Der beste Weg, ein Netzwerk oder Computersystem zu schützen, besteht darin , Angriffe frühzeitig zu erkennen und abzuschwächen, bevor sie weiteren Schaden anrichten können. Zu diesem Zweck implementieren viele Systeme Systeme wie das Intrusion Detection System (IDS) oder das vielseitige Intrusion Prevention System (IPS). In diesem Artikel zeigen wir Ihnen, woraus diese Sicherheitskomponenten bestehen und wie genau sie funktionieren.

1. Was ist ein Intrusion Detection System?
   1. Hostbasiertes Intrusion Detection-System
   2. Netzwerkbasiertes Intrusion Detection System
2. Wie funktionieren moderne Erkennungssysteme?
   1. Datenüberwachung
   2. Analyse
   3. Ergebnisbericht
3. Die Vor- und Nachteile des Intrusion Detection Systems
4. Was ist ein Intrusion Prevention System?
5. DenyHost: Die einfache Antwort auf Brute-Force-Angriffe
6. Snort: Flexible Regeln für ein sicheres Netzwerk

Ein Intrusion Detection System (IDS) im spanischen Intrusion Detection System wird verwendet, um Angriffe auf ein Computersystem oder ein Netzwerk rechtzeitig zu erkennen. Die erforderliche IDS-Software kann auf dem zu überwachenden System oder auch auf einem separaten Gerät installiert werden. Viele Anbieter vertreiben hochpreisige vorkonfigurierte IDS-Lösungen. Darüber hinaus überwachen und analysieren Intrusion Detection-Systeme Netzwerkaktivitäten auf ungewöhnlichen Datenverkehr, um den Benutzer zu informieren, falls vorhanden. Somit hat es die Möglichkeit, auf Zugriffsangriffe zu reagieren und den Angriff zu stoppen. Derzeit ist es möglich, zwischen zwei verschiedenen Methoden zur Erkennung von Netzwerkeinbrüchen zu unterscheiden, entweder hostbasiert oder netzwerkbasiert.

Hostbasiertes Intrusion Detection- System

Die erste hostbasierte IDS-Software wurde in den 1980er Jahren entwickelt und sollte zentralisierte Computerstrukturen schützen . Zu diesem Zweck wurde das Erkennungssystem auf dem Zentralcomputer installiert, über den die verschiedenen verbundenen Terminals ausgeführt wurden, und von diesem Host aus wurde der Austausch von Kerneldateien, Registrierungsdateien und anderen Systemdaten gesteuert. Mit der Entwicklung von Terminals zu unabhängigen Workstations mit eigener Rechenleistung war es notwendig, die hostbasierte Technologie anzupassen. Um diese unabhängigen Systeme zu überprüfen, wurden spezielle Module installiert, die auch als Überwachungsagenten bezeichnet werden . Diese waren hauptsächlich dafür verantwortlich, den Datenverkehr oder die Daten, deren Prüfung relevant war, zu filtern und die Ergebnisse an den zentralen Server zu senden, der wiederum für die Erkennung der Angriffe verantwortlich war. Aufgrund ihres Designs werden sie auch als verteilte Intrusion Detection-Systeme bezeichnet.

Netzwerkbasiertes Intrusion Detection System

Die zunehmende Verbindung lokaler Netze mit dem Internet erforderte neue Entwicklungen in der IDS-Technologie. Zum einen wurde der hostbasierte Ansatz nicht für den flexiblen und komplexen Datenfluss des Internets entwickelt. Andererseits war keine physische Nähe zum Zielsystem mehr erforderlich , um den Angriff auszuführen, wodurch sie ohne Komplikationen über die über das Netzwerk verteilten Clients ausgeführt werden konnten. Da der unbefugte Zugriff aus dem Internet notwendigerweise über Protokolle wie TCP / IP oder UDP (User Datagram Protocol) erfolgt, prüfen netzwerkbasierte Systeme jetzt keine Daten, sondern IP-Pakete . Aus diesem Grund waren sie eng mit der verwendeten Firewall verbunden. Zu diesem Zweck richteten sie auch eine zentrale Überwachungseinheit ein, die sich nicht nur auf den Schutz eines einzelnen Systems beschränkte, sondern den gesamten Netzwerkverkehr sehen konnte.

Um eine höhere Angriffserkennungsrate sicherzustellen, kombinieren aktuelle Intrusion Detection-Systeme im Allgemeinen beide Ansätze. Diese Hybridsysteme zeichnen sich durch ein zentrales Managementsystem aus, das die erforderlichen Informationen sowohl von der netzwerkbasierten Software als auch von der hostbasierten Software erhält. Der Erkennungsprozess umfasst drei grundlegende Komponenten:

Datenüberwachung

Der Datenmonitor hat die Aufgabe, die zum Filtern von Eindringlingen erforderlichen Daten zu sammeln und einen ersten Filter zu erstellen. Dies ist die oben erwähnte Datenprüfung , die Protokolldateien von Computersystemen und Sicherheitsanwendungen umfasst, z. B. CPU-Kapazität, Anzahl der aktiven Netzwerkverbindungen oder Anzahl der Anmeldeversuche. Darüber hinaus wertet der Datenmonitor in hybriden Intrusion Detection-Systemen auch die Daten der TCP / IP-Verbindungen aus , wie z. B. Quell- und Zieladressen und andere Eigenschaften der gesendeten und empfangenen Datenpakete, die er dank des Sensors erhält. Netzwerkbasiertes IDS.

Analyse

Der Datenmonitor sendet den gesammelten und zuvor gefilterten Datenstrom an den sogenannten Analysator. Es muss die erhaltenen Informationen in Echtzeit bearbeiten und auswerten , da sonst Angriffe nicht rechtzeitig vermieden werden können. Folglich stellt der Analyseprozess höhere Anforderungen an die zugrunde liegende Hardware (CPU und Speicher). Insbesondere in sehr großen Unternehmensnetzwerken ist die IDS-Skalierbarkeit einer der kompliziertesten Prozesse, aber auch eine der wichtigsten Aufgaben, um die Funktionalität des Angriffsstoppsystems sicherzustellen. Die vom Analysator zur Auswertung der Daten verwendeten Methoden sind:

• Im Falle eines Missbrauchs des Systems (Missbrauchserkennung) versucht der Analysator, bekannte Angriffsmuster zu erkennen, die als Signaturen (Signatur) in den Daten bezeichnet werden. Diese werden in einer separaten Datenbank gespeichert, die regelmäßig aktualisiert wird. Dort erhält jeder Eintrag auch Informationen über die Schwere des Angriffs. Der kleine Nachteil dieses Verfahrens besteht jedoch darin, dass bekannte Angriffsmuster zwar eindeutig identifiziert und bewertet werden können, diejenigen, die nicht in der Datenbank enthalten sind, für diesen Erkennungsmechanismus jedoch nicht wahrnehmbar sind.

• Die Anomalieerkennung (Anomalieerkennung) basiert auf einem anderen Prinzip: Diese Analysemethode bedeutet, dass ein nicht autorisierter Zugriff ein abnormales Verhalten im System verursacht und daher von den voreingestellten Werten abweicht . Somit kann der Analysator so konfiguriert werden, dass er einen Alarm auslöst, wenn die Kapazität der CPU oder der Verkehr zur Webseite eine bestimmte Anzahl überschreitet (statischer Ansatz). Alternativ kann dies auch die zeitliche Abfolge von Ereignissen in die Auswertung einbeziehen (logischer Ansatz). Die Erkennung von Anomalien kann dazu beitragen, neue und unbekannte Angriffe zu erkennen. Diese aktive Aufklärungsmethode warnt jedoch auch, wenn sich das System in einem ungewöhnlichen Zustand befindet, der nicht von einem Eindringling generiert wurde.

Ergebnisbericht

In der letzten Phase informiert das Intrusion Detection System den Netzwerkadministrator, wenn ein Angriff oder ein verdächtiges Systemverhalten festgestellt wurde. Je nach potenziellem Risiko gibt es verschiedene Möglichkeiten, dies zu melden. So würde zum Beispiel ein System senden, das sich selbst verteidigen muss

• eine E-Mail , in der die Art des Angriffs erläutert wird,

• ein lokaler Alarm als Popup-Fenster, das die Sicherheitskonsole aktiviert,

• oder eine Warnmeldung an ein mobiles Gerät .

Der Grad des Risikos, der bei der Erkennung von Anomalien erzielt wird, ergibt sich aus dem Grad der Abweichung vom Standardwert , während das oben erwähnte Verfahren zur Identifizierung nicht ordnungsgemäßer Verwendungen im System eine Klassifizierungsstufe innerhalb der Datenbank von erhält Muster.

Dank seiner vielseitigen Technologie können Instrusion Detection Systems potenzielle Angriffe erkennen, die von einer herkömmlichen Firewall nicht bemerkt würden. Die IDS-Software analysiert Datenpakete auf der höchsten Ebene des OSI-Modells und steuert auf diese Weise jede ausgeführte Anwendung spezifisch. Dank seines Ansatzes können Systeme mit Anomalieerkennung auch neue und flexible Angriffsmuster erkennen und so die Sicherheit eines Netzwerks erhöhen. Denken Sie daran, dass IDS Firewalls nicht ersetzen, sondern ergänzen, da nur eine Kombination dieser beiden Sicherheitskomponenten einen angemessenen Schutz gewährleistet.

Da Intrusion Detection-Systeme aktive Komponenten eines Netzwerks sind, sind sie auch potenzielle Ziele für einen Angriff , insbesondere wenn Eindringlinge von ihrer Existenz wissen. Diese sind besonders anfällig für DoS-Angriffe, dh für einen Überlastungsangriff, mit dem die IDS-Software in kürzester Zeit deaktiviert werden kann. Darüber hinaus kann der Angreifer die automatische Benachrichtigungsfunktion von Intrusion Detection-Systemen nutzen, um Denial-of-Service-Angriffe vom IDS aus zu starten. Insbesondere eine falsche Konfiguration der Anomalieerkennung kann zur Achillesferse dieser Systeme werden. Wenn beispielsweise die Alarmeinstellungen sehr empfindlich sind, ist die Anzahl der Warnungen auch ohne unbefugte Zugriffsversuche zu hoch.

In jedem Fall müssen die Kosten und der Kostenvorteil dieser Sicherheitssysteme abgewogen werden, da nicht nur die IDS-Software, sondern auch die entsprechende Hardwareumgebung benötigt wird . Selbst mit leistungsstarken netzwerkbasierten Open Source-Lösungen wie Snort, Host-basierten wie Samhain oder Hybriden wie Suricata müssen Sie sich nicht um die korrekte Installation, Entwicklung und Wartung Ihres IDS kümmern.

Intrusion Prevention Systems (IPS) sind Intrusion Prevention-Systeme, die einen Schritt über Intrusion Detection-Systeme hinausgehen: Sobald sie einen möglichen Angriff gefunden haben, informieren sie nicht nur den Administrator, sondern führen auch konkrete Maßnahmen durch und sofortig. Auf diese Weise vermeiden sie einen sehr langen Zeitraum zwischen der Erkennung und dem Kampf gegen den Eindringling, wie dies bei der IDS-Software der Fall sein kann. In Bezug auf die verwendete Analysemethode gibt es keinen Unterschied zwischen den beiden Netzwerkschutzmechanismen. Ebenso wie IDS verwendet die aktuelle IPS-Software auch hostbasierte oder netzwerkbasierte Sensoren, um Systemdaten und Netzwerkpakete aufzuzeichnen und auszuwerten.

Es wird empfohlen, ein Intrusion Prevention System individuell zu konfigurieren, um zu verhindern, dass Anomalieerkennungsmethoden normale Benutzeraktionen als Bedrohung klassifizieren und blockieren. Auf diese Weise können Sie so viele Intrusion Detection- und Prevention-Systeme wie nötig implementieren, mit denen Sie grundsätzlich zwischen aktiver Blockierung oder einfacher Überwachung wählen können, beispielsweise bei Open Source-Anwendungen wie den oben genannten Snort und Suricata. Sie können auch ein System in Betracht ziehen, das beide Ansätze kombiniert und sogar zwei separate Systeme implementiert. Die letztere Variante bedeutet, dass das Filtern und Blockieren in verschiedenen Hardwareumgebungen erfolgen kann.

Der Umfang einer IPS-Software kann sehr unterschiedlich sein, wie die Freeware DenyHosts und Snort zeigen.

Mit dem in Python geschriebenen DenyHost-Tool können Sie ein hostbasiertes Intrusion Prevention System für SSH / SSHD-Verbindungen einrichten , das Brute-Force-Angriffe erkennt und stoppt. Zu diesem Zweck überprüft die Open Source-Anwendung die Einträge in den Authentifizierungsprotokollen , um erfolglose Versuche zu ermitteln, auf SSH zuzugreifen. Falls die Anzahl der fehlgeschlagenen Versuche, die von einer bestimmten IP-Adresse aus zulässig sind, überschritten wird, blockiert DenyHost diese IP und setzt sie auf eine schwarze Liste. Auf diese Weise wird der Zugriff verweigert, wenn der Angreifer weiterhin dieselbe IP verwendet.

Die einzigen Voraussetzungen für die Verwendung von DenyHost sind ein UNIX-Betriebssystem und die Python-Skriptsprache, einschließlich des ipaddr-Moduls, das in den meisten Distributionen standardmäßig enthalten ist. Sie finden die aktuellsten Versionen der IPS-Tools in ihrem Repository auf GitHub. Eine weitere mögliche Alternative ist die Sicherheitsanwendung Fail2ban mit sehr ähnlichen Merkmalen.

1998 veröffentlichte der Programmierer Martin Roesch das Snort-Sicherheitstool, allerdings nur für UNIX-Systeme. Cisco Systems ist seit 2013 für die Entwicklung und Multiplattform-Programmierung unter der GPL-Lizenz verantwortlich. Das amerikanische Unternehmen bietet das kostenlose Tool in verschiedenen kommerziellen Abonnementmodellen für Privatpersonen oder Unternehmen an, das unter anderem über ein schnelleres Update-System und zusätzliche Benutzerunterstützung verfügt. Snort bietet die Funktionen, die zum Erstellen leistungsfähiger netzwerkbasierter Intrusion Prevention-Systeme erforderlich sind. Sie können die Software herunterladen und so konfigurieren, dass sie nur die jeweiligen Komponenten steuert und somit die Grundlage für ein Intrusion Detection-System bildet.

Snort überprüft den Netzwerkverkehr in Echtzeit und verwendet BASE als Engine zur Erkennung von Systemmissbrauch. Dies vergleicht die eingehenden und ausgehenden Datenpakete mit den registrierten Mustern, die in Snort als Regeln bezeichnet werden . Cisco Systems aktualisiert diese Regeln regelmäßig, einschließlich neu entdeckter Angriffsmuster. In den kostenpflichtigen Versionen erhalten Kunden diese Updates effizienter. Darüber hinaus ist es auch möglich, eigene Regeln zu definieren und auf diese Weise die Erkennungsfunktionen Ihres Snort-Systems zu verbessern . Weitere Informationen zur kostenlosen und kommerziellen Nutzung von Snort finden Sie auf der Website.