BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen
Grundlagen: 4. Technische Basisarchitektur
In diesem Kapitel werden Basisarchitekturen für den Einsatz von IDS vorgestellt.
Voraussetzung für den Einsatz von Netzsensoren ist, dass diese den zu überwachenden Netzverkehr sehen. Der Abgriff des Netzverkehrs kann dabei technisch auf unterschiedlichen Arten erfolgen, die in Abschnitt 4.1 erläutert werden.
Im vorhergehenden Kapitel wurden Einsatzszenarien von IDS beschrieben. Zu diesen Einsatzszenarien werden in Abschnitt 4.2 Beispielarchitekturen insbesondere für die Platzierung der Sensoren vorgestellt. Die Platzierung der Managementstation und die resultierenden Kommunikationswege zwischen den IDS-Komponenten werden dediziert in Abschnitt 4.3 untersucht.
4.1 Abgriff des zu überwachenden Netzverkehrs
Die Punkte, an denen der Netzverkehr durch den Sensor abgegriffen wird, können technisch unterschiedlich ausgeprägt sein:
- Abgriff von einem Hub
Ein Hub dient zur Anbindung mehrere Komponenten an dasselbe Netzsegment. Sämtliche am Hub angeschlossene Komponenten "sehen" den gleichen Netzverkehr. Bei der Anbindung eines Netzsensors an den Hub kann von dem Netzsensor der gesamte Netzverkehr des entsprechenden Netzsegments abgehört und überwacht werden. - Abgriff von einem Switch
Im Gegensatz zum Hub kann bei einem Switch der Verkehr zwischen den unterschiedlichen Ports des Switches über Regeln gesteuert werden. Dies ermöglicht die Bildung von VLANs. So kann z. B. eine an Port 1 angeschlossene Komponente mit einer an Port 2 angeschlossenen Komponenten kommunizieren, während gleichzeitig eine an Port 3 angeschlossene Komponente mit einer an Port 4 angeschlossenen Komponenten kommuniziert. Dabei ist der Netzverkehr der Verbindungen separiert,d. h. der Verkehr auf der Port 1/3 Verbindung ist auf der Port 3/4 Verbindung nicht sichtbar und umgekehrt. Die Anbindung eines Netzsensors an einen Switch hat für die Überwachung des Verkehrs den Vorteil, dass über die Programmierung des Switches eingestellt werden kann, welcher Verkehr zur Überwachung zum Sensor geleitet wird. Handelsübliche Switches bieten daneben auch sogenannte SPAN Ports (SPAN = Switch Port Analyser) an, über die der Netzverkehr des Switches gespiegelt werden kann. Dabei ist darauf zu achten, dass der Port über eine ausreichende Bandbreite verfügt, um auch bei hoher Last den Verkehr der Switch-Ports vollständig spiegeln zu können(vgl. auch Kapitel 2.6). - Abgriff über einen TAP TAPs dienen speziell zum Abgriff von Netzverkehr zu Überwachungszwecken. Sie sind grundsätzlich mit einem Hub (mit 3 Anschlüssen) vergleichbar, weisen jedoch an einem der Anschlüsse eine "Dioden"-Funktion auf: Über den TAP wird der Verkehr auf der Kommunikationsstrecke abgegriffen, es können jedoch keine Datenpakete in die Kommunikation hineingespielt werden. Selbst falls es einem Angreifer gelingt, über den vom Sensor überwachten Datenstrom den Netzsensor zu Fehlfunktionen zu verleiten, ist somit eine aktive Rückkopplung des Sensors auf die überwachte Strecke ausgeschlossen. Diesem Vorteil steht der Nachteil gegenüber, dass aktive Responses des Netzsensors, wie z. B. das Einspielen von Reset-Paketen, auch nicht über den TAP erfolgen können.
4.2 Architekturbeispiele für die Einsatzszenarien
Für die in Kapitel 3 beschriebenen Einsatzszenarien werden in den folgenden Abschnitten Beispielarchitekturen vorgestellt.
4.2.1 Ergänzende Absicherung von Netzübergängen
Die Einsatzarchitektur eines IDS zur ergänzenden Absicherung von Netzübergängen ist in der nachstehenden Abbildung am Beispiel des vom BSI empfohlenen dreistufigen Netzübergangs zum Internet (siehe [BSI 1-02]) dargestellt. Netzbasierte Sensoren können dabei an unterschiedlichen Stellen eingesetzt werden:
- Netzbasierter Sensor zwischen externem Router und Firewall
Diese Sensorplatzierung erlaubt die Überwachung des gesamten Internet-Verkehrs des Netzübergangs an einem zentralen Punkt. An dieser Stelle ist jedoch nicht sichtbar, ob erkannte Angriffe nicht durch nachgeschaltete Schutzkomponenten abgewehrt werden. Die Platzierung eignet sich daher zur Aufzeichnung von Kontextinformationen über Angriffe, die weiter innen nicht mehr vorliegen. Das Erkennen von Angriffen auf Ressourcen in der DMZ oder im internen Netz ist jedoch effizienter durch die im Folgenden aufgeführten Platzierungen möglich. - Netzbasierter Sensor in der DMZ Diese Sensorplatzierung erlaubt die gezielte Überwachung des für die DMZ freigeschalteten Netzverkehrs zu Komponenten in der DMZ (z. B. Mail-Server, Webserver oder Proxies). Sowohl Angriffe im Netzverkehr als auch die unberechtigte Nutzung von Kommunikationsdiensten können erkannt werden.
- Netzbasierter Sensor zwischen Firewall und internem Router
Diese Sensorplatzierung erlaubt die gezielte Überwachung des Kommunikationsverkehrs, der über den Netzübergang ins interne Netz geleitet wird. Da der Verkehr bereits durch vorgeschaltete Komponenten gefiltert ist, sollten an dieser Stelle keine Angriffe mehr auftreten. Sowohl Angriffe im Netzverkehr als auch die unberechtigte Nutzung von Kommunikationsdiensten können erkannt werden.
4.2.2 Überwachung spezifischer Systeme und/oder Anwendungen
Die Einsatzarchitektur eines IDS zur Überwachung spezifischer Systeme und/oder Anwendungen ist beispielhaft in der folgenden Abbildung dargestellt. Im Beispiel wird von der Überwachung der Firewall, des Webservers in der DMZ sowie interner Server ausgegangen.
4.2.3 Überwachung interner Netze
Bei der Überwachung interner Netze sind Host- und Netzsensoren kombiniert in verschiedenen Möglichkeiten einsetzbar:
- Netzbasierter Sensoren in Netzsegmenten
- Hostbasierter Sensor auf Servern
- Hostbasierter Sensor auf Clients (z. B. Clients, die sensible Daten enthalten)
In der folgenden Abbildung ist die Einsatzarchitektur eines IDS zum Schutz des internen Netzes beispielhaft dargestellt.
Durch hostbasierte Sensoren überwacht werden dabei sowohl interne Server als auch kritische Clients. Für den Client-PC mit Modem-Anbindung ist dabei die Überwachung des Modem-spezifischen Netzverkehrs relevant.
Netzbasierte Sensoren werden zur Überwachung unterschiedlicher interner Teilnetze eingesetzt.
4.3 Kommunikation zwischen IDS-Komponenten
Während im letzten Abschnitt die Platzierung von Sensoren im Vordergrund stand, werden in diesem Abschnitt Möglichkeiten zur Platzierung der Managementstation und zur Kommunikation zwischen den IDS-Komponenten diskutiert sowie anhand von Beispielarchitekturen erläutert.
Falls die Kommunikation der IDS-Komponenten untereinander über die zu überwachenden Produktionsnetze erfolgt, können Angriffe auf Produktionsnetze auch die Funktion des IDS beeinträchtigen. Die zugrunde liegende Architektur ist in der folgenden Abbildung skizziert. IDS-Komponenten können anhand ihres Datenaustausches identifiziert und lokalisiert werden. Auf dieser Basis können nachfolgend IDS-Komponenten direkt angegriffen werden.
Um dies zu unterbinden wird häufig empfohlen, Sensoren und IDS-Managementkomponenten über ein separates Teilnetz miteinander zu verbinden, so dass eine Entkopplung der IDS-Kommunikation von der Kommunikation zu Produktionssystemen stattfindet (vgl. nachstehende Abbildung).
Hierdurch soll sichergestellt werden, dass keine interaktive Verbindung zwischen Angreifern und IDS-Komponenten möglich ist. Darüber hinaus soll erreicht werden, dass IDS-Komponenten nicht anhand ihrer Kommunikation mit Managementsystemen erkannt oder die Kommunikation durch Denial-of-Service Angriffe (etwa Erhöhung der Netzlast) verzögert wird.
Beim Aufbau eines separaten Teilnetzes müssen jedoch einige Besonderheiten beachtet werden:
- Netzbasierte Sensoren sollten so konfiguriert werden, dass sie in dem Netz, das beobachtet werden soll, nicht sichtbar sind. Dies kann durch den Abgriff des Netzverkehrs über TAPs erfolgen oder durch die Konfiguration der betreffenden Netzinterfaces, so dass sie ohne IP-Adresse arbeiten (stealth mode), jedoch sämtlichen Netzwerkverkehr aufnehmen (promiscious mode).
- Wenn durch das separate IDS-Teilnetz Firewall-Komponenten (Paketfilter, Applikationsproxies) überbrückt werden, kann bei Fehlkonfiguration oder Fehlfunktion eines Sensors die jeweilige Firewall-Komponente überbrückt werden (vgl. nachstehende Abbildung). Daher sollte eine gleichwertige Firewall-Komponente auch an entsprechender Stelle ins IDS-Teilnetz eingebracht werden. Beim Einsatz von Netzsensoren lässt sich die Überbrückung des Sensors vom IDS-Netz zum überwachten Teilnetz durch den Abgriff des Netzverkehrs über TAPs verhindern.
- Alle Übergänge zwischen IDS-Teilnetz und Produktionsnetz müssen entsprechend dem Schutzbedarf des IDS-Teilnetzes durch Firewalls gesichert werden, um zu verhindern, dass IDS-Managementkomponenten und Sensoren direkt angegriffen werden. Neben der Anbindung von Netz- und Hostsensoren treten Netzübergänge typischerweise an folgenden Stellen auf:
- An der Kommunikationsschnittstelle zu Mailsystemen, über die eine E-Mail-Alarmierung erfolgen soll.
- Beim Remote-Zugriff auf die Management- und Auswertungsstation (etwa vom Büro-PC des IDS-Administrators aus).
- An der Kommunikationsschnittstelle zu Systemmanagementumgebungen, an die z. B. SNMP-Traps gesendet werden.
Um sicherzustellen, dass die Netzsicherheit nicht von der Sicherheit zusätzlicher Komponenten eines separaten IDS-Netzes abhängt, kann das bestehende Firewall-System zur Kontrolle der IDS-Kommunikation genutzt werden. IDS-Managementstation und Sensoren sind dabei über getrennte Netzinterfaces an die Firewall angebunden. Die Architektur ist beispielhaft in der nachstehenden Abbildung skizziert.
Im Vergleich zur Nutzung eines vollständig separaten IDS-Netzes hat diese Architektur den Vorteil, dass durch Fehlkonfiguration von IDS-Komponenten kein zusätzlicher Übergang zwischen den produktiven Teilnetzen geschaffen werden kann. Die Firewall ist das einzige Bindeglied zwischen den Teilnetzen. Des Weiteren können die o. g. sonstigen erforderlichen Übergänge zwischen Produktionsnetz und IDS-Netz zentral über die Firewall verwaltet werden.
Ob die Einrichtung eines eigenen IDS-Teilnetzes sinnvoll ist, ist im Einzelfall zu prüfen. Prinzipiell ist es sinnvoll, separate IDS-Teilnetze durch das IDS mitüberwachen zu lassen, um auch hier Angriffe zu erkennen.
- Kurz-URL:
- https://www.bsi.bund.de/dok/faq-sza