Virenscanning können grundsätzlich unabhängig von einander eingesetzt werden. Da die Einsatzweisen von IDS und Virenscannern weitgehend übereinstimmen, besteht grundsätzlich die Möglichkeit, dieselbe Organisation (Prozesse, zuständige Mitarbeiter/Abteilungen) für den Betrieb von IDS und Virenscannern zu verwenden. Ob dies in der Praxis sinnvoll ist, sollte im Einzelfall verifiziert werden.

Da sowohl hostbasierte Intrusion-Detection Sensoren als auch Virenscanner typischerweise tief in die Systeme eingreifen, ist bei konkreten Implementierungen darauf zu achten, dass sich die verwendeten Produkte in ihrer Funktionalität nicht gegenseitig beeinträchtigen.

2.2 Content Filter

2.2.1 Kurzbeschreibung und Abgrenzung

Content filter (Inhaltsfilter) werden zur aktiven Filterung der über das Netz übertragenen Inhalte eingesetzt. Nicht gewünschte Inhalte werden blockiert, ggf. werden die übertragenen Daten transparent um nicht gewünschte Inhalte gesäubert.

Bei Intrusion-Detection-Systemen stehen dagegen die Inspektion der übertragenen Daten sowie die Alarmierung im Vordergrund. Durch IDS werden typischerweise keine Daten aus dem Netz herausgefiltert.

Beispiele für die Inhaltsfilterung:

• Beim Surfen von Mitarbeitern im Internet werden bestimmte URLs unterdrückt.
• Inhalte (Web-Content, E-Mails) werden auf bestimmte Kennwörter oder Wortsequenzen untersucht, um das Empfangen und/oder Versenden anstößiger Informationen (z. B. rassistische, radikalpolitische oder pornographische Inhalte) zu unterbinden.
• Die zentrale Prüfung von E-Mails auf Viren ist ein Spezialfall der Inhaltsfilterung. Falls in E-Mails dabei Viren entdeckt aber nicht automatisch beseitigt werden können oder falls keine Virenprüfung möglich ist, da z. B. die Daten verschlüsselt wurden, werden die entsprechenden E-Mails typischerweise in ein Quarantäneverzeichnis befördert und nicht zugestellt.

2.2.2 Zusammenspiel mit IDS

Content Filtering und Intrusion-Detection weisen sich ergänzende Funktionalitäten auf und können unabhängig voneinander eingesetzt werden.

IDS können dazu dienen, Angriffe auf IT-Systeme, die zur Inhaltsfilterung genutzt werden, zu erkennen und diese Systeme zu überwachen.

2.3 Vulnerability Scanner

2.3.1 Kurzbeschreibung und Abgrenzung

Vulnerability Scanner dienen dazu, Schwächen und offene Angriffspunkte in Netzen und Systemen vorab zu erkennen, während IDS zur Erkennung von stattfindenden Angriffen in Netzen und Systemen genutzt werden. Die Funktionalität von IDS und Scannern ist in dieser Hinsicht komplementär.

Wie bei IDS wird auch zwischen netz- und hostbasierten Scannern unterschieden. Netzbasierte Scanner kommunizieren über eine Netzverbindung mit dem Zielsystem und versuchen Schwächen und Angriffspunkte in den vom Zielsystem angebotenen Kommunikationsdiensten zu ermitteln. Hostbasierte Scanner werden auf dem zu prüfenden Rechner installiert und prüfen die Konfiguration des Betriebssystems auf Schwachstellen.

Während IDS permanent ein System bzw. Netz überwachen, erfolgt die Prüfung eines Systems oder Netzes durch Scanner typischerweise in (regelmäßigen) zeitlichen Abständen. Durch den Einsatz von Scannern werden vorhandene Systemschwächen und offene Angriffspunkte deutlich. Auf Basis der Ergebnisse des Scannings kann dann versucht werden, die identifizierten Schwachpunkte zu beheben.

2.3.2 Zusammenspiel mit IDS

Die Funktionalitäten von Vulnerability Scannern und IDS ergänzen sich.

Vulnerability Scanner können sowohl zur Überprüfung der Funktionsfähigkeit von IDS eingesetzt werden als auch die Kalibrierung eines IDS unterstützen: Dabei wird das IDS so kalibriert, dass Angriffe, gegen die das überwachte System gemäß der Ergebnisse der Vulnerability Scannings nachweislich immun ist, mit einer geringen Priorität behandelt oder ggf. vollständig unterdrückt werden, während bei Angriffen, zu denen vorhandene Systemschwächen bekannt sind, eine umgehende Alarmierung durch das IDS erfolgt.

2.4 Verschlüsselungskomponenten

2.4.1 Kurzbeschreibung und Abgrenzung

Verschlüsselung dient als Maßnahme zur Wahrung der Vertraulichkeit übertragener oder gespeicherter Daten. Dabei sind folgende Ansätze zu unterscheiden:

1. Übertragung verschlüsselter Daten über einen ungeschützten Kommunikationskanal. Hierunter fällt insbesondere die Ende-zu-Ende Verschlüsselung von E-Mail. E-Mails werden dabei im Client verschlüsselt und ggf. digital signiert und in dieser Form über das Internet übertragen.

2. Übertragung (unverschlüsselter) Daten über einen gesicherten, insbesondere verschlüsselten Kommunikationskanal. Beispiele hierfür sind SSL und IPsec. Dabei ist weiter zu unterscheiden, auf welcher Protokollschicht die Verschlüsselung erfolgt:

   • Die Sicherung per SSL erfolgt direkt unter der Anwendungsschicht.
   • Die Sicherung per IPsec erfolgt auf Ebene der IP-Kommunikation.

2.4.2 Zusammenspiel mit IDS

Die Verschlüsselung beeinträchtigt Maßnahmen zur Inhaltsfilterung und zum (zentralen) Virenscanning, da eine inhaltlichen Kontrolle nur bei unverschlüsselt vorliegenden Daten erfolgen kann. Die Auswirkungen einer verschlüsselten Kommunikation auf das Intrusion-Detection erfordern eine differenziertere Betrachtung:

Beim Einsatz netzbasierter IDS hängt der Grad der Beeinträchtigung der Angriffserkennung davon ab, welcher der oben aufgeführten Verschlüsselungsansätze gewählt wurde. Bei der ungeschützten Übertragung verschlüsselter Daten (Ansatz 1 oben) wird die Funktionalität der Überwachung praktisch kaum beeinträchtigt. Lediglich inhaltlich können die verschlüsselten Daten nicht kontrolliert werden. Bei der Übertragung von Daten über verschlüsselte Kommunikationskanäle hängt der Grad der Beeinträchtigung davon ab, auf welcher Protokollschicht die Verschlüsselung erfolgt. Da Netzsensoren typischerweise mehrere Protokollschichten analysieren, können bei SSL-gesicherten Verbindungen Angriffe auf IP-Ebene erkannt werden, während bei der Nutzung von IPsec lediglich die Protokollkonformität der übertragenen IP-Pakete geprüft werden kann.

Netzbasierte IDS weisen jedoch auch Nutzenaspekte auf, die durch Verschlüsselung nicht beeinflusst werden. Beispielsweise ist es durch Analyse des Datenflusses möglich, etwa Kommunikationsbeziehungen zwischen unberechtigten Systemen oder ein ungewöhnliches Ansteigen des Datenverkehrs zu entdecken. Darüber hinaus bedeutet das Vorhandensein verschlüsselten Datenverkehrs typischerweise nicht, dass Angriffsversuche ebenfalls verschlüsselt bzw. über den verschlüsselten Kanal erfolgen. Durch Einsatz eines netzbasierten IDS können darüber hinaus auch Fehlkonfigurationen, etwa Nachrichten, die fälschlicherweise unverschlüsselt übertragen werden, erkannt werden. Daher kann ein Einsatz netzbasierter IDS auch in Netzsegmenten sinnvoll sein, in denen typischerweise verschlüsselt kommuniziert wird.

Beim Einsatz hostbasierter IDS wird die Funktionalität der Angriffserkennung typischerweise nicht beeinträchtigt, unabhängig davon, welcher Ansatz für die Verschlüsselung genutzt wird. Erfolgt die Entschlüsslung auf dem überwachten Host, hat der Hostsensor grundsätzlich Zugriff auf die entschlüsselten Daten. Ansonsten ist durch die verschlüsselt vorliegenden Daten keine Gefährdung gegeben.

Insgesamt ist in Umgebungen, in denen eine Verschlüsselung via VPN erfolgt, eine Kombination aus netzbasierten und hostbasierten IDS-Komponenten sinnvoll, um sowohl Angriffe außerhalb des VPN-Kanals zu erkennen als auch solche, die über den verschlüsselten Kanal ausgeführt werden.

2.5 Firewalls

2.5.1 Kurzbeschreibung und Abgrenzung

Firewall-Systeme dienen zur Kontrolle des Netzverkehrs an Netzübergängen. Durch die Filterung des Datenflusses gemäß vorgegebener Regeln bieten Firewall-Systeme eine aktive Sicherheit, da nur der gemäß den eingestellten Regeln zulässige Verkehr das Firewall-System passieren darf.

IDS bieten keine aktive Sicherheit, sondern reagieren nur auf erkannte Angriffe.

2.5.2 Zusammenspiel mit IDS

Durch die unterschiedliche Art der Kontrolle und die unterschiedlichen Einsatzpunkte ergänzen sich Firewall-Systeme und IDS in ihrer Funktionalität. Kein System kann das andere ersetzten, sondern lediglich die Funktionalität des anderen Systems erweitern.

Die im Folgenden aufgeführten Beispiele verdeutlichen einige Einsatzbereiche von IDS, die von Firewall-Systemen nicht geleistet werden können. Konkrete Architekturen für den kombinierten Einsatz von Firewall-Systemen und IDS werden später in Kapitel 4 erläutert.

• Erkennung von Angriffen aus dem internen Netz
  Eine Firewall kann nur Angriffe abwehren, die über sie laufen. Die Firewall bietet keinen Schutz gegen Angriffe auf interne Systeme, die im internen Netz ausgelöst werden. IDS können sowohl den Datenfluss als auch Server im internen Netz überwachen.
• Überwachung der Firewall Konfiguration
  Als IT-Komponente ist die Firewall selbst Angriffen ausgesetzt. Daneben sind Fehlkonfigurationen der Firewall gerade in komplexen Einsatzszenarien nicht auszuschließen. Mit einem IDS kann kontrolliert werden, ob die Firewall gemäß ihrer Vorgaben arbeitet.
• Zusätzliche Überwachung von Diensten, die aktiv nicht ausreichend kontrollierbar sind
  Für Protokolle, für die keine Applikations-Gateways verfügbar sind, kann durch netzbasierte Sensoren die Datenflusskontrolle verbessert werden. Auch können Firewalls getunnelte und verschlüsselte Kommunikation nicht analysieren. An dieser Stelle helfen hostbasierte IDS, die die Kommunikation nach der Entschlüsselung prüfen.
• Erkennung externer Zugänge, die nicht über die Firewall führen
  Die Firewall bietet nur Schutz gegen über sie geleitete Kommunikation. Mit einem IDS können dagegen auch zusätzliche Zugänge (z. B. über Modems) erkannt und überwacht werden.

Sofern IDS-Komponenten über mehrere Teilnetze hinweg verteilt sind, ist darauf zu achten, dass auch die IDS-Kommunikation an den Netzübergängen entsprechend gefiltert wird.

2.6 Hochverfügbare Systeme

2.6.1 Kurzbeschreibung und Abgrenzung

Gerade für Dienstleister im Bereich eCommerce ist die ständige Verfügbarkeit der Internet-Anbindung und angebotener Dienste heute eine unumgängliche Anforderung. Bei unvollständiger Datenübertragung, der Unterbrechung von Sessions oder der fehlenden Verfügbarkeit von Web-Seiten können Kunden verloren gehen und Interessenten demotiviert werden.

Abhängig von der Höhe der Anforderungen an die Verfügbarkeit können verschiedene Ansätze zur Erhöhung der Verfügbarkeit unterschieden werden:

1. Cold-Standby:
   Im Cold-Standby wird ein Ersatzsystem deaktiv ("cold") vorgehalten, dessen Funktionalität mit dem des Produktivsystems übereinstimmt. Beim Ausfall des Produktivsystems wird dieses manuell durch das Ersatzsystem ersetzt. Cold-Standby eignet sich dann als Lösung, wenn eine gewisse Ausfallzeit (Dauer des Wechsels von Produktivsystems auf Ersatzsystem) toleriert werden kann. Cold-Standby wurde der Vollständigkeit halber mit aufgeführt. Es stellt keine Hochverfügbarkeits-Lösung dar, da mit dem Wechsel vom Produktivsystem auf das Ersatzsystem eine gewisse Ausfallzeit verbunden ist.
2. Hot-Standby:
   Im Gegensatz zum Cold-Standby wird im Hot-Standby das Ersatzsystem permanent betrieben ("hot"). Bei Ausfall des Produktivsystems erfolgt die Umschaltung auf das Ersatzsystem automatisch ohne Zeitverzug. Abhängig von den Anforderungen und der spezifischen Lösung werden bei der Umschaltung auf das Ersatzsystem bestehende Sitzungen entweder unterbrochen oder transparent übernommen.
3. Lastverteilung (Load Balancing):
   Während im Cold/Hot-Standby das Ersatzsystem nur beim Ausfall des Produktivsystems dessen Aufgaben übernimmt, teilen sich bei der Lastverteilung mehrere Systeme die Aufgabenerbringung. Ausgefallene Systeme werden dabei erkannt und automatisch umgangen. Technisch wird der Verkehr über Lastverteiler (Load Balancer) geleitet, die ihn in Abhängigkeit bestimmter Regeln an zur Verfügung stehenden Server weiterleiten. Die Lastverteiler überwachen dabei kontinuierlich die Verfügbarkeit und Auslastung der Server und informieren sich gegenseitig hierüber.

2.6.2 Zusammenspiel mit IDS

Für die Integration von IDS in Infrastrukturen, die die oben beschriebenen Ansätze zur Erhöhung der Verfügbarkeit nutzen, werden host- und netzbasierte Sensoren getrennt betrachtet.

Integration hostbasierter Sensoren

Die Integration hostbasierter Sensoren gestaltet sich unproblematisch: Um eine vollständige Überwachung zu erzielen, sind Hostsensoren sowohl auf Produktivsystemen als auch auf Ersatzsystemen vorzusehen. In Cold-/Hot-Standby Szenarien ist dabei abhängig von den Verfügbarkeitsanforderungen an die Überwachung zu entscheiden, ob ein Einsatz von Hostsensoren auf den Ersatzsystemen erforderlich ist. Da typischerweise keine Hochverfügbarkeits-Anforderungen an IDS gestellt werden, wird im Allgemeinen vom Einsatz von Sensoren auf Ersatzsystemen abgesehen. Dies setzt jedoch voraus, das der Ausfall des Produktivsystems erkannt und behoben wird, so dass es zu keinem zeitlich längerem Einsatz eines nicht durch das IDS überwachten Systems kommt.

Falls im Cold-Standby für Ersatzsysteme ein Hostsensor vorgesehen wird, ist bei Einsatz des Ersatzsystems darauf zu achten, dass der Sensor aktiviert und bei der zugehörigen Managementstation angemeldet wird.

Integration netzbasierter Sensoren

Die Integration netzbasierter Sensoren in Hochverfügbarkeitslösungen hängt stark von der spezifischen Netzinfrastruktur ab. Netzbasierte Netzsensoren sind nur dann sinnvoll einsetzbar, wenn sie den Netzverkehr vollständig und genau einmal beobachten können. Die Integration ist insbesondere für die beiden folgenden Situationen erschwert:

1. Kein zentraler Abgriffpunkt:
   Der zu überwachende Netzverkehr ist auf mehrere physikalische Verbindungen verteilt.
2. Multicast:
   Im Rahmen von Hochverfügbarkeits-Architekturen wird von Multicast gesprochen, wenn mehrere Systeme so konfiguriert werden, dass sie unter derselben Adresse (IP-/MAC-Adresse) auf Verbindungsanfragen reagieren. Die Verarbeitung eingehender Daten/Verbindungen wird zwischen den Systemen verteilt und ist für den Client transparent. Hierbei werden keine Multicast IP-Adressbereiche genutzt. Anstelle dessen werden mehrere Systeme so konfiguriert, dass sie unter derselben (Unicast) IP-Adresse und MAC-Adresse auf Verbindungsanfragen reagieren.

Generell ist bei der Integration zu beachten, das die Performance der eingesetzten Netzsensoren hoch genug ist, um den jeweiligen Netzverkehr zu überwachen und sich die Last bei der Überwachung mehrerer Übertragungsstrecken durch denselben Sensor vervielfacht (siehe unten Lösungsansätze 2, 3 und 4). Beispielsweise können im Duplex-Betrieb eines 100Mbps-Ethernets am Sensor bereits bis zu 200Mbps auftreten. Bei der gleichzeitigen Überwachung von zwei solcher Übertragungsstrecken ergeben sich bis zu 400Mbps. Auch für die technischen Komponenten (TAPs, Switches) zum Abgriff und zur Zusammenführung des Netzverkehrs sind entsprechender Performance-Anforderungen zu beachten. z. B. gibt es 100Mbps-Switches mit einem Gigabit-Span-Port, der für Überwachungszwecke genutzt werden kann.

Kein zentraler Abgriffpunkt

Der erste Fall tritt typischerweise bei der Nutzung von Lastverteilung auf. Die Problematik kann zwar grundsätzlich auch Hot-Standby-Szenarien betreffen; hier wird jedoch üblicherweise auf die Überwachung der Standby-Verbindung verzichtet, da an das IDS keine Hochverfügbarkeits-Anforderungen gestellt werden.

Für die Überwachung von Netzverkehr, der auf mehrere physikalische Verbindungen verteilt ist, bieten sich folgende Lösungsmöglichkeiten an:

1. Einsatz mehrerer Netzsensoren:
   Für jede physikalische Verbindung wird ein separater Netzsensor vorgesehen. Dieser Ansatz hat den Vorteil, dass auch die Überwachung lastverteilt erfolgt. Da der Netzverkehr auf mehrere Sensoren verteilt wird, kann eine höhere Verkehrslast überwacht werden als beim Einsatz von nur einem Sensor. Nachteilig ist der im Vergleich zu den nachstehenden Lösungsansätzen höhere Aufwand, der sich aus dem Einsatz mehrerer Netzsensoren ergibt. Des Weiteren ist für die Angriffserkennung zu beachten, dass Zusammenhänge zwischen einzelnen Ereignissen, die von verschiedenen Sensoren erkannt wurden, erst nach deren zentraler Zusammenführung korreliert werden können. Um dieselbe Erkennungsqualität wie bei Einsatz eines einzelnen Sensors zu gewährleisten, muss die Analyse später, nach der Zusammenführung der Ereignisse erfolgen. Dies ist als Anforderung für ein auszuwählendes IDS zu berücksichtigen.

   

2. Einsatz eines Netzsensors mit mehreren Netzinterfaces:
   Der von den Verbindungen abgegriffene Netzverkehr wird zu separaten Netzinterfaces desselben Sensors geleitet und durch diesen ausgewertet. Im Vergleich zum Lösungsansatz 1 hat dieses Vorgehen den Vorteil, dass der Sensor den Netzverkehr insgesamt sieht und auswerten kann. Bei der Auswahl des Sensors ist jedoch darauf zu achten, dass dieser die Überwachung des Verkehrs mehrerer Netzinterfaces unterstützt und die Sensor-Performance die Überwachung des gebündelt vorliegenden Verkehrs erlaubt.

   

3. Zusammenführung des Netzverkehrs über einen Switch:
   Der von den Verbindungen abgegriffene Netzverkehr wird über einen Switch zusammengeführt und zu einem Netzsensors geleitet. Wie auch bei Lösungsansatz 2 ist der Vorteil gegeben, dass ein Sensor den Netzverkehr insgesamt sieht und auswerten kann. Bei der Auswahl des Sensors ist darauf zu achten, dass die Sensor-Performance die Überwachung des gebündelt vorliegenden Verkehrs erlaubt. Bei der Auswahl des Switches ist darauf zu achten, dass der Port, an dem die Überwachung erfolgt, so ausgelegt ist, dass er die vollständige Spiegelung des Netzverkehrs der beiden Input-Ports erlaubt.

   

4. Anpassung der Konfiguration von Switches:
   Falls der zu überwachende Netzverkehr über Switches auf die Zielsysteme verteilt wird, besteht ggf. die Möglichkeit, den gesamten Netzverkehr durch die Anpassung der Konfiguration der Switches zentral auf einen zusätzlichen Port eines Switches zu spiegeln. Dies hat den Vorteil, dass vorhandene Komponenten für die Zusammenführung des Verkehrs genutzt werden können. Bei der Auslegung der Switches ist wiederum darauf zu achten, dass die Last am zu überwachenden Port ein Vielfaches der Last einzelner Kommunikationsverbindungen betragen kann.

   

Multicast

Im Rahmen von Hochverfügbarkeits-Architekturen wird von Multicast gesprochen, wenn mehrere Systeme so konfiguriert werden, dass sie unter derselben Adresse (IP-/MAC-Adresse) reagieren. Eingehender Netzverkehr erreicht sämtliche dieser Systeme parallel und wird von diesen verteilt bearbeitet. Auf der Ebene des Netzverkehrs hat dies zur Folge, dass am Netzinterface eines Systems zwar der eingehende Verkehr vollständig anliegt, der ausgehende Verkehr jedoch nur für den von diesem System bearbeiteten Teil des Verkehrs. Diese Situation ist in der nachstehenden Abbildung skizziert. Der eingehende Netzverkehr (A, B, C, D) wird über Switches (K1, K2) zu den Komponenten K3 und K4 gesendet. K3 und K4 teilen sich die Bearbeitung des Verkehrs (K3 bearbeitet A und B, K4 bearbeitet C und D). Die Überwachung des Verkehrs an dieser Stelle durch einen Netzsensor ist problematisch, da der Netzsensor nicht weiß, welcher Teil des eingehenden Verkehrs durch das System weiterbearbeitet wird und welcher nicht. Dies betrifft den oben diskutierten Ansatz 1 (Einsatz mehrerer Sensoren). Ein Netzsensor vor K3 würde z. B. C und D als suspekt erkennen, da auf diese (policy-konformen) Pakete von K3 keine Reaktion erfolgt.

Auch die direkte Zusammenführung des Verkehrs (oben beschriebene Ansätze 2 und 3) stellt keine Lösung dar, da im zusammengeführten Verkehr sämtliche eingehenden Pakete doppelt auftreten. Ein Filterung der doppelt auftretenden Pakete aus dem eingehenden Verkehr wäre erforderlich.

Ein Lösung der Problematik ist durch die Anpassung der Konfiguration der eingesetzten Switches möglich:

• Im oben beschriebenen Ansatz 3 wäre der Switch so zu konfigurieren, dass der Verkehr von K1 zu K3, der Verkehr von K3 zu K1 und der Verkehr von K4 zu K2 an den Netzsensor weitergeleitet würde. Nicht an den Sensor weiterzuleiten wäre der Verkehr von K2 zu K4, der aufgrund der Multicast-Konfiguration mit dem Verkehr von K1 zu K3 übereinstimmt.

• Entsprechend kann auch im oben beschriebenen Ansatz 4 über eine geeignete Konfiguration der Switches erreicht werden, dass exakt der zu überwachende Verkehr an dem Port zum Netzsensor gespiegelt wird.