IDS - Intrusion Detection System

Vorneweg: Ich bin kein ausgewiesener "Fachmann" für das Thema IDS aber schon mehrfach durch ein IDS "gestörter" Consultant. Und damit meine ich nicht, dass ein IDS bemerkt hätte, dass mein "Fremd"-Notebook an einem Firmen-LAN aufgetaucht wäre.

False Positive mit IDS

Die Vorfälle mit einem IDS bezogen sich eher darauf, dass das IDS irrtümlich erwünschte Kommunikationen "gestört" hat.

Auch wenn ich hier mit ein paar Negativbeispielen starte, so lässt sich die Notwendigkeit einer Überwachung und Reaktion nicht abstreiten. Über den umfang und die Schärfe muss individuell entschieden werden.

Beispiele waren:

  • VPN Clients wurden ausgesperrt
    Ein IDS prüft auch Verbindungen und sollte "unerlaubte" Netzwerke natürlich melden oder gar unterbinden. Stellen Sie sich vor jemand baut ein "Parallelnetz" auf ihrem VLAN auf, indem er einen eigenen Router zum Internet (z.B. per UMTS) aufstellt und manuell den PC konfiguriert. Oder viel schlimmer sind noch solche Router, die per DHCP eigene Adressen vergeben und damit die Kommunikation stören. Wird im IPS aber dann vergessen das "Subnetz" der VPN-Clients einer Niederlassung zu pflegen, dann können diese Clients leider nicht die Server der Zentrale erreichen.
  • SMB-Zugriff auf NETLOGON wurde verhindert
    Was das IDS bei einem anderen Kunden an den SMB-Paketen gestört hat, kann ich nicht wirklich sagen. Aber auch hier hat das IDS die Anmeldung von VPN-Clients verhindert. Wobei die Anmeldung noch möglich war weder Gruppenrichtlinien aktualisiert noch Anmeldeskripte ausgeführt werden. Insofern war das Fehlerbild nicht eindeutig und es hat etwas gedauert, bis das IDS als Verursacher ausgemacht war. Vielleicht hat es dem IDS ja missfallen, dass die MTU-Size durch das VPN kleiner als sonst war und damit die IP-Pakete fragmentiert wurden. Das sei ein Hinweis auf die Verwalter eines IDS, dass auch hier entsprechende Benachrichtigungswege definiert sein müssen.
  • SSL-Verbindungen wurden gestört
    Ein IDS kann natürlich ohne "private Key" der Partner nicht in den Inhalt schauen, aber beim TLS-Handshake wird z.B. das Zertifikat des Webeservers an den Client übertragen. Exchange installiert natürlich von Hause aus "selbstsignierte" Zertifikate. Da kann ein IDS schon mal dazwischen gehen, wenn die Policy den Einsatz eigener Zertifikate verbietet.
    Das kann auch im Bereich Lync ein Thema sein, da hier der Lync Server dem Client ein Zertifikat ausstellt und in der Folge SIP über Zertifikate arbeitet.
  • AD-Replikation und Trusts
    Anscheinend sind auch das Kommunikationen, die von einem IDS gerne mal gestört werden. Ja, ein Memberserver eines Forest muss natürlich den DC des anderen Forest auch erreichen können um den Zugriff eines Benutzers aus dem anderen Forest zu verifizieren.

Das Problem bei einem IDS ist aber häufig, dass es nicht einzelne Verbindungen unterbricht, sondern den Netzwerkport oder die MAC-Adresse temporär oder dauerhaft blockt. Das geht natürlich komplett nach hinten los, wenn es sich dabei um einen Exchange Server oder gar die Domain Controller handelt. Ein IDS hat natürlich auch wie ein Virenscanner oder Spamschutz das Problem. dass es sowohl unerkannte Angriffe als auch irrtümlich als Angriff eingestufte Vorgänge geben kann. Beide können nie "0%" sein. Es bleibt also eine Abwägung von Risiken und Nutzen und vor allem einer funktionierendes Benachrichtigungs- und Alarmierungskette.

IDS und Einbrecher

Vielleicht wird die Funktion eines IDS leichter verständlich, wenn wir ein konkretes Beispiel außerhalb der IT wählen. Stellen Sie sich einfach einen "menschlichen" Einbrecher vor, der in ihre Haus oder Gebäude einbrechen will.

  • Ungesicherte Häuser und Objekte mit passivem Schutz
    Ich habe keine Zahl aber die meisten Einfamilienhäuser werden keine Alarmanlage haben und nicht mal Sensoren, wenn Türen und Fenster offen stehen. Klar wird hier eingebrochen aber nicht jedes Objekt ist überhaupt ein geplantes Ziel. Einbrecher haben es einfach (Stichwort: Gelegenheit macht Diebe) aber vielleicht wird das Haus ja einfach "übersehen". In der IT sollten Sie sich darauf besser nicht verlassen
  • Besserer "passiver Schutz"
    Einbrecher suchen den "einfachen Zugang". Wenn das Objekt allerdings etwas "gehärtet" ist, dann suchen Sie sich oft leichtere Ziele. Bei einem Haus sind das dann bessere Fenster und Türen, verschlossene Rollos, vergitterte Kellerschächte etc. In der IT zählt zumindest das ändern der Standardkennworte, das Abschalten nicht benötigter Dienste und der Einsatz einer Firewall/Portfilter dazu. Warum sollte ihr Server z.B. per RDP aus dem Internet erreichbar sein müsse, wenn er nur Mail annimmt oder warum sollte ein Webserver alle URLs zulassen. Ein Reverse Proxy kann hier sicher besser seine Dienste tun um nur erwünschte URLs zuzulassen.
  • Alarmanlage
    Die nächste Stufe erklimmt, wer die Zugänge zu System (beim Haus eben Türen und Fenster) aktiv überwacht und bei einem "Vorfall" entsprechend Meldung erstattet. Das kann einfach nur ein Protokolleintrag sein oder einfachste automatisierte Gegenmaßnahmen, die sich aber auf das Objekt beziehen. Also einen Alarm auslösen. Bezogen auf einen Server wäre das eine ein Eventlog Eintrag. Eine Gegenmaßnahme könnte sein, die Source-IP temporär zu sperren wie dies Mailserver beim Spamabsender gerne tun oder das Anmeldekonto nach zu vielen Fehlversuchen zu sperren, was eine Basisfunktion von Windows ist.
    So eine "Alarmanlage" kostet aber schon mehr und kann auch Fehlalarme auslösen. Ist aber ab einer bestimmten Schutzbedürftigkeit auf jeden Fall erforderlich
  • Wachmann
    Muss der Schutz noch höher sein, dann ist der Überwachungskreis auszudehnen. Bei einem Gebäude wird der Wachmann nicht nur innen herum laufen, sondern auch die AußenUmgebung mit im Blick haben. Allein durch seine Präsenz wirkt er natürlich abschreckend. Diese Komponente eines IDS schaut auch das "Umfeld" mit an, was sich z.B. in der Analyse von Netzwerkströmen wiederspiegelt. ähnlich wie ein Wachmann kann ein IDS aber auch mehrere Informationsquellen in Bezug zueinander setzen. Nur wird ein IDS in der Regel nicht durch seine Präsenz abschrecken, weil es für normale Besucher idealerweise "unsichtbar" bleibt.

Beim Haus oder Objekt kann natürlich einfacher mit "Wahrscheinlichkeiten" gerechnet werden, da sich der Einbrecher auch physikalisch an den Ort geben muss und bei einer Entdeckung auch eher Ergriffen oder zumindest identifiziert bzw. verfolgt werden kann. In der IT sieht das natürlich etwas anders aus. Der Angreifer ist hier fast endlich vervielfältigbar, agiert teils aus der Ferne und bekommt über verschiedene Informationsquellen sogar die Lücken fast frei Haus auf den Tisch. Wer hier also einfach nur darauf hofft, nicht "geprobt" zu werden, agiert nicht nur leichtsinnig schon schon fahrlässig oder gar mit Vorsatz. Es wird sicher der Tag kommen, an dem zu ihrem System eine "Lücke" erreichbar wird, die ausgenutzt werden kann und wird.

Wenn Sie nun sagen, dass ihre Firewall gar keine Verbindungen nach intern zulässt und die internen Systeme alle gut "verwaltet" sind, dann übersehen Sie zum einen die Lücken zwischen der Offenlegung einer Schwachstelle, dem Updates des Herstellers und der Verteilung auf alle Server. Da gehen sehr schnell auch Tage ins Land. Ganz unerkannt bleiben "unerwünschte" und "unerlaubte" Zugriff auf Daten von internen Anwendern, die aber eine Schwachstelle in ihrem Berechtigungskonzept ausnutzen. Fragen Sie mal, wer z.B. das Kennwort ihres Vorstands noch kennt. Das wird zumindest die Chefsekretärin sein. Und wie übt eine Stellvertreterin der Chefsekretärin ihren Auftrag aus ?

Selbst im heimischen Bereich hinter einem NAT-Router (der keine Firewall ist !), sollten Sie das Risiko nicht unterschätzen. Es gab auch schon Fälle, bei denen ein Schadcode auf einem Smartphone per SMTP Spam versendet hat und damit die IP-Adresse der Firma auf einer Blackliste gelandet ist.

Wo ein IDS ansetzen kann...

Ein IDS kann überall ansetzen, wo Daten für die Überwachung von Zugriffen erhalten werden können. Einige Stellen werden durch die Systeme bereit gestellt. Es sind aber auch passive "Proben" möglich, bei denen das System die Datenbewegungen selbst beobachtet.

  • Betriebssystemlogdateien
    Jedes Betriebssystem schreibt Protokolle und leider lesen viel zu wenig Administratoren diese Logs oder lassen sich bei Fehlern informieren. Zugegeben ist es eine recht langweilige Tätigkeit und bei tausenden von Einträgen eher die Suche der Nadel im Heuhaufen. Selbst wer "Information"-Events aus dem Windows Eventlog oder einem Router Syslog Ausblendet, hat oftmals noch genug Fehler, die in der individuellen Umgebung gar keine sind. Auf der anderen Seite gibt es viele Events (z.B. Login/Logoff), die das Log schnell durchrollieren lassen und damit Vorgänge gar nicht mehr nachvollziehbar machen. Ohne Drittwerkzeuge fehlt auch die Möglichkeit einer Korrelation von Anmeldungen auf Clients, DCs, und Servern. Hier kann ein IDS sehr gute Dienste leisten
  • Appikationslogs
    Dazu schreiben auch Anwendungen Zugriffsprotokolle, z.B. der Webserver (IIS/Apache), SQL-Server oder die Firewall. Auch hier können "versuchte Angriffe" schnell erkannt werden. Besonders Webserver sind hier interessant. Wenn Sie auf ihrer Webpräsenz z.B. kein PERL oder andere Techniken einsetzen, dann suchen Sie trotzdem einfach mal nach angeforderten URLs mit "cmd.exe" im Pfadnamen oder "MSADC". Diese Lücken sind zwar hoffentlich auch auf ihrem System schon viele gestopft aber Angreifer versuchen es dennoch und verraten sich so.
  • Netzwerkschnüffler
    Eine wesentliche Funktion eines IDS ist natürlich die permanente Überwachung des Netzwerkverkehrs, indem die Pakete mitgeschnitten werden. In einem "Shared Medium" wie WiFi oder Ethernet mit Hubs ist das einfach. Da heute aber zumindest die drahtgebundenen Links alle über "Switches" laufen, ist es für ein IDS nicht mehr einfach "alles" zu sehen. Auch müsste der Link zum IDS sehr hoch und die Verarbeitungsgeschwindigkeit immens ein, um die Summe aller übertragenen Daten zu analysieren. Daher kommen solche "Probes" meist nur in Teilsegmenten zum Einsatz, die besonderen Schutz erfordern, z.B. zwischen Internet und Servern oder auf dem Link zwischen den WiFi-Accesspoints zum Netzwerk. Es gibt natürlich auch Switches und Loadbalancer, welche eine IDS-Logik enthalten.
  • Honeypot
    Eine Komponente eines IDS kann natürlich auch die Bereitstellung eines anscheinend ungesicherten Systems" sein, um mögliche Angreifer neugierig zu machen. Glaubt ein Angreifer ein lohnendes Ziel gefunden zu haben, so wird er dort weitere Aktionen durchführen, um zum Ziel zu kommen. Wenn so ein System durch ein IDS bereit gestellt wird, dann kann ein IDS die Aktionen des Angreifers analysieren und dokumentieren. Oft verrät sich ein Angreifer durch seine Versuche ein Stück weiter. Vor allem aber ist so ein Vorgehen ein sehr gutes Erkennungskriterium um dann auch die anderen Systeme auf Angriffe zu untersuchen oder den Angreifer von den produktiven Systemen zu isolieren.

Wann rechnet sich ein IDS ?

Natürlich bekommen Sie ein IDS nicht kostenfrei ins Haus geliefert. Und die "Kosten" setzen sich beileibe nicht nur aus den Softwarekosten zusammen. Ein IDS muss ähnlich die ein Virenscanner regelmäßig mit neuen Erkennungsmustern ausgestattet werden, die viele Hersteller nur im Abonnement anbieten. Aber wenn ein IDS einen Angriff meldet, dann ist Handeln angesagt und auch dafür ist Know-how und qualifiziertes Personal erforderlich.

Ich kann hier weder eine Marktübersicht noch Preise nennen, da IDS nicht mein primärer Tätigkeitsbereich ist. Aber um beim Beispiel Haus zu bleiben: Es ist billiger die Fenster einbruchhemmend zu machen, Türen mit "guten" Schließvorrichtungen zu versehen und dann noch eine Alarmanlage zu verbauen, also "nur" einen Wachschutz zu organisieren.

Ich möchte damit ausdrücken, dass es wie bei der Hochverfügbarkeit nicht sinnvoll ist, die "teuerste" Komponente zuerst zu kaufen. Beim Bereich "Hochverfügbarkeit" (Siehe Verfügbarkeit) gib es auch eine einfache Pyramide.

  1. Single Server = keine Hochverfügbarkeit
    Aber einfach zu Sichern und im Bedarfsfall zu restaurieren. Keine automatische "Reparatur" und Downtime während des Recover aber auch im Tagesbetrieb bei Updates/Patches
  2. Single Server mit Komponentenredundanz und Monitoring
    Verbessert die Verfügbarkeit durch Protokollierung von Fehlern und Möglichkeit einer proaktiven Reaktion. Wenn also eine Festplatte im RAID ausfällt, dann können Sie die problemlos tauschen, ehe die nächste ausfällt. Viele "Probleme" kündigen sich frühzeitig an. Und selbst wenn der Server ausgefallen ist, kann ein Blick in das Log wertvolle Hinweise für die schnelle Wiederherstellung geben.
  3. Hochverfügbarkeit durch Systemredundanz
    Ob sie hier nun einen "Cluster" bauen oder die virtuelle Maschine auf anderen Hosts automatisch starten können sind Detailfragen. Maßgeblich ist, dass ein "Cluster-System" erst mal einen Zuwachs bezüglich der Anschaffungskosten, Betriebskosten und Know-how-Bedarf bedeutet, der dem Nutzen entgegen gesetzt werden muss

Und sie können mir glauben, dass der Schritt von einem "gelegentlich betrachteten" System zu einem "geplant überwachten" System bezüglich Kosten und Komplexität kleiner ist aber die Verfügbarkeit stark erhöht. Der Schritt zum Cluster ist ungleich teurer aber in gewissen Fällen natürlich dennoch gerechtfertigt.

Beim Einsatz eines IDS ist es vergleichbar. Wer seine Server gar nicht bezüglich Angriffen überwacht und auch sonst das Thema Benutzerverwaltung, Rechtekonzept, Kontosperrrichtlinien etc. schlecht umgesetzt hat, sollte vom IDS erst mal Abstand nehmen, bis diese Punkte zufriedenstellend erfüllt sind.

Auf der anderen Seite hat sich ein IDS natürlich sofort bezahlt gemacht, wenn es tatsächlich einen Einbruchsversuch nicht nur erkannt, sondern auch abgewehrt hat und die "Kosten" für die betroffenen Daten höher sind als die Kosten des IDS.

Was ein IDS nicht ersetzt

Sie können davon ausgehen, dass Firmen mit sensiblen Daten (Banken, Versicherungen, Forschung) entsprechend sensibilisiert für den Schutz ihrer Daten sind und auch entsprechende Budgets bereitstellen. Hier kann man nur hoffen, dass die richtigen Lösungen und Produkte den erwarteten Schutz auch liefern. Diese Firmen werden aber sicher nicht diese HTML-Seite zum Thema IDS als "Referenz" für ihre weiteren Schritte nehmen.

Schaue ich mir aber den Mittelstand oder klassische kleine Firmen an, dann erwarte ich hier keine großen Aktivitäten bezüglich IDS. Sicher habe auch solche Firmen einen Schutzbedarf und sind lohnendes Ziel für Angreifer. Trotzdem empfehle ich hier erst einmal, das diese Firmen ihre Hausaufgaben machen. Allzu oft sehe ich, dass ..

  • Kennworte unsicher oder selten geändert werden
    Sie müssen ein Kennwort nicht regelmäßig ändern, damit es "sicherer" wird. Sie verhindern so aber, dass jemand, der das Kennwort erfahren hat, länger damit hantieren kann. Es gibt aber Wege, auch solche "Fremdnutzen" zu ermitteln. Wichtig ist aber, dass das Kennwort erst recht nicht erraten oder "durchprobiert" werden kann.
  • Keine Alarme generiert werden, wenn ein Konto "Ausgesperrt" wird
    Wenn z.B. Windows ein Konto wegen zu vieler Fehlversuche "sperrt", dann ist das immer ein Alarmzeichen. Sicher kann der Anwender sich mehrfach vertippen und speziell nach einer KennwortÄnderung kann ein "gespeichertes Kennwort" im Windows Tresor oder einem PDA oder eine noch aktive Sitzung auf einem anderen PC kann dies auch ein Konto sperren. Aber gerade dann ist es ja hilfreich zu wissen, welcher Client die normale Arbeit stört. Ansonsten ist es ein ernst zu nehmendes Vorwarnsignal.
  • Keine oder schwache Richtlinien auf Mobilgeräte angewendet werden
    Was hilf das beste Kennwort und Schutzsystem, wenn die Clients übersehen werden. Fahren Sie mal morgens S-Bahn zwischen Frankfurt Hauptbahnhof und dem "Bankenstandort Eschborn". Ich hoffe es sind die "privaten" Smartphones, die dort einfach nur mit einem "Wisch" entsperrt werden. Und selbst dann frage ich mich, wie leichtfertig Personen mit ihren Daten umgehen, die es besser wissen sollten.
  • Informationen nicht per Verschlüsseln, SMTP und die Sicherheit, Bitlocker oder TrueCrypt  für Notebooks gesichert werden
    Es wird immer wieder Einbrüche geben aber sie müssen ihre Daten nicht auf dem Silbertablett präsentieren. Nur eine Festplattenverschlüsselung schützt die Daten gegen fremde Einsicht. Ein BIOS-Kennwort ist übrigens fast immer einfach zu knacken: Siehe IBM Notebook
  • Berechtigungskonzept
    Jeder darf alles ist keine adäquate Strategie mehr. Delegieren Sie nicht nur Aufgaben sondern auch die entsprechenden Berechtigungen. Haben Sie mehr als 2 Domänen Administratoren ?. Dann kann dies noch optimiert werden.
  • "Responsible Person"
    Nicht nur jedes Gerät sollte eine Inventarnummer und eine Kostenstellen haben. Auch jede Information muss eine "verantwortliche Person" haben. Nur so kann bei einem Fremdzugriff schnell der Kontakt hergestellt werden und zudem gehen Personen mit Dingen sorgfältiger um, die ihnen zugeordnet sind. Beispiel: "Das "Pool-Fahrzeug" im Firmenbestand ist immer das schlechteste gepflegte Fahrzeug. Das trifft ähnlich auch auf nicht zugeordnete Computer zu.
    Bei Servern ist diese Person natürlich auch für den sicheren Betrieb, Updates etc. zuständig. Derjenige muss es ja nicht persönlich selbst machen. Aber nicht umsonst gibt es im Active Directory das Feld "Manager"
  • Es keine Vorgaben zum Einsatz von Wechselspeichern (USB) gibt
    Sie können auch mit Windows USB-Speicher sperren oder Bitlocker darauf fordern. Wichtiger ist aber noch die "Betriebsanweisung", denn auch über eine Fotokopie auf DIN-A4 Papier können Informationen veruntreut werden. Wer aber nicht regelt, kann auch nicht sanktionieren
  • Veraltete VPN-Techniken (z.B. PPTP) verwendet werden
    Schnellere CPUs lassen früher als "ausreichend sicher" angesehene Verschlüsselungsverfahren heute alt aussehen
  • WiFi-Zugänge mit WEP/WPA und "preshared Key" geschützt werden anstatt 802.1x.
    Ein Angriff von intern ist immer interessanter, da viel mehr Bandbreite vorhanden ist und die meisten Schutzvorkehrungen durch Firewalls schon einmal umgangen sind. Aber was ist "Intern". Es ist relativ einfach, PCs einer Domäne von "unbekannten" Systemen zu unterscheiden.
  • Anmelde und vor allem fehlerhafte Anmeldungen nicht protokolliert werden
    Wenn ein Konto "gesperrt" wird, sollt der Manager und auch der Benutzer dies "Wissen". Aber auch die "normale" Anmeldetätigkeit kann protokolliert werden. Sie sollten bei der Auswertung natürlich ihr Ziel im Auge behalten. Wer aus den Daten dazu missbraucht, um Bewegungsprofile zu stellen, dürfte sich in einer rechtlichen Grauzone bewegen.
  • Systeme nicht adäquat konfiguriert sind (Patchmanagement, Updates)
    Ein Day-0-Expoit ist gefährlich und schwer zu blockieren, aber wenn ihnen jemand nachweist, dass der Einbruch auf Kosten eines "Day-0-Expoit" geht, der aber schon mehrere Monate alt ist, dann möchte ich nicht in ihrer Haut stecken.

Das sind nur ein paar Beispiele, die sie vorab abarbeiten sollten. Was hilft ihnen ein Wachschutz, der gerade auf der anderen Seite des Gebäude nachschaut, wenn ihre Fenster und Türen nicht verschließbar sind.

Wer über ein IDS nachdenkt, sollte es nicht als "Ersatz" für die vorgenannten und einige andere Voraussetzungen ansehen, sondern als Erweiterung einer bestehenden gesunden Konfiguration.

Weitere Links