Dipl.-Inform. Carsten Eilers

Der nächste Schritt ist die Installation einer Firewall, in Abb. 1 dargestellt durch die beiden Paketfilter: Nur erwünschte Verbindungen dürfen Paketfilter und Application Level Gateway(s) passieren. Unerwünschte Pakete werden verworfen. Übertragen auf ein Gebäude entspricht dies dem Pförtner, der alle Besucher kontrolliert und unerwünschte Personen nicht passieren lässt.

Abb. 1: Beispiel-Netzwerk mit Firewall (Klick für großes Bild in neuem Tab/Fenster)

AS  = Application Server           DBS = Datenbankserver
DMZ = Demillitarisierte Zone       MS  = Mailserver 
WS  = Webserver

Weder Firewall noch Pförtner können Angriffe von Innen erkennen: Ein Mitarbeiter, der in die Kasse greift oder ein Schadprogramm, das unbefugt auf einen Server zugreift, ist für sie nicht zu sehen.

Intrusion Detection System

Der nächste Schritt beim Schutz eines Gebäude sind Überwachungskameras im Gebäude. Damit können unerwünschte Personen, die sich am Pförtner vorbei geschmuggelt haben, entdeckt und unbefugte Handlungen beobachtet werden. Im Netzwerk entspricht dies dem Intrusion Detection System zur Erkennung von Angriffen, siehe Abb. 2: Der gesamte Netzwerkverkehr wird überwacht und verdächtige Vorgänge werden gemeldet.

Abb. 2: Beispiel-Netzwerk mit Firewall und IDS (Klick für großes Bild in neuem Tab/Fenster)

NIDS = Netzwerkbasiertes IDS bzw. Netzwerkbasierte Sensoren eines verteilten IDS

Intrusion Prevention System

Die Steigerung der Überwachungskameras ist ein patrouillierender Wachdienst, der unerwünschte Personen aufgreift. Im Netzwerk übernimmt diese Aufgabe das Intrusion Prevention System zur Abwehr erkannter Angriffe, siehe Abb. 3a und 3b: Erkannte Angriffe werden abgeblockt.

Abb. 3a: Beispiel-Netzwerk mit Firewall und netzwerkbasiertem IPS (Klick für großes Bild in neuem Tab/Fenster)

Abb. 3b: Beispiel-Netzwerk mit Firewall, IDS und IPS (Klick für großes Bild in neuem Tab/Fenster)

IPS: Inline-IPS

Ob man IDS und IPS als getrennte Systeme installiert oder die Erkennungsfähigkeiten des IPS für die Einbruchserkennung verwendet ist von verschiedenen Überlegungen abhängig. Da ein IPS ein um Eingriffsmöglichkeiten erweitertes IDS ist, spricht wenig dagegen, auf ein separates IDS zu verzichten, wenn beide auf dem gleichen System beruhen. Stammen IDS und IPS von verschiedenen Herstellern besteht die Möglichkeit, dass das eine System Angriffe erkennt, die das andere nicht (er-)kennt. Auch könnte eines der Systeme Schwachstellen enthalten, die das andere nicht enthält. In diesen Fällen sind separate Systeme von Vorteil. Auf der anderen Seite verursachen getrennte Systeme zusätzliche Kosten, sowohl bei der Anschaffung als auch im Betrieb durch die notwendige doppelte Überwachung und Auswertung. Eine Lösung kann in einer Kombination beider Ansätze bestehen: Es werden sowohl IDS als auch IPS eingesetzt, aber nicht immer paarweise sondern je nach Gefährdung nur ein IDS, nur ein IPS oder IDS und IPS gemeinsam.

Firewall und Intrusion Prevention System verfolgen gegensätzliche Ansätze: Während die Firewall von außen kommende erwünschte Daten passieren lässt und alle anderen zurückweist kontrolliert das IPS die Daten im Inneren und blockiert als unerwünscht erkannte Daten. Genauso wie ein Pförtner nur erwünschte Besucher in das Gebäude lässt und der Wachdienst im Inneren aufgegriffene unerwünschte Personen entfernt. Einem Hostbasierten IPS entspricht dabei eine zusätzliche Wache vor einem besonders sensiblen Bereich, z.B. dem Banktresor.

Honeypot

Ein Honeypot, der Angreifer anlockt so dass die Angriffe analysiert werden können und/oder sie davon ablenkt, während der Zeit ihres Angriffs wichtige Systeme anzugreifen, hat keine Entsprechung beim Schutz eines Gebäudes. Er wäre mit einem geöffneten Fenster zu einem mit Kameras überwachten Raum zu vergleichen, aus dem keine Tür in das Innere des Gebäudes führt. Dringt ein Einbrecher durch das Fenster ein, hat er es auf das Gebäude an sich abgesehen. Hätte er nicht das offen stehende (Honeypot-)Fenster gesehen, wäre er auf einem anderen Weg eingedrungen.

Wie beim IDS gibt es auch beim Honeypot verschiedene Möglichkeiten der Positionierung, siehe Abb. 4a bis 4c: Vor der Firewall, in der Demillitarisierten Zone oder im geschützten Netz. Befindet sich der Honeypot vor der Firewall, geht für das lokale Netz keine zusätzliche Gefahr von ihm aus. Allerdings kann er dort keine internen Angreifer anlocken, und für die Kontrolle des vom Honeypot ausgehenden Netzverkehrs ist eine zusätzliche Firewall nötig. Ein Honeypot in der DMZ stellt keine sehr hohe Gefahr für das lokale Netz da. Auch wenn der Honeypot kompromittiert wurde, wird das lokale Netz durch den inneren Paketfilter geschützt. Die Server in der DMZ werden durch das/die ALG geschützt, vom Honeypot nach außen gesendete Daten vom äußeren Paketfilter kontrolliert. Daher ist die DMZ eine beliebter Standort für Honeypots. Ein Honeypot im geschützten Netz ist zum Anlocken interner oder von außen bereits durch die Firewall vorgedrungener Angreifer geeignet. Angreifer von außen gezielt auf einen Honeypot im geschützten Netz zu lenken ist sehr gefährlich, da dies ein Loch in die Firewall reißt.

Abb. 4a: Beispiel-Netzwerk mit Honeypot vor der Firewall (Klick für großes Bild in neuem Tab/Fenster)

Abb. 4b: Beispiel-Netzwerk mit Honeypot in der DMZ (Klick für großes Bild in neuem Tab/Fenster)

Abb. 4c: Beispiel-Netzwerk mit Honeypot im geschützten Netz (Klick für großes Bild in neuem Tab/Fenster)

In der nächsten Woche werden diese technischen Möglichkeiten um ihr organisatorisches Konzept erweitert: Die Sicherheitsrichtlinie (Security Policy). Und eigentlich könnte ich auch mal was zu den oben erwähnten Komponenten (Firewall, IDS, IPS & Honepot) schreiben.

Carsten Eilers