Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen

Grundlagen: 3. Einsatzszenarien

« zur Übersicht

In den folgenden Abschnitten werden unterschiedliche Einsatzszenarien von IDS beschrieben:

Die Szenarien stellen Beispiele dafür dar, wie IDS typischerweise eingesetzt werden können. Beispielarchitekturen für den Einsatz von IDS gemäß der beschriebenen Szenarien sind in Kapitel 4.2 angegeben.

3.1 Ergänzende Absicherung von Netzübergängen

Im Folgenden wird der Einsatz von IDS als ergänzende Maßnahme zur Absicherung von Netzübergängen diskutiert.

Firewall-Systeme haben sich in den letzten Jahren als Standardsicherheitsmaßnahme zur Absicherung von Netzübergängen gegen unautorisierten Zugang aus weniger vertrauenswürdigen Teilnetzen etabliert. Insbesondere die Absicherung von Internet-Zugängen beruht in der Realität derzeit im Wesentlichen auf Firewall-Technologie.

Die Wirksamkeit von solchen Trenneinrichtungen hinsichtlich – Funktionalität (insbesondere Identifizierung, Authentisierung und Datenflusskontrolle) und – Widerstandsfähigkeit (durch Einsatz mehrstufiger Architekturen) ist jedoch grundsätzlich begrenzt. Gründe hierfür sind z. B., dass – entsprechend komplexe Systeme im Allgemeinen über Schwachstellen verfügen, die für Angriffe ausgenutzt werden können, – neue Anforderungen im Hinblick auf eBusiness-Applikationen eine stärkere Öffnung von internen und externen Netzübergängen erfordern und damit auch die Risiken unautorisierter Zugänge erhöhen, – es häufig keine geeigneten Applikations-Gateways (Anwendungsproxies) zur anwendungsbezogenen Datenflusskontrolle gibt.

Diese Randbedingungen führen zu einer Erhöhung des Restrisikos. Anforderungen zur Bereitstellung der entsprechenden Anwendungs-Funktionalität sind jedoch oft von hoher Bedeutung. Typischerweise werden daher Dienste auf Firewall-Systemen freigeschaltet, auch wenn damit ein erhöhtes Restrisiko verbunden ist.

In diesem Szenario können IDS zur Verbesserung der Absicherung von Netzübergängen eingesetzt werden. Ziel ist es, durch einen kombinierten Einsatz von Firewall-Systemen und IDS bestehende Restrisiken auf ein tragbares Maß zu reduzieren.

Die Firewall filtert den Netzverkehr auf Basis entsprechender Regeln, während das IDS insbesondere den Netzverkehr, der die Firewall passiert hat, auf bekannte Angriffsmuster überwacht und auf diese reagiert.

Durch eine entsprechende Konfiguration des IDS ist daneben gleichzeitig die Überwachung der policy-konformen Konfiguration und der Funktionsfähigkeit der Firewall möglich.

Ergänzende Überwachung von Fernwartungs-Zugängen

In diesem Abschnitt wird der Einsatz von IDS zur verbesserten Überwachung von Fernwartungs-Zugängen diskutiert. Das Szenario ist ein Spezialfall der ergänzenden Absicherung von Netzübergängen.

Bei der Fernwartung besteht generell die Problematik konträrer Anforderungen an die Kontrolle des Datenflusses: Einerseits sollen die Aktivitäten des Fernwartenden streng kontrolliert werden. Hieraus ergeben sich grundsätzlich hohe Anforderungen an die Datenflusskontrolle. Andererseits erfordert die Wartungstätigkeit typischerweise einen möglichst unbeschränkten und transparenten Zugriff durch den Fernwartenden auf das zu wartende System. Daher können bestehende Anforderungen an die Datenflusskontrolle technisch im Allgemeinen nicht oder nur unzureichend umgesetzt werden. Eine weitere relevante Schwachstelle, die durch ein Firewall-System nur unzureichend unterbunden werden kann, ist das System-Hopping. Über das zu wartende System kann der Fernwartende versuchen, auf weitere Systeme zu gelangen.

Um diesen Schwächen entgegen zu wirken, ist daher vielfach als organisatorische Maßnahme vorgesehen, die Fernwartung lokal durch eigenes Personal begleiten und kontrollieren zu lassen. Zwischen Vorschrift und praktischer Handhabung besteht dabei in der Praxis jedoch häufig eine Lücke.

In dieser Situation kann der Einsatz von IDS helfen, um die Kontrolle der Tätigkeiten des Fernwartenden zu automatisieren. Im Gegensatz zur aktiven Überwachung der Fernwartung durch eigenes Personal sinkt dadurch der Personalaufwand drastisch. Es ist lediglich zu reagieren, falls das IDS eine Abweichung von policy-konformem Verhalten erkennt. Andererseits reduziert sich die Qualität der Überwachung auf die Ereignisse, die durch das IDS erkannt werden können.

Im Vordergrund der Überwachung steht dabei die Funktionalität von Sensoren zur Überwachung der Policy-Konformität. Über spezifische Signaturen kann kontrolliert werden, ob der Fernwartende versucht, Kommandos auszuführen oder Dienste anzusprechen, die er gemäß Policy nicht nutzen darf.

Zu beachten ist, dass die Effektivität von Schutzmaßnahmen, die auf dem zu wartenden Systems selbst ergriffen werden, bei der Fernwartung begrenzt sein kann. Falls der Fernwartende administrative Rechte besitzt, kann er Schutzmaßnahmen, wie z. B. einen hostbasierten Sensor oder einen Virenscanner, ggf deaktivieren. Diese Gefahr ist nicht gegeben, falls die Fernwartung sich auf eine spezifische Applikation (z. B. SAP) bezieht.

Wie bei der ergänzenden Überwachung von Netzübergängen ist auch hier der Einsatz eines IDS als Zusatzmaßnahme zu verstehen. Der Einsatz des IDS sollte durch ein Virenscanning und einen Integritätstest des gewarteten Systems nach Abschluss der Fernwartung flankiert werden. Um ein vom Fernwartenden versuchtes System-Hopping zu erkennen, können des Weiteren hostbasierte Sensoren auf benachbarten Serversystemen eingesetzt werden.

3.2 Überwachung von Serversystemen

Betrachtet wird das Szenario des zeitgleichen Einsatz einer Vielzahl unterschiedlicher Server und Applikationen (z. B. Webserver, Applikationsserver, Datenbank-Server, Firewall), an die hohe Anforderungen hinsichtlich Verfügbarkeit und Integrität gestellt werden. Es entsteht die Problematik, dass einerseits große Mengen von Logdaten durch die Betriebssysteme und Applikationen generiert werden, die eine manuelle Überwachung kaum zulassen, andererseits jedoch die Notwendigkeit gegeben ist, die Systeme und Applikationen möglichst permanent zu kontrollieren.

IDS können dazu dienen, die Überwachung von Servern zu automatisieren und zu zentralisieren. Aufgabe des IDS ist es dabei, Daten und Ereignissen zu überwachender Server und Applikationen zentral zusammenzuführen und auf relevante Ereignisse zu filtern. Im Vergleich zur manuellen Kontrolle liegt der Vorteil des Einsatzes eines IDS dabei in der permanenten Überwachung mit gleichbleibender Qualität. Durch die zentralisierte Überwachung ergibt sich des Weiteren der Vorteil, dass der Blick nicht auf ein einzelnes System beschränkt bleibt, sondern Ereignisse der überwachten Systeme in Zusammenhang gebracht und gemeinsam ausgewertet werden können. Die Erkennung von Korrelationen in den Ereignissen und Daten unterschiedlicher Systeme ist möglich.

Für die Überwachung der Betriebssysteme und Applikationen stehen dabei Hostsensoren im Vordergrund, die

  • anfallende Logdateien von Systemen und/oder Anwendungen auswerten,
  • die Integrität spezifischer Daten/Dateien überwachen und/oder
  • sonstige Systemparameter (z. B. CPU-Auslastung, verbleibender Speicherplatz, Aktivität von Rechenprozessen) kontrollieren.

Eine vollständige Überwachung erfordert jedoch zudem die Kontrolle des für die Server bestimmten Netzverkehrs. Diese kann entweder durch den zusätzlichen Einsatz von Netzsensoren oder durch den Einsatz von HybrIDSensoren erreicht werden, die eine hostbasierte Überwachung des serverspezifischen Netzverkehrs erlauben.

Zur Kommunikation erkannter Angriffe ist es wichtig, entsprechende Reports und Statistiken erzeugen zu können, aus denen z. B. die Verteilung spezifischer Angriffe über definierbare Zeiträume erkannt werden kann. Dies setzt voraus, dass das IDS über skalierbare Filterfunktionen verfügt, die bei der Auswertung der aufgezeichneten IDS-Ereignisse eingesetzt werden können.

3.3 Überwachung interner Netze

In diesem Abschnitt wird der Einsatz von IDS zur Überwachung interner Netze diskutiert.

Firewall-Systeme dienen zur Kontrolle der Kommunikation an Netzübergängen. Sie erlauben jedoch keine Überwachung der Kommunikation in den Netzen selbst. Zielsetzung beim Einsatz vonIDS zur Überwachung eines internen Netzes ist der Schutz der Ressourcen in diesem Netz. Als Randbedingung ist dabei der weitverbreitete Einsatz "geswichter" Netze zu berücksichtigen.

Eine Gefährdung interner IT-Ressourcen kann unter anderem dadurch hervorgerufen werden, dass

  • Mitarbeiter (Innentäter)

    • ihnen zugeordnete Rechte missbrauchen,
    • unberechtigt versuchen, Zugriff auf Dienste und Informationen zu erhalten, oder
    • Software oder Diensteabsichtlich oder unbewusst – in unberechtigter Art und Weise nutzen, (z. B. nach einem dem Mitarbeiter unbewussten und von ihm unbeabsichtigten Download von Viren beim Surfen im Internet.)
  • Netzübergänge nicht dokumentiert sind oder unberechtigt genutzt werden (wie z. B. der unberechtigte Einsatz von Modems) oder
  • Firewall-Systeme fehlerhaft konfiguriert sind.

Für den Einsatzzweck ist insbesondere die Überwachung relevanter Netzsegmente durch netzbasierte Sensoren relevant. Diese kann durch die Überwachung kritischer Serversysteme durch hostbasierte Sensoren ergänzt werden (in diesem Punkt überschneidet sich das Szenario mit dem Szenario der Überwachung spezifischer Systeme und/oder Anwendungen).

Durch netzbasierte Sensoren ist sowohl die Überwachung der Wirksamkeit des Schutzes durch die Firewalls möglich als auch die Überwachung, ob Mitarbeiter sich policy-konform verhalten:

  • Erkennung von Angriffen im internen Netzverkehr,
  • Erkennung unberechtigter externer Zugriffsversuche auf interne Ressourcen,
  • Erkennung unberechtigter interner Zugriffsversuche auf spezifische Adressen, Ports und Dienste.

Durch hostbasierte Sensoren können darüber hinaus kritische Server und Anwendungen in die Überwachung einbezogen werden, wodurch Aktivitäten von Nutzern erkennbar werden, wie z. B.

  • unberechtigte Zugriffsversuche auf Daten oder Programme,
  • mehrfach fehlgeschlagene Anmeldungsversuche oder Anmeldungen zu ungewöhnlichen Tageszeiten.

Insbesondere bei der zur Überwachung interner Netze bietet der Einsatz von IDS weitreichende Missbrauchsmöglichkeiten hinsichtlich der Verhaltenskontrolle von IT-Nutzern. Daher ist gerade bei diesem Einsatzzweck eine angemessene Berücksichtigung datenschutzrechtlicher Anforderungen und Anforderungen der Arbeitnehmer-Mitbestimmung besonders wichtig.

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik

Kurz-URL:
https://www.bsi.bund.de/dok/6624132