Intrusion Detection Systeme

Arten von IDS

IDS steht für den Ausdruck Intrusion Detection System. Grundsätzlich kann in zwei verschiedene Arten, Vorgehensweisen, unterschieden werden. Auf der einen Seite die Erkennung anhand von bereits erkannten Merkmalen (vgl.: signatur based) und auf der anderen Seite die Erkennung anhand von Verhaltensabweichungen vom Regelfall (vgl: anomaly based). Dieses ist die Grundlage für Lösungen und Produkte. Entsprechend sollte das als eine grundlegende Entscheidung beachtet werden. Es gibt aber auch immer Lösungen, die beide Aspekte anbieten. Auch ein paralleler Einsatz ist möglich.

Signatur IDS

Ein Signatur IDS kann auch als wissensbasierendes IDS bezeichnet werden. Es gibt Regeln und Muster von bereits erkannten ‚bösartigen‘ Verkehrsdaten nach denen gesucht wird. Sobald eine Übereinstimmung gefunden wird, wird ein Alarm ausgelöst. Ein Alarm ist in der Regel eine Benachrichtigung des Administrators. Mit so einem Werkzeug können bekannte Schadsoftware, Netzwerk Scans und Attacken gegen Server(-dienste) erkannt werden.

Anomaly IDS

Im Gegensatz dazu ist bei einem verhaltensorienten IDS ist der erzeugte Verkehr wesentlich wichtiger, als die eigentlich übertragenen Verkehrsdaten. Verhaltensorientierte IDS ziehen Regeln und zulässige Verhaltesräume heran anstatt feste Muster zu suchen. Hierzu bedient man sich meist der Statistik, um von der Norm abweichendes Verhalten zu erkennen.

Allgemein

Beide, signaturbasierend und verhaltensorientiert, Methoden verwenden als Grundlage die selben Erkennungs- und Erfassungstechniken. So können bereits erfasste Daten und Informationen, wechselseitig ausgetauscht und benutzt werden. Also Daten aus einem externen Signatur IDS, oder auch Honey Pot, können zur Verhaltensanalyse verwendet werden. (vgl.: Honey Pot As A Service – HAAS)

Vor- und Nachteile

Ein signaturbasierendes IDS produziert wesentlich weniger Fehlalarme (vgl.: false-positives). Aber nur bekannte Muster und Bedrohungen werden als solche erkannt. Verhaltensorientierte Analyse produziert bei weitem mehr Fehlalarme am Anfang, vor allem so lange keine Anpassung stattfindet, aber es bietet die Möglichkeit vorher unbekannte Risiken und Bedrohungen zu erkennen und darauf zu reagieren.

Netzwerk IDS (NIDS)

Network Intrusion Detection Systems (vgl.: NIDS) verarbeiten den gesamten Verkehr eines Netzwerksegments. Der Verkehr wird gleichsam kopiert und zusätzlich an eine Schnittstelle des NIDS übergeben. Das lässt sich zum Beispiel am Switch über Port Spiegelung verwirklichen. Damit wird ersichtlich, dass dieses NIS einerseits über die entsprechende Anbindung und Hardwareausstattung verfügen muss, um den anfallenden Verkehr zur Gänze mitlesen zu können.

Das NIDS erfasst, filtert und alarmiert, wenn entsprechende Muster erkannt werden. Sobald verdächtige Ereignisse erkannt werden, wird die dazugehörige Kommunikation gekennzeichnet und protokolliert. Die protokollierten Daten dienen dazu festzustellen welche Vorgänge stattgefunden haben. Ein Zusammenhang und Gesamtbild ergibt sich, wenn Informationen und Protokolle über mehrere Systems zusammengefasst werden. Es zeigt sich somit ein gesamtheitliche Bild der Sicherheitslage. Das Herstellen von Beziehungen und vor allem das in Beziehung setzen – Daten zum Sprechen bringen – ist die Funktionalität eines SIEM.

Zeek (vormals BRO) – IDS

Neben den Snort und Suricata gibt es Zeek. Zeek war bis 2018 unter dem Namen Bro bekannt. Zeek bietet beide Möglichkeiten eines IDS an – verhaltensorientiert und musterbasierend. Zeek analysierten den Verkehr, die Verkehrsdaten und zerlegt den Verkehr in eine Reihe von Vorkommnissen. Ein Vorkommnis ist eine Zustandsänderung, wie er bei einem Log-In auftritt. Das zeigt auch die Mächtigkeit des Systems an sich – die Handhabung von Vorkommnissen und eigene Skriptsprache (vgl. Bro-Script). Damit lassen sich Abläufe, vor allem der Analyse, automatisieren. Eine Bedienungsoberfläche, wie bei anderen Lösungen, ist nicht vorhanden. Eine Darstellung über ELK (vgl.: Elastik Search, Logstash und Kibana) auf AWS (Amazon Cloud) ist aber natürlich möglich. Auswertung, Prognose etc. ebenfalls.

Zeek ist vor allem im Gegensatz zu anderen IDS fordernd in der Installation. Die Lernkurve wird am Anfang ziemlich steil sein müssen, um einfache Ergebnisse zu erreichen. Zeek kann aber Verhaltensmuster erkennen, die andere nicht erkennen können. Die Architektur ist flexibel und (fast) beliebig skalierbar. Zeek kann sich verschiedener, externer Signaturen, wie die von Snort, bedienen. Auch gibt es mit IntelStack ein Portal, als Beitrag zur Community.