Hilfsmittel für die Grobkonzeption und Anforderungsanalyse

« zur Übersicht

Folgende Hilfsmittel werden für die Grobkonzeption und Anforderungsanalyse bereitgestellt:

• 2.1 Verfeinerung der Zielsetzungen
• 2.2 Diskussion der Platzierung von Netzsensoren
• 2.3 Diskussion von Platzierungen der Management- und Auswertungsstation
• 2.4. Ableitung von Anforderungen
• 2.5 Dokumentation der Anforderungen
• 2.6 Dokumentenrahmen für Grobkonzept und Anforderungsanalyse

2.1 Verfeinerung der Zielsetzungen

Z1. Erkennung von Angriffen im Netzverkehr

Relevante Fragestellungen:

• Für welche Systeme ist die Erkennung von Angriffen im Netzverkehr von besonderem Interesse? Für welche Applikationen auf diesen Systemen sind Angriffe zu erkennen?
• Ist die Erkennung von Angriffen am Übergang zum internen Netz relevant?

Z2. Erkennung der unberechtigten Nutzung spezieller Kommunikationsdienste

Relevante Fragestellung:

• Für welche Systeme ist die Nutzung welcher Dienste (mit welchen Parametern) sicherheitskritisch und durch das IDS zu erkennen?

Z3. Erkennung der Umgehung von Verschlüsselung

Relevante Fragestellung:

• Für welche Systeme und Dienste ist sicherzustellen, dass eine Verschlüsselung erfolgt. Welche Klartextmuster sind als Erkennungsmerkmal für eine unverschlüsselte Übertragung geeignet?

Z4. Erkennung von Sicherheitsverletzungen in Systemen/Anwendungen

Relevante Fragestellung:

• Für welche Systeme und Anwendungen ist die Log-basierte Erkennung von Sicherheitsverletzungen von besonderem Interesse?

Z5. Erkennung von Integritätsverletzungen an Dateien

Relevante Fragestellung:

• Für welche Dateien auf welchen Systemen ist eine Integritätsüberwachung von besonderem Interesse?

Z6. Erkennung von Störungen

Relevante Fragestellung:

• Für welche Systeme und Applikationen ist die Erkennung allgemeiner Störungen von besonderem Interesse?

Z7. Aufzeichnung von Angriffskontexten

Für die Zielsetzung ist folgendes zu beachten:

• Falls das IDS die Aufzeichnung von Angriffskontexten als automatische Reaktion zulässt, können Kontextinformationen prinzipiell erst ab der Erkennung des Angriffs aufgenommen werden. Insbesondere vorhergehende Kontextinformationen gehen verloren.

• Falls Kontextinformationen allgemein, unabhängig vom konkreten Angriffsfall aufgezeichnet werden sollen, müssen möglichst viele Ereignisse bis hin zum gesamten Netzverkehr aufgezeichnet werden, da vorab unklar ist, welche Informationen im Fall einer zukünftigen Analyse nutzbringend sind. Dabei fällt eine große Menge zu verwaltender Daten an, welche die Speicherkapazitäten einzelner Sensoren typischerweise innerhalb kurzer Zeiträume übersteigt. Deshalb sind bei dieser Zielsetzung Randbedingungen der Aufzeichnung und Speicherung großer Datenmengen vorab zu klären, wie etwa:

  • Über welche Zeitperioden soll eine Aufzeichnung stattfinden?
  • Wie detailliert soll die Aufzeichnung sein?
  • Wie lange sollen die Daten vorgehalten werden?
  • Welche Anforderungen ergeben sich für Speichermedien, Datenbanken und die Datenübertragung?

Z8. Darstellung der Angriffslast

Relevante Fragestellungen:

• Für welche Punkte im Netz ist die Darstellung der Angriffslast relevant?
• Soll die Differenz der Angriffslast (z. B. vor und hinter Schutzkomponenten) ermittelt werden? Falls ja, an welchen Punkten im Netz muss hierzu die Angriffslast ermittelt und verglichen werden?
• Ist eine temporäre Darstellung der Angriffslast ausreichend oder soll die Angriffslast permanent dargestellt werden?

Z9. Erhöhung der Transparenz

Relevante Fragestellungen:

• Gibt es konkrete Zielsetzungen hinsichtlich der Erhöhung der Transparenz?
• Falls ja: An welchen Punkten ist hierzu der Netzverkehr zu beobachten und welche Systeme und/oder Anwendungen sind hierzu zu beobachten?

2.2 Diskussion der Platzierung von Netzsensoren

Am Beispiel des vom BSI empfohlenen 3-stufigen Internet-Übergangs [BSI 1-02] werden nachstehend unterschiedliche Sensorplatzierungen diskutiert. Die nachstehende Abbildung zeigt die betrachteten Sensorplatzierungen.

Ein Netzsensors kann prinzipiell nur den Verkehr überwachen, der für ihn sichtbar ist. Dies ist für die einzelnen Sensorplatzierungen in der nachstehenden Tabelle angegeben.

Nummer	Position	Beobachtbarer Netzverkehr
1	Vor dem externen Paketfilter am Übergang zum Internet	Internet – externer Paketfilter
2	Zwischen externem Paketfilter und DMZ 1	Internet – DMZ1 DMZ1 – weiter innen platzierte Systeme
3	Am Knotenpunkt zur DMZ 2	externer Paketfilter – DMZ2 DMZ2 – Applikations-Gateway externer Paketfilter – Applikations-Gateway
4	Zwischen dem Applikations-Gateway und DMZ 3	weiter außen platzierte System – DMZ3 DMZ3 – weiter innen platzierte Systeme
5	Am Knotenpunkt zur DMZ 4	Applikations-Gateway – DMZ4 DMZ 4 – interner Paketfilter Applikations-Gateway – interner Paketfilter
6	Zwischen internem Paketfilter und DMZ 5	weiter außen platzierte Systeme – DMZ5 DMZ5 – internes Netz
7	Hinter dem internen Paketfilter am Übergang zum internen Netz	interner Paketfilter – internes Netz

2.2.1 Grundsätze zur Sensorplatzierung

Grundsätzliche Aussagen, die für jeden Punkt einer möglichen Sensorplatzierung (1-7) am Netzübergang zum Internet gelten:

1. Die Platzierung an den Positionen 2, 4 bzw. 6 ist nur dann sinnvoll, falls an der jeweiligen Stelle eine DMZ vorhanden ist (DMZ 1, DMZ 3, DMZ 5).
2. Aus dem Internet oder von Komponenten/Systemen, die weiter außen liegen, eingehender Verkehr, ist grundsätzlich als weniger vertrauenswürdig einzustufen. Die Erkennung von Angriffen in diesem Verkehr ist daher grundsätzlich sinnvoll.
3. Von dem überwachten Teilnetz nach innen gehender Verkehr sollte im Gutfall keine Angriffsmuster aufweisen. Falls hier Angriffe oder Sicherheitsverletzungen erkannt werden, könnten sie in einer Kompromittierung von Komponenten/Systemen im überwachten Teilnetz begründet liegen. Die Erkennung von Angriffen in diesem Verkehr wird daher grundsätzlich als sinnvoll eingestuft.
4. Hinsichtlich der Angriffsinitiierung ausgehend von Komponenten im überwachten Teilnetz, ist die Angriffserkennung im nach außen gehenden Verkehr eher von geringerer Relevanz, da erkannte Ereignisse weiter außen liegende Komponenten oder Systeme im Internet betreffen, deren Schutz typischerweise nicht im Vordergrund des IDS-Einsatzes steht. Relevant ist die Überwachung des vom überwachten Teilnetz nach außen gehenden Verkehrs jedoch hinsichtlich der Reaktion von Komponenten im überwachten Teilnetz, die Aufschluss über den Erfolg von Angriffen aus dem Internet geben kann. Ein Beispiel hierfür sind Telnet-Zugangsversuche auf geschützte Komponenten, die dann gefährlich sind, wenn die angesprochene Komponente mit einem Acknowledge antwortet.
5. Die Überwachung des Verkehrs von weiter innen liegenden Systemen/Komponenten zum überwachten Teilnetz kann zur Erkennung intern initiierter Angriffsversuche auf Systeme/Komponenten im überwachten Teilnetz dienen. Die Überwachung dieses Verkehr ist grundsätzlich sinnvoll, jedoch weniger relevant als Überwachung von außen nach innen führenden Verkehrs (Fälle 2.+3.).
6. Je mehr Filterkomponenten zwischen dem Internet und dem Netzsensor vorhanden sind, desto geringer ist die zu erwartende Angriffslast – und umgekehrt.
7. Je weniger Filterkomponenten zwischen dem Netzsensor und dem internen Netz vorhanden sind, desto höher ist die Wahrscheinlichkeit, dass an dieser Position erkannte Angriffe relevante Auswirkungen auf interne Ressourcen haben.

Nachstehend werden die einzelnen Platzierungen kurz diskutiert.

2.2.2 Sensor am Übergang zum Internet vor dem externen Paketfilter

Die Platzierung eines Netzsensors an Position 1 erlaubt die vollständige Überwachung des ein- und ausgehenden Verkehrs zum Internet zentral an einem Punkt. Alle vom Internet ausgehenden Angriffsversuche können an diesem Punkt festgestellt werden.

Mit dieser Platzierung kann nicht erkannt werden, ob die vom Sensor beobachteten Ereignisse den externen Paketfilter (und ggf. weitere Schutzkomponenten) passieren oder nicht. Es wird lediglich eine Obermenge der Ereignisse erkannt, welche die Zielsysteme real erreichen.

Die Platzierung ist grundsätzlich auch zur Überwachung des Aufbaus von Internet-Verbindungen durch interne Komponenten geeignet. Dieser Überwachungsansatz ist jedoch eher von untergeordneter Bedeutung, da die Erkennung von Angriffen auf Systeme im Internet im Allgemeinen nicht im Vordergrund des IDS-Einsatzes steht. Es ist jedoch zu beachten, dass zur Erkennung von Angriffen aus dem Internet auch die Beobachtung der Reaktion interner Systeme relevant ist. Der ausgehende Verkehr ist daher in die Überwachung einzubeziehen.

Die Platzierung ist insbesondere für die beiden folgenden Zielsetzungen geeignet:

• Analyse der Bedrohungslage:
  Die Bedrohungslage der Internet-Übergangs gegenüber Angriffen aus dem Internet kann erkannt und dokumentiert werden. Dies kann dazu dienen, Management und Entscheidungsträgern zu verdeutlichen, dass Bedrohungen real vorliegen und deren Bereitschaft fördern, IT-Sicherheitsmaßnahmen zu verbessern.
• Erfassung von Angriffskontexten:
  Netzsensoren, die weiter innen platziert werden, erkennen nur noch einen Teil der Angriffe, da viele Angriffsaktivitäten bereits durch vorgeschaltete Schutzkomponenten abgeblockt werden. Für Ereignisse, die von weiter innen platzierten Netzsensoren erkannt werden, kann durch die Angriffserkennung an Position 1 ermittelt werden, ob sie Bestandteil erweiterter Angriffsaktivitäten sind.

Weiter ist zu beachten, dass an dieser Stelle die Angriffslast am höchsten ist. Es fällt eine große Menge zu verwaltender Daten an, die Speicherkapazitäten einzelner Sensoren typischerweise innerhalb kurzer Zeiträume übersteigt (vgl. Anhang 2.1, Zielsetzung Z7). Deshalb sind bei dieser Platzierung Randbedingungen der Aufzeichnung und Speicherung großer Datenmengen vorab zu klären, wie etwa:

• Über welche Zeitperioden soll eine Aufzeichnung stattfinden?
• Wie detailliert soll die Aufzeichnung sein?
• Wie lange sollen die Daten vorgehalten werden?
• Welche Anforderungen ergeben sich für Speichermedien, Datenbanken und die Datenübertragung?

Zurück zur Sensorplatzierung

2.2.3 Sensor zwischen externem Paketfilter und DMZ 1

Die Platzierung des Sensors an Position 2 dient dem ergänzenden Schutz von Systemen/Komponenten in der DMZ 1. Eine Platzierung erscheint dann sinnvoll, wenn für diese Systeme/Komponenten die in Anhang 2.1 aufgeführten Zielsetzungen Z1, Z2 und/oder Z3 besonderes relevant sind.

Zurück zur Sensorplatzierung

2.2.4 Sensor zwischen externem Paketfilter und Applikations-Gateway

An Position 3 kann sowohl der Verkehr mit der DMZ 2 als auch der gesamte Internet-Verkehr, der über das Applikations-Gateway erfolgt, gebündelt überwacht werden. Die Platzierung eines Sensors an Position 3 kann unterschiedlichen Zwecken dienen:

1. Kontrolle des Kommunikationsverkehrs mit der DMZ 2 zum ergänzenden Schutz von Systemen/Komponenten dieser DMZ. Eine Platzierung erscheint dann sinnvoll, wenn für Systeme/Komponenten in der DMZ 2 die in Anhang 2.1 aufgeführten Zielsetzungen Z1, Z2 und/oder Z3 besonderes relevant sind.
2. Durch die Erkennung spezifischer Kommunikationsdienste, die eigentlich durch den externen Paketfilter blockiert werden müssten, kann die Konfiguration des externen Paketfilters überwacht werden.
3. Da der vom Internet kommende Netzverkehr an Position 3 bislang nur durch den externen Paketfilter gefiltert wurde, kann die Platzierung zur Frühwarnung bei Angriffsversuchen sowie eingeschränkt auch zur Erkennung von Angriffskontexten (Z7) und der Darstellung der Angriffslast (Z8) dienen.

Es ist zu beachten, dass der Netzverkehr durch zusätzliche Schutzkomponenten gefiltert wird, bevor er Systeme/Applikationen in einer weiter innen liegenden DMZ oder im internen Netz erreicht. Ein Netzsensor an dieser Position kann nicht erkennen, ob und welche der Angriffe durch das Applikations-Gateway und ggf. durch den internen Paketfilter blockiert werden. Deshalb ist eine Erkennung von Angriffen auf weiter innen liegende Komponenten effizienter durch Netzsensoren möglich, die weiter innen platziert sind (Positionen 4, 5, 6, 7).

Wie bei der Platzierung an Position 1 ist auch hier zu berücksichtigen, dass eine vergleichsweise große Menge zu verwaltender Daten anfällt. Bei dieser Platzierung sind deshalb Randbedingungen der Aufzeichnung und Speicherung großer Datenmengen vorab zu klären (vgl. Anahng 2.2.2).

Zurück zur Sensorplatzierung

2.2.5 Sensor zwischen Applikations-Gateway und DMZ 3

Die Platzierung des Sensors an Position 4 dient dem ergänzenden Schutz von Systemen/Komponenten in der DMZ 3. Eine Platzierung erscheint dann sinnvoll, wenn für diese Systeme/Komponenten die in Anhang 2.1 aufgeführten Zielsetzungen Z1, Z2 und/oder Z3 besonderes relevant sind.

Zurück zur Sensorplatzierung

2.2.6 Sensor zwischen Applikations-Gateway und internem Paketfilter

An Position 5 kann sowohl der Verkehr mit der DMZ4 als auch der gesamte Verkehr zum internen Netz gebündelt überwacht werden. Die Platzierung eines Sensors an dieser Position kann folgenden Zwecken dienen:

1. Kontrolle des Kommunikationsverkehrs mit der DMZ4 zum ergänzenden Schutz von Systemen/Komponenten dieser DMZ. Eine Platzierung erscheint dann sinnvoll, wenn für Systeme/Komponenten in der DMZ4 die in Anhang 2.1 aufgeführten Zielsetzungen Z1, Z2 und/oder Z3 besonderes relevant sind.
2. Durch die Erkennung spezifischer Kommunikationsdienste, die eigentlich durch den internen Paketfilter bzw. durch das Applikations-Gateway blockiert werden müssten, kann die Konfiguration dieser Komponenten überwacht werden.
3. Kontrolle des Netzverkehrs zum Schutz interner IT-Systeme. An dieser Position erkannte Angriffe sind grundsätzlich bereits als sicherheitskritisch einzustufen, da der Netzverkehr nur noch durch den internen Paketfilter kontrolliert wird, bevor er ins interne Netz gelangt.

Aus den aufgeführten Gründen wird die Platzierung eines Netzsensors an dieser Position grundsätzlich als wichtig eingestuft.

Zurück zur Sensorplatzierung

2.2.7 Sensor zwischen internem Paketfilter und DMZ 5

Die Platzierung des Sensors an Position 6 dient dem ergänzenden Schutz von Systemen/Komponenten in der DMZ5. Eine Platzierung erscheint dann sinnvoll, wenn für diese Systeme/Komponenten die in Anhang 2.1 aufgeführten Zielsetzungen Z1, Z2 und/oder Z3 besonderes relevant sind.

Zurück zur Sensorplatzierung

2.2.8 Sensor zwischen internem Paketfilter und internem Netz

Die Platzierung eines Netzsensors an Position 7 ist zwar grundsätzlich geeignet den Netzverkehr zwischen dem Internet-Übergang und dem internen Netz gebündelt zu überwachen. Die Überwachung an dieser Stelle hat jedoch folgende Nachteile:

• Die Überwachung erfolgt bereits im internen Netz. Abhängig von der Architektur des internen Netzes kann es daher der Fall sein, dass an dieser Position nicht nur der Verkehr zum Internet-Übergang sichtbar ist, sondern auch ein Großteil des Netzverkehrs des internen Netzes, der für den Überwachungszweck irrelevant ist.
• Aus der potentiellen Möglichkeit der Überwachung internen Netzverkehrs ergeben sich grundsätzlich Möglichkeiten zur Überwachung von Mitarbeitern, womit Datenschutzprobleme verbunden sind.

Die Platzierung eines Netzsensors an dieser Position erscheint daher zum Zweck der ergänzenden Absicherung des Netzübergangs nur dann sinnvoll, falls sichergestellt wird, dass ausschließlich der Verkehr zwischen internem Netz und internem Paketfilter für den Sensor sichtbar ist. (Für andere Einsatzzwecke, wie z. B. zur Überwachung des internen Netzes, kann die Platzierung uneingeschränkt sinnvoll sein.)

Zurück zur Sensorplatzierung

2.3 Diskussion von Platzierungen der Management- und Auswertungsstation

In den folgenden Abschnitten werden unterschiedliche Platzierungen der Management- und Auswertungsstation sowie zugehörige Kommunikationswege vergleichend diskutiert:

• Platzierung der Management- und Auswertungsstation in einer bestehenden DMZ oder im internen Netz und Nutzung des überwachten Netzes für die IDS-Kommunikation.
• Platzierung der Management- und Auswertungsstation in einem separaten IDS-Netz dass zur IDS-Kommunikation genutzt wird.
• Platzierung der Management- und Auswertungsstation in einer separaten DMZ.

2.3.1 IDS-Kommunikation über das überwachte Netz

Die Platzierung der Management- und Auswertungsstation im internen Netz ist beispielhaft in der nachstehenden Abbildung dargestellt. Es werden bestehende Übertragungswege für die Kommunikation mit der Management- und Auswertungsstation genutzt.

Vorteil des Ansatzes:

• Es sind keine Erweiterungen der Netzinfrastruktur erforderlich. Im Vergleich zu den anderen Platzierungen der Management- und Auswertungsstation ist dies der kostengünstigste Ansatz.

Nachteile des Ansatzes:

• Angriffe auf das Netz können die Funktion des IDS beeinträchtigen.
• Die Komponenten des IDS können anhand ihres Datenaustausches identifiziert und lokalisiert werden. Dies vereinfacht ein direktes Angreifen oder Umgehen der IDS-Komponenten.

Zurück zur Platzierung der Management- und Auswertungsstation

2.3.2 Nutzung eines separaten IDS-Netzes

Die Nutzung eines separaten IDS-Netzes für die IDS-Kommunikation und der Betrieb der Management- und Auswertungsstation in diesem Netz ist beispielhaft in der nachstehenden Abbildung dargestellt

Vorteile des Ansatzes:

• Die Netzsensoren sind von den überwachten Teilnetzen aus unsichtbar.
• Die IDS-Kommunikation ist weitmöglichst von der Kommunikation in den überwachten Teilnetzen entkoppelt.
• Die Risiken, dass Angriffe auf die überwachten Teilnetze und dort betriebener Komponenten die Funktionalität des IDS beeinträchtigen sind im Vergleich zu den beiden anderen Ansätzen minimiert.

Nachteile des Ansatzes:

• Um eine Entkopplung des IDS-Netzes zu erreichen, ist jeder Übergang zum IDS-Netz abzusichern. Dies betrifft sämtliche Kommunikationswege mit der Management- und Auswertungsstation:

  • Zugriff interner Clients auf die Management- und Auswertungsstation.
  • Intrusion-Response, z. B. über E-Mail oder SNMP-Traps.
  • Kommunikation mit Hostsensoren und Netzsensoren. Im Gegensatz zu Netzsensoren stellen Hostsensoren einen direkteren Übergang zum IDS-Netz dar, da sie auf dem überwachten System betrieben werden und ein Angreifer durch einen erfolgreichen Angriff auf das System Zugang zum IDS-Netz erhalten könnte. Konsequenterweise müsste daher die Kommunikation zwischen Hostsensor und Management- und Auswertungsstation mindestens durch einen Paketfilter kontrolliert werden.
• Wenn unterschiedliche Teilnetze oder deren Komponenten durch Netz- oder Hostsensoren überwacht werden, besteht die Gefahr, dass im Falle einer Kompromittierung oder Fehlkonfiguration eines Sensors ein Übergang zwischen den überwachten Teilnetzen über das IDS-Netz geschaffen wird. Konsequenterweise müssten daher im IDS-Netz auch die entsprechenden Sensoren durch eine Firewall-Komponente entkoppelt werden. Beim Einsatz von Netzsensoren lässt sich die Überbrückung des Sensors vom IDS-Netz zum überwachten Teilnetz durch den Abgriff des Netzverkehrs über TAPs verhindern.
• Die Einrichtung und konsequente Absicherung eines separaten IDS-Netzes ist aus den zuvor genannten Gründen sehr aufwendig.

Zurück zur Platzierung der Management- und Auswertungsstation

2.3.3 Platzierung der Management- und Auswertungsstation in einer separaten DMZ

Die Platzierung der Management- und Auswertungsstation in einer separaten DMZ ist beispielhaft in der nachstehenden Abbildung dargestellt. Damit die Netzsensoren vom überwachten Netz aus unsichtbar sind, erfolgt ihre Kommunikation mit der Management- und Auswertungsstation über zusätzliche Netzinterfaces sowohl am Netzsensor als auch an der Firewall.

Vorteile des Ansatzes:

• Im Vergleich zur Einrichtung eines vollständig entkoppelten, separaten IDS-Netzes erfordert dieser Ansatz einen deutlich geringeren Aufwand, da zur Entkopplung der IDS-Teilnetze das vorhandene Firewall-System verwendet wird.
• Da die IDS-Kommunikation über die bestehende Firewall kontrolliert wird, bleibt die Firewall das zentrale System zur Steuerung des Netzverkehrs. Eine Überbrückung der Firewall ist nicht möglich.
• Die Netzsensoren sind vom überwachten Netz aus unsichtbar.

Nachteile des Ansatzes:

• Die IDS-Kommunikation hängt von der korrekten Konfiguration und Funktion der Firewall ab.
• Die IDS-Konfiguration und Überwachung muss typischerweise in räumlicher Nähe zur Firewall erfolgen, da eine separate – gesicherte – physikalische Netzverbindung zwischen Managementstation und Firewall notwendig ist.

Hinsichtlich der Kommunikation mit Hostsensoren, des Zugriffs von Remote-Clients auf die Management- und Auswertungsstation und der Kommunikation für das Intrusion-Response (E-Mail, SNMP-Trap, etc.) bietet der Ansatz unterschiedliche Erweiterungsmöglichkeiten. Diese erlauben je nach Ausprägung eine weitere Entkopplung der IDS-Kommunikation.

Zurück zur Platzierung der Management- und Auswertungsstation

2.4. Ableitung von Anforderungen

Die folgenden Fragestellungen dienen dazu, aus der Ist-Situation und den Zielsetzungen heraus abzuleiten, welche Anforderungen an ein einzusetzendes IDS zu stellen sind.

Dabei wird davon ausgegangen, dass eine Überwachung des Netzverkehrs erfolgen soll.

Frage 1:	Ist der Einsatz hostbasierter Sensoren erforderlich? Hostbasierte Sensoren beobachten typischerweise ein oder mehrere der nachstehenden Elemente: Logdaten des Betriebssystems, Logdaten von IT-Anwendungen, Prozessdaten (z. B. Start und Beendigung von Prozessen), Integrität spezifischer Dateien und/oder den hostspezifischen Netzverkehr.
Frage 2:	Welche Plattformen sollen durch hostbasierte Sensoren überwacht werden? Hostbasierte Sensoren werden auf den zu überwachenden Systemen betrieben. Daher ist sicherzustellen, dass der IDS-Hersteller für jede zu überwachende Plattform geeignete Hostsensoren anbietet.
Frage 3:	Welche Standardapplikationen sollen mit host- bzw. netzbasierten Sensoren überwacht werden? Falls Standardapplikationen überwacht werden sollen, sollte das einzusetzende IDS über die entsprechenden Signaturen verfügen.
Frage 4:	Sollen mit hostbasierten Sensoren proprietäre Anwendungen überwacht werden? Falls proprietäre Anwendungen von hostbasierten Sensoren überwacht werden sollen, ist darauf zu achten, dass die zugehörigen Logdateien mit in die Überwachung des Sensors einbezogen werden können und der Hostsensor bzw. das IDS die Definition von Signaturen durch den Anwender erlaubt. Die Definition von Signaturen durch den Anwender ist erforderlich, um proprietäre Logdaten auswerten zu können.
Frage 5:	Soll mit hostbasierten Sensoren der hostspezifische Netzverkehr überwacht werden? Die Überwachung des Netzverkehrs durch hostbasierte Sensoren kann z. B. aus folgenden Gründen sinnvoll sein: Es wird ein geswitchtes Netz eingesetzt, in dem aufgrund hoher Verkehrslast ein Abgriff des Netzverkehrs am Switch nicht sinnvoll realisierbar ist. Der Netzverkehr wird bis zum Host verschlüsselt übertragen und kann daher durch Netzsensoren nicht geeignet kontrolliert werden.
Frage 6:	Welche Typen von Netzen sollen mit dem IDS überwacht werden? Es ist sicherzustellen, dass das IDS sowohl die zugehörigen Netzmedien (Ethernet, Tokenring, X.25, etc.) unterstützt als auch die Sensoren die entsprechenden Protokolle (IP, IPX, etc.) auswerten können.
Frage 7:	Wie hoch ist die Netzlast an den Punkten, an dem der Netzverkehr überwacht werden soll? Die zu überwachende Netzlast bestimmt die erforderliche Performance der Netzsensoren. Diese wiederum hängt weitgehend von den genutzten Betriebssystemen und der Rechnerhardware des Sensors ab. Falls eine vollständige Überwachung des Netzverkehrs erforderlich ist, hierfür jedoch die Performance eines einzelnen Netzsensors nicht ausreicht, bieten sich folgende Lösungen an: Der Netzverkehr wird auf mehrere Netzsensoren verteilt, so dass insgesamt eine vollständige Überwachung möglich ist. Der Netzverkehr wird auf Basis hostbasierter Sensoren auf den Endsystemen überwacht.
Frage 8:	Wird mit dem IDS-Einsatz auch die Erkennung von Fehlverhalten bei der Netznutzung angestrebt, wie z. B. die unberechtigte Nutzung spezieller Kommunikationsdienste für bestimmte Systeme oder die Umgehung vorgesehener verschlüsselter Kommunikation? Wodurch Fehlverhalten charakterisiert ist, hängt von der speziellen Einsatzumgebung des IDS ab. Im Vergleich zur Erkennung allgemeiner Angriffe erfordert die Erkennung von Fehlverhalten daher, dass die Ereigniserkennung des IDS entsprechend anpassbar ist. Selbst wenn ein IDS sowohl weitgehende Möglichkeiten zur Anpassung mitgelieferter Signaturen bietet als auch die Definition von Signaturen durch den Anwender erlaubt, ist nicht sichergestellt, ob die Erkennung bestimmter Fehlverhaltensmuster abbildbar ist. Es ist daher sinnvoll, zuvor zu spezifizieren, welche typischen Verhaltensweisen erkannt werden sollen, und vom IDS-Hersteller abzufragen, ob konkret diese durch Signaturen abbildbar sind. Beispiele für Fehlverhaltensweisen: Verbindungsbestätigung bei Diensten, die eigentlich gesperrt sein sollten. Klartext-Nachrichten bei Verbindungen, die eigentlich verschlüsselt sein sollten. Netbios Broadcast von fehlkonfigurierten Windows-Systemen.
Frage 9:	Durch wen soll das IDS administriert werden? (Systemadministratoren, IT-Sicherheitsmanager) Bei IDS-Produkten variiert der erforderliche Kenntnisstand der IDS-Administratoren erheblich. Einige IDS erlauben die Administration vollständig über eine grafische Oberfläche, während bei anderen wesentliche Funktionen nur über Kommandozeilen aktiviert werden können und ggf. ein zusätzlicher Einsatz von Systemkommandos erforderlich ist. Daher sind bei der IDS-Auswahl die Systemkenntnisse des vorgesehenen Administrationspersonal zu berücksichtigen.
Frage 10:	Für welche Plattformen ist Administrationspersonal im Hause verfügbar? Es ist vorteilhaft, wenn die IDS-Komponenten auf Plattformen betrieben werden können, für die im Hause Personal zur Systemadministration verfügbar ist.
Frage 11:	Über welche Kommunikationsdienste erfolgen in ihrem Hause üblicherweise Alarmierungen? Optimalerweise sollten die Alarme des IDS über Kommunikationswege erfolgen, die im Hause bereits für Alarmierungen genutzt werden. Hieraus resultieren für das einzusetzende IDS Anforderungen an Intrusion-Response-Funktionalitäten. Falls das IDS den Alarmierungsweg nicht vorsieht, kann eine Integration ggf. über spezifische Kommandos oder Skripte erfolgen, die im Falle eines Alarms vom IDS ausgeführt werden. Es ist darauf zu achten, dass vom IDS dabei Parameter übergeben werden können.
Frage 12:	Zu welchen Zwecken sollen Reporting-Funktionen eingesetzt werden? Reporting Funktionen können insbesondere für zwei unterschiedliche Zwecke eingesetzt werden: Darstellung der Angriffslast und Angriffsverteilung gegenüber dem Management. Wichtig sind in diesem Fall Funktionen zur grafischen Aufbereitung der Daten. Langfristanalyse und Auswertung zur Erkennung spezifischer Angriffsmuster. In diesem Fall sind Funktionen zur spezifischen Auswertung der Datenbasis wichtig (z. B. Verteilung bestimmter Angriffe über längere Zeiträume, Analyse spezifischer IP-Quelladressen)

2.5 Dokumentation der Anforderungen

Es ist zu unterscheiden zwischen Anforderungen, die sich aus der Ist-Situation und den Zielsetzungen herleiten und die von Fall zu Fall verschieden sein können, und Basisanforderungen, die ein IDS in jedem Fall erfüllen sollte.

Bei den im Folgenden angegebenen Anforderungen ist zusätzlich gekennzeichnet, ob sie aktuell von marktverfügbaren IDS typischerweise erfüllt werden (+) oder ob sie höchstens in Ausnahmefällen erfüllt werden (-).

Sensortypen: Welche Sensortypen soll das IDS unterstützen?
	Netzbasierte Sensoren		Hostbasierte Sensoren

Konkretisierung der Anforderungen an Netzsensoren
Welche Anforderungen an Überwachungsfunktionen bestehen für die Netzsensoren?
	Angriffserkennung im Netzverkehr. Spezifizieren Sie die maximale Netzlast, die überwacht werden soll:
	Angriffe sollen von den Sensoren unmittelbar gemeldet werden (Push-Technologie)(+)
	Erkennung von Fehlverhalten. Spezifizieren Sie die Anforderungen an die Erkennung von Fehlverhalten:
	- Spec1:
	- Spec2:
	...
Welche Anforderungen bestehen hinsichtlich der Plattformen, auf denen Netzsensoren betrieben werden sollen?
	Netzsensoren sollen auf dem nachstehend genannten Betriebssystem oder einem der nachstehend genannten Systeme betrieben werden:
	Netzsensoren sollen als Appliance verfügbar sein.
Welche Netztypen sollen vom IDS überwacht werden?
	Ethernet (10/100Mb)
	Gigabit Ethernet
	Token Ring
	...

Konkretisierung der Anforderungen an Hostsensoren
Für welche Systeme sollen Hostsensoren eingesetzt werden und welche Überwachungsfunktionen sollen sie aufweisen?
		WinNT/2000	Solaris	Linux	...	...
Überwachung des Systems (Logdaten, Prozesse, etc.)
Überwachung der Integrität spezifischer Dateien
Überwachung des hostspezifischen Netzverkehrs
Überwachung von Applikationen (nachfolgend bitte die einzelnen Applikationen aufführen)
Appl.1:
Appl.2:
...
	Ein Wiederanlauf von Hostsensoren soll ohne Neustart des Systems möglich sein.

Kalibrierung und Skalierbarkeit von Sensoren
Welche Anforderungen bestehen an die Kalibrierung und Skalierbarkeit der Sensoren?
	Das IDS soll die Definition von Signaturen für Hostsensoren durch den Anwender erlauben.
	Das IDS soll die Definition von Signaturen für Netzsensoren durch den Anwender erlauben.
	Das IDS soll die Anpassung bestehender Signaturen durch Kopieren dieser und Änderung von Parametern erlauben.
	Die Funktionsweise der Signaturen soll detailliert dokumentiert und für den Anwender nachvollziehbar sein.
	Die Auswertungsfunktionen des Hostsensors sollen auf proprietäre Logdateien erweiterbar sein.
	Das IDS soll die Definition unterschiedlicher Alarmklassen zulassen, denen die Ereignisse / Signaturen zugeordnet werden können und für die jeweils spezifische IDS-Reaktionen (Intrusion-Response) definierbar sind.

Intrusion-Response
Über welche Intrusion-Response-Funktionen soll das System verfügen?
	Alarmierung per E-Mail (+)
	Alarmierung per SNMP
	Alarmierung per SMS
	Rohdaten-Log (Aufzeichnung der angriffsspezifischen Pakete im Netzverkehr)
	Aufzeichnung der nutzerspezifischen Aktivitäten für eine bestimmte Zeitspanne
	Unterbrechung von Verbindungen
	Logout von Nutzern
	Automatische Rekonfiguration von Komponenten. Spezifizieren Sie die Komponenten und die Zielfunktionalität:
	Ausführung nutzerdefinierter Kommandos/Skripte
	Parameterübergabe bei der Ausführung nutzerdefinierter Kommandos/Skripte

Managementfunktionen
Welche Anforderungen bestehen an Managementfunktionen?
	Das IDS soll die Definition von Regelwerken für Sensoren (Sensor-Policy) sowie deren Zuweisung an Sensoren erlauben. (+)
	Das IDS soll die Möglichkeit bieten, Gruppen von Sensoren zu bilden, denen in einem Schritt dieselbe Policy zugewiesen werden kann. (+)
	Nach dem Neustart von Sensoren soll das System dieses automatisch erkennen und die Sensoren automatisch den zugehörigen Policies zuordnen und aktivieren.
	Das IDS soll die Nutzung mehrerer Managementstationen erlauben, zwischen denen Sensor-Policies ausgetauscht werden können.
	Das IDS soll automatisch prüfen, ob neue Signatur-Updates verfügbar sind.
	Das IDS soll über Funktionen zur Pseudonymisierung von Ereignissen verfügen.(-)
	Das IDS soll über Funktionen verfügen, die ein Backup der Konfiguration (Sensor-Policies, etc.) in einfacher Weise ermöglichen.

Auswertungsfunktionen
Welche Anforderungen bestehen an Auswertungsfunktionen?
	Das IDS soll über Funktionen zur Generierung management-orientierter, grafisch aufbereiteter Berichte enthalten. (+)
	Das IDS soll umfangreiche Such- und Auswertungsfunktionen für die Ereignisdatenbank bieten. (z. B. Abfrage spezifischer Ereignisse und deren Verteilung über spezifische Zeiträume)
	Das IDS soll Möglichkeiten bieten, zu erkannten Ereignissen beschreibende Informationen abzurufen (Angriffsbeschreibung, Gegenmaßnahmen, etc.), entweder durch eine im IDS integrierte Datenbank oder durch Links auf entsprechende Informationen im Internet.
	Das IDS soll die CVE-Nummern für die dort registrierten Ereignisse mitliefern. (+)

Nutzungsoberfläche
Welche Anforderungen bestehen an die Bedienoberfläche?
	Das IDS soll eine GUI-basierte Bedienoberfläche aufweisen, über die sämtliche Funktionen verfügbar sind.

2.6 Dokumentenrahmen für Grobkonzept und Anforderungsanalyse

Kapitel 1: Zielsetzungen des Einsatzes eines IDS

Die mit dem Einsatz eines IDS für das Unternehmen verbundenen Zielsetzungen sind zu beschreiben.

Kapitel 2: Anforderungsanalyse

Die von einem einzusetzenden IDS zu erbringenden Anforderungen sind zu beschreiben, zu gewichten und zu begründen. Anhang 4.2.5 kann als Dokumentationsvorlage verwendet werden.

Kapitel 3: Grobkonzeption des IDS-Einsatzes

Technisch und organisatorisch ist die Einsatzweise eines IDS grob zu konzipieren.

Kapitel 3.1: Technik

Die Platzierungen von Sensoren und der Management-/Auswertungsstation sind darzustellen und zu begründen.

Kapitel 3.1.1: Platzierung der Sensoren

Die Platzierungen von Netz- und Hostsensoren sind im Rahmen eines Netzdiagramms zu verdeutlichen. Für jeden Sensor ist sein Einsatzzweck an der jeweiligen Position zu erläutern.

Die Platzierungen sind zu priorisieren.

Um ein späteres Nachvollziehen der Sensorplatzierung zu ermöglichen, ist es darüber hinaus sinnvoll, unterschiedliche Möglichkeiten von Sensorplatzierungen zu diskutieren.

Kapitel 3.1.2: Platzierung der Management- und Auswertungsstation

Die Platzierung von Management- und Auswertungsstation ist/sind im Netzwerkdiagramm darzustellen. Kommunikationswege zwischen Sensoren und Management- bzw. Auswertungsstation sowie ggf. für den Remote-Zugriff auf die Management- bzw. Auswertungsstation sind zu beschreiben.

Um ein späteres Nachvollziehen der Platzierung zu ermöglichen, ist es darüber hinaus sinnvoll, unterschiedliche Möglichkeiten der Platzierung zu diskutieren und die ausgewählte Platzierung zu begründen.

Kapitel 3.2: Organisation

Es ist darzustellen, welche Stellen beim IDS-Betrieb welche Aufgaben übernehmen. Die Zuständigkeiten und Verantwortlichkeiten des im Leitfaden angegebenen generischen Rollenmodells sind hierzu auf die konkrete Organisation abzubilden.