am 01.02.2002 Aktualisiert by Reini
Erkennung und Behandlung von Angriffen aus dem Internet
am 01.02.2002 Aktualisiert by Reini
Seit der Entwicklung des ersten graphischen Browsers Mosaic durch das National Center for Supercomputing Applications (NCSA) im Jahr 1993 ist ein nahezu explosionsartiger Anstieg der Benutzer- und Anbieterzahlen im Internet zu verzeichnen. In kürzester Zeit setzte sich das neue Medium, das vorher vor allem im universitären Umfeld genutzt wurde, bei Industrie, Wirtschaft und Endverbrauchern durch. Heute ist das Internet das öffentliche, weltweit verfügbare Computer-Netz, das von vielen Privatpersonen und Firmen als Einstieg in die Welt der Computer-Netze genutzt wird. Das Internet hat mittlerweile die weitverbreiteten Mailboxnetze und auch zunehmend Firmen-interne WAN-Verbindungen zurückgedrängt. Da der freie Zugang zum Internet am Arbeitsplatz häufig wünschenswert ist, wurde bereits vorhandene Netzwerkinfrastruktur an das Internet angeschlossen. Leider vollzog sich dieser Wandel meist ohne oder nur mit geringen Maßnahmen zur Absicherung des eigenen internen Netzes.
Bei der Entwicklung der Technologien und Protokolle, derer sich das Internet bedient, stand die Erhöhung der Funktionalität und die Leistungssteigerung im Vordergrund. Die Sicherheit der Daten und der beteiligten Rechnersysteme wurde häufig als nebensächlich angesehen. Erst erfolgreiche Angriffe auf Rechnersysteme, die von der Presse öffentlich gemacht wurden, setzten einen Prozeß des Umdenkens im Sicherheitsbewußtsein in Gang.
Seitdem das Internet den akademischen Bereich verlassen hat und es von immer mehr Firmen und Institutionen auch kommerziell genutzt wird, gehen Angriffe auf angeschlossene Rechner nicht nur von "CRACKERN " aus, sondern in verstärktem Maße auch von professionellen Datenspionen aus.
Die Datenautobahn dient den Nutzern nicht nur als Präsentations- und Verkaufsplattform, sondern auch als Übertragungsmedium. Es ersetzt die teuren WAN-Verbindungen weltweiter Unternehmensnetze. Zur Informationsbeschaffung ist der Zugang zum Internet heute zentraler Bestandteil vieler Arbeitsplätze, so daß vertrauliche, unternehmensrelevante oder personenbezogene Daten übertragen werden. Die so geschaffene Verbindung zwischen einem vorher separaten Firmennetz und dem Internet kann auch zum Eindringen in das Firmennetz genutzt und mißbraucht werden, um dort sensible Daten auszuspionieren oder zentrale Funktionen zu sabotieren.
Die übertragenen Informationen und noch mehr die Daten der an öffentliche Netze angeschlossenen Rechnersystem haben für viele Unternehmen und Organisationen essentielle Bedeutung. Insbesondere der Verlust der Vertraulichkeit würde oft einen kaum einschätzbaren materiellen Schaden und Imageverlust bedeuten. Um die Intranets (interne Netze, die sich der Internet-Technologie bedienen) vom Internet abzuschotten, sind in den letzten Jahren verstärkt Firewall-Systeme eingeführt worden. Als zentraler Übergang zwischen Intra- und Internet lassen sie nur bestimmte, als ungefährlich eingeschätzte, Verbindungen zu. Dennoch sind Angriffe auf Netzwerke und Computer nicht immer zu verhindern, so daß einem Konzept, das die Integrität, die Verfügbarkeit und die Vertraulichkeit der Daten sicherstellen soll, eine besondere Bedeutung zukommt. Häufig wird dabei die Wichtigkeit des Schutzes vor Angriffen aus dem internen Netz verharmlost und sogar vergessen. Dies zeigt, daß die Einrichtung einer Firewall nicht der einzige Punkt eines Sicherheitskonzepts sein darf. Wesentlicher Bestandteil der konzeptionellen Überlegungen muß deshalb sein, wie ein möglicher Angriff entdeckt und behandelt werden kann. Durch eine zeitnahe Reaktion kann weiterer Schaden häufig vermieden werden.
Die enorme Steigerung der Anwender- und Anbieterzahlen im Internet ist auf die vielseitigen und teilweise sehr komfortabel zu bedienenden Anwendungen zurückzuführen, die jedem eine unüberschaubare Fülle an Informationen, Programmen und Kommunikationsmöglichkeiten bieten. Die heute wichtigsten Anwendungen im Internet sind:
Das WorldWideWeb ist die wohl populärste Anwendung des Internets, die von Laien häufig mit dem Internet gleichgesetzt wird. Mit Hilfe leicht zu bedienender Clients, den sogenannten Browsern, kann der Anwender mittels des Hypertext Transfer Protokolls (HTTP) ansprechend aufbereitete Informationen abrufen. Hypertext verknüpft dabei verschiedene Daten, wie Text, Graphiken, Sound oder Filme. Die zusätzliche Nutzung von ftp und von Usenet News wurde bereits sehr früh in die meisten Browser integriert. Die ansprechende Gestaltung des Angebots aber auch die leichte Erlernbarkeit der verwendeten Seitenbeschreibungssprache Hypertext Markup Language (HTML) führten schnell zu einer Kommerzialisierung des Internet. So bieten mittlerweile auch in Deutschland zahlreiche Online-Shops ihre Waren im Internet zum Kauf an.
Die elektronische Post ist ein weit verbreiteter Dienst im Internet. Er ermöglicht nicht nur den Austausch von Nachrichten sondern auch von Bildern, kleinen Filmen, Sounds oder auch Programmen. Ein wichtiger mit Hilfe von EMail abgewickelter Dienst sind Mailing-Listen: das sind Diskussionsforen über eng begrenzte Themen, deren Beiträge man nur dann zugesandt bekommt, wenn man die jeweilige Liste abonniert hat.
Dieser Dienst erlaubt das Einloggen und Arbeiten auf entfernten Rechnern, so können z.B. Kataloge abgefragt oder bei zahlreichen Bibliotheken die Online-Recherche nach Büchern durchgeführt werden. Alle Daten einschließlich des Paßworts werden unverschlüsselt in Klartext übertragen.
(file transfer protocol): Der ftp-Dienst dient der Übertragung von Dateien von und zu einem entfernten Rechner. Auch hier erfolgt die Übertragung aller Daten einschließlich des Paßworts unverschlüsselt. Häufig wird ein Zugang für jedermann ohne Zugangskontrolle angeboten (anonymous-ftp), um beispielsweise Public-Domain-Programme zu vertreiben.
Dieser Dienst erlaubt die Teilnahme an Tausenden von Diskussionsforen (News-Groups). In diesen erfolgt eine öffentliche Diskussion über bestimmte Themen aus allen Bereichen. Dies reicht von Problemen bestimmter Programmiersprachen bis zur Diskussion sozialer oder politischer Aspekte. Verhaltensregeln, die sogenannten "Netiquette" sollen vernünftige Umgangsformen sicherstellen. Um die Qualität der Diskussionsbeiträge zu erhöhen, sind einige News-Groups moderiert. Alle Beiträge der weltweiten News-Groups werden zwischen allen News-Servern automatisch ausgetauscht.
Mit IRC (Internet Relay Chat) oder kurz chat bezeichnet man die Möglichkeit in öffentlichen virtuellen chat-Rooms sich in Echtzeit schriftlich, mündlich und per Video quasi zu "unterhalten". Häufig liegt schon durch den Diensteanbieter ein bestimmter Themenbereich nah.
DNS (Domain Name Service) wandelt für den Anwender transparent die leicht zu merkenden Internetadressen (http://www.geocity.de/) in die numerischen Adressen (194.95.176.226) um, mit denen die einzelnen Rechner im Internet bezeichnet werden.
Sicherheitsaspekte standen bei der Entwicklung der Techniken, die im Internet genutzt werden, nicht im Vordergrund. Durch die nicht bis ins letzte Detail durchkonstruierten, pragmatischen Lösungen der gestellten Aufgaben sieht man sich einem großen Gefahrenpotential ausgesetzt, das für Angriffe aus dem Internet genutzt werden kann. Die meisten dieser technischen Probleme lassen sich aber umgehen, so daß es einem potentiellen Angreifer wesentlich erschwert wird, sein Ziel zu erreichen.
Schäden, die ein Angreifer verursachen kann, können in vier Bereiche eingeteilt werden.
Weiterhin kann der Angreifer den angegriffenen Rechner dazu benutzen, weitere Angriffe auf Rechnersysteme von dritten zu starten, ihn also als Zwischenstation (häufig Sprungbrett oder hopping station genannt) benutzen. Dadurch entsteht dem Besitzer zwar nur ein minimaler direkter Schaden, jedoch wird der nun Angegriffene mit großer Wahrscheinlichkeit davon ausgehen, daß der Betreiber des Sprungbretts Ursprung des zweiten Angriffs ist.
Erkenntnisse über die Identität von potentiellen Angreifern können eine erste Information für die bei Angriffen hinterlassenen Spuren bieten. Gingen vor wenigen Jahren die Angriffe hauptsächlich von Studenten oder häufig noch jugendlichen Hackern aus, die allein aus Neugier in fremde System eindrangen, sind durch die weitere Verbreitung des Internets heute auch professionelle Datendiebe denkbar, die beispielsweise für Industriespionage von der Konkurrenz bezahlt werden.
Auch die Möglichkeit, daß die eigenen Mitarbeiter das Netz angreifen können, darf nicht vergessen werden. Als Innentäter hinterlassen sie natürlich andere Spuren als Angreifer, die erst ein Firewall-System überwinden müssen.
Es gibt eine Menge von Indizien, die für einen Angriff auf ein Rechnersystem sprechen: Wiederholte Einlogversuche mit falschem Paßwort, womöglich zu ungewöhnlichen Zeiten, unerwartetes Verhalten des Systems oder einzelner Programme oder auch neue oder veränderte Dateien oder solche mit geänderten Zugriffsrechten (SUID-Bit) sprechen für einen erfolgreichen Angriff auf einen Rechner.
Im Internet werden frei verfügbar Skripte und Programme zum Herunterladen angeboten, die Schwachstellen in Rechnersystemen untersuchen. Die so gewonnenen Informationen können dann in falschen Händen dazu genutzt werden, Angriffe durchzuführen. Meist beginnen diese Tools damit festzustellen, welche Dienste ein Rechner zu Verfügung stellt, um mögliche Schwachstellen darin ausnutzen zu können (Portscan). Wird ein solches Abtasten festgestellt, kann es als Indiz für einen bevorstehenden Angriff angesehen werden.
Für einen erfolgreichen Angriff sind Informationen über Namen und Version des Betriebssystems, welche Anwender existieren oder auch welche Programme zur Verfügung gestellt werden, eine wertvolle Information. Werden derartige Informationen – eventuell auch mündlich – abgefragt, kann häufig ebenfalls von der Vorbereitung eines Angriffs ausgegangen werden.
Betriebssysteme und auch diverse Programme können eine Vielzahl von Informationen protokollieren, so daß bei einer Auswertung der entsprechenden Aufzeichnungen der unberechtigte Zugriff auf das System festgestellt werden kann. Erlangt ein Angreifer jedoch Administrator-Rechte, ist er berechtigt, die Aufzeichnungen zu löschen oder zu ändern, so daß er seine Spuren verwischen kann. Häufig werden Protokollinformationen aber an verschiedenen Stellen gespeichert, so daß Inkonsistenzen beim Vergleich von Aufzeichnungen auffallen können. Auch zeitliche Lücken in den entsprechenden Dateien deuten auf einen Angriff mit verwischten Spuren hin. Um ihre eigene IP-Adresse zu verbergen, benutzen Angreifer häufig mehrere schlecht geschützte fremde Rechner, in die sie vorher erfolgreich und unbemerkt eingedrungen sind, als Sprungbrett.
Mit der Veränderung des Internets, besonders durch die starke Verbreitung des WWWs und den damit verbundenen Techniken, geht auch eine Veränderung der Angriffsmethoden der Datendiebe einher. Erfolgreiche Angriffe können sich heutzutage auch aktiver Inhalte auf Web-Seiten oder Fehlern in Standardanwendungen bedienen. Der erste Schritt dieser neuen Art der Angriffe ist es, das Opfer auf präparierte WWW-Seiten zu lenken. Dort werden diese böswilligen aktiven Inhalte, Programme oder auch Dokumente zusammen mit der angeforderten WWW-Seite selbständig heruntergeladen, natürlich ohne das das Opfer etwas von der Schadfunktion weiß. Auch Trojanische Pferde (s. u.) können so oder auf ähnliche Weise auf die verschiedensten Rechner geschmuggelt werden. Der Angreifer erscheint, wenn der erste Schritt gelungen ist, als Angreifer von innen. Ein derartiger Angriff kann dann also nicht mehr durch eine Firewall abgewehrt werden. In diesem Beispiel wird deutlich, daß das Firewallkonzept ergänzt werden muß. Hier öffnet sich ein Gefahrenpotential, das noch vor wenigen Jahren nicht vorstellbar war. Dies verdeutlicht aber auch, daß im Hinblick auf die Sicherheit im Internet eine ständige Informationen über neue Schwächen und Angriffsmethoden unabdingbar ist.
Zahlreiche erfolgreiche Angriffsversuche nutzen Fehler und Schwachstellen aus, die schon seit Längerem bekannt sind, so daß ein zentraler Punkt einer Sicherheitspolitik Schulung und Information sein muß. Hauptgrund für Sicherheitsvorfällen in Datennetzen sind mangelhafte Systemkonfigurationen, sowie teilweise oder ganz fehlende Zugangsbeschränkungen für Anschlüsse zu öffentlichen Datennetzen.
Im Internet werden alle Informationen grundsätzlich offen übertragen, so daß sie von jedem, der Zugang zu einem benutzten Netz hat, mitgelesen werden können. Dies gilt auch für EMail und Paßwörter.
Da es keine wirksamen Authentisierungsmechanismen zwischen den im Internet angeschlossenen Rechnern gibt, ist es z.B. leicht möglich, falsche Rechneradressen (IP-Spoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden. Rechte, die nur auf Grund dieser Angaben vergeben werden, sind leicht zu mißbrauchen. Betroffen sind hier u.a. die r-Dienste (z.B. rlogin), RPC basierte Dienste (z.B. NFS) oder auch X-Window.
Einem IP-Paket kann vorgeschrieben werden, auf welchem Weg es sein Ziel erreichen soll oder welchen Weg die Antwort nehmen soll, so daß nicht die durch die Routing-Tabellen angegebenen sicheren Wege genutzt werden.
Häufig sind Informationen (z.B. Rechnernamen, Benutzernamen, Name und Version des Betriebssystems und der verwendeten Programme), die für einen Angriff mißbraucht werden können, frei zugänglich.
3.3.2 Organisatorische Schwachstellen
Häufig werden Schutzmöglichkeiten nur sehr eingeschränkt genutzt. Auch für Netze, für die ein angemessener Schutz gegen Angriffe von außen besteht, existiert nur in den wenigsten Fällen ein Notfallplan für den Fall des erfolgreichen Angriffs, so daß erst nach dem Angriff über die nun notwendigen Schritte nachgedacht wird. In diesem Abschnitt werden zunächst allgemeine Punkte, die vor Anschluß eines Rechners oder Netzwerks an das Internet geklärt sein sollten, aufgezeigt. Am Ende werden die wichtigsten Punkte eines Notfallplans vorgestellt. Die Erkennung und die angemessene Behandlung von Angriffen sollten Teil des IT-Sicherheitskonzepts (Security-Policy) sein, denn die richtige Reaktion im Falle eines Angriffs kann unter Umständen den verursachten Schaden deutlich eingrenzen.
Im privaten Bereich und im Bereich der Telearbeit werden zunehmend einzelne PCs via ISDN- oder Modemverbindungen an das Internet angeschlossen. Für Angreifer sind sie besonders interessant, da sie häufig schlecht gesichert sind und auf ihnen oft die Zugangsdaten für Internetprovider oder gar Firmennetzwerke, manchmal sogar mit Paßwörtern, gespeichert werden. Es existieren zahlreiche Programme, die neben ihrer eigentlichen Funktion eine Nebenfunktion haben, die unbemerkt Daten, beispielsweise Paßwörter oder Konfigurationen, ausspionieren und per EMail oder auf anderem Weg verschicken (Trojanische Pferde). Aktuelle Beispiele sind hier BackOrifice, Netbus oder die T-Online PowerTools. Diese werden meist über das Internet vertrieben. Besonders tückisch sind aktive Inhalte von WWW-Seiten (Java, JavaScript und besonders ActiveX), da sie zusammen mit WWW-Seiten geladen werden, häufig ohne das es der Anwender bemerkt. Ein gewisser Schutz kann aber schon dadurch erreicht werden, daß sichergestellt wird, daß – besonders zu den Zeiten, zu denen man online arbeitet – nur Prozesse und Programme laufen, die wirklich notwendig sind und so die zusätzlichen Aktivitäten des Rechners oder der Festplatte bemerkt werden. Weiterhin können die Einstellmöglichkeiten des verwendeten Internet Browsers konsequent ausgenutzt werden, so daß beispielsweise aktive Inhalte gar nicht erst auf den eigenen Rechner geladen werden können.
Das Abspeichern von Paßwörtern auf dem Rechner zum bequemen Einloggen bei seinem Provider oder seinem Unternehmen verbietet sich von selbst. Eine regelmäßige Kontrolle der Festplatte auf unerwartete Veränderungen (neue oder veränderte Dateien, ungewöhnliches Verhalten), sollte obligatorisch sein.
In Unternehmen sind in den letzten Jahren häufig die bereits vorhandenen Netze aus verschiedenen Gründen an das Internet angeschlossen worden. Da dabei im Normalfall schon aufgrund der Infrastruktur ein zentraler Übergang vorhanden ist, bietet sich zur Absicherung des internen Netzes gegen Angriffe aus dem Internet ein zentrales Sicherheits-Gateway (Firewall) an. Dieses ermöglicht nur bestimmte, als ungefährlich eingeschätzte, Verbindungen zwischen dem lokalen Netzwerk und dem Internet.
Häufig wird allerdings übersehen, daß private Modems an Arbeitsplätzen oder Modempools, über die die Verbindung zu anderen Niederlassungen oder anderen Unternehmen aufgebaut wird, eine Hintertür öffnen. Besitzt der Kommunikationspartner ebenfalls einen Internetanschluß, kann so die eigene Firewall bequem umgangen werden. Modems sind grundsätzlich wie externe Netze zu behandeln und abzusichern, beispielsweise indem sie auf der "unsicheren" Seite der Firewall installiert werden.
Eine große Gefahr geht auch hier von Trojanischen Pferden aus, die separat installiert oder als aktiver Inhalt einer Web-Seite auf den angegriffenen Rechner gelangen können, Informationen nicht nur über den einzelnen Rechner, sondern auch über das lokale Netzwerk ausspähen können.
Für ein vernünftiges Sicherheitskonzept, das sowohl eine passive Abwehr von Angriffen als auch eine angemessene Reaktion für den Fall des Angriffs beinhaltet, sind klare Zuständigkeiten notwendig. Bevor ein Rechner oder ein ganzes Netzwerk an das Internet angeschlossen wird, muß geklärt sein:
In der Security-Policy muß – neben den oben beschriebenen klaren Zuständigkeiten – festgeschrieben werden, welche Dienste welchen Benutzern zur Verfügung gestellt wird. Auch Einschränkungen (z.B. keine verschlüsselte Übertragung) werden hier beschrieben. Alle anderen Dienste werden verboten.
Weiterhin muß festgelegt werden, welche Informationen protokolliert, wie lang die Protokolle im Normalfall gespeichert werden, sowie ob und in welcher Weise die Protokollierung im Falle eines Angriffsverdachts erweitert wird.
Ausnahmeregelungen sind ebenfalls mit eindeutigen Zuständigkeiten zu definieren. Bestandteil muß sein, wer in welcher Weise die Security-Policy auf neue Entwicklungen oder Anforderungen anpassen darf. Bei späteren Änderungen ist besonders auf mögliche Seiteneffekte zu achten.
U. a. müssen folgende Fragen geklärt sein:
Ein Notfallplan für den Fall, daß ein Angriff erfolgreich war, wird in vielen Sicherheitskonzepten vergessen, so daß über eine Vorgehensweise erst nachgedacht wird, wenn sicheres und entschlossenes Handeln erforderlich wäre. Zwar ist ein schnelles Handeln nicht immer erforderlich, trotzdem ist es sicher von Vorteil vorbereitet zu sein, um einerseits nicht durch unbedarftes Reagieren die Situation zu verschlimmern und um andererseits notwendige Ressourcen verfügbar zu haben. Ein Notfallplan sollte folgende Punkte enthalten, die z. T. vor einem Angriff geklärt sein müssen:
Auch ausgeklügelte Firewall-Systeme und Authentifikationsverfahren führen nicht zu einer hundertprozentigen Sicherheit gegen Angriffe. Insbesonders können sie nicht vor Angriffen aus dem eigenen Netz schützen. Um so wichtiger ist es, Angriffsversuche und vor allem erfolgreiche Angriffe zu erkennen, einerseits um für die Zukunft Gegenmaßnahmen einleiten zu können, andererseits aber auch um sicherzustellen, daß Mitarbeiter nicht ohne es zu wissen auf verfälschte Daten zugreifen.
Da also Einbrüche trotz sinnvoller Schutzmaßnahmen in das eigene Datennetz nicht völlig zu verhindern sind, empfiehlt sich, die Zeitspanne zwischen erfolgreichem Einbruch und dessen Entdeckung zu minimieren, um so den Schaden möglichst eng zu begrenzen. Im Idealfall sollte der Angriff entdeckt und Gegenmaßnahmen eingeleitet werden, bevor Schaden entstehen kann. Eine automatische Erkennung des Einbruchs, vergleichbar mit einer Alarmanlage, ist wünschenswert. Dafür stehen sogenannte Intrusion Detection Systems (IDS) zur Verfügung, die möglichst in Echtzeit eine Vielzahl von Netzaktivitäten überwachen und versuchen, ein für Netzeinbrüche typisches Verkehrsprofil zu entdecken. Intrusion Response Systems (IRS) gehen einen Schritt weiter und starten eine automatische Abwehr des Angriffs, wie z.B. das (zeitweise) Abschalten betroffener Dienste oder der ganzen Firewall. Allerdings ist die Entwicklung derartiger Systeme noch nicht so weit vorangeschritten, daß sie eine Zuverlässigkeit erreicht hätten, die es erlauben würde, sich allein auf sie (zusätzlich zu einer Firewall) zu verlassen.
Neben einer derartigen automatisierten Reaktion, deren Konzepte in diesem Abschnitt kurz vorgestellt werden und die in einem späteren Abschnitt noch gesondert behandelt werden, ist demnach eine regelmäßige Kontrolle der automatischen Aufzeichnungen des Firewall-Systems und anderer Rechner notwendig. Auch durch die Anwender können wertvolle Hinweise auf Einbrüche gegeben werden, so daß eine besondere Sensibilisierung zu empfehlen ist.
Um einen langfristigen Schutz gegen Angriffe aufrecht erhalten zu können, ist neben der Abwehr beispielsweise durch eine Firewall die aktive Erzeugung und Auswertung von Protokolldaten ein ebenso wichtiger Punkt einer Sicherheitspolitik. Damit alle Warnmeldungen in Folge eines Angriffs auch zugänglich sind, muß bei einer Firewall möglichst viel verwertbare Protokollinformation ausgegeben werden. Es sollten die Protokolldaten außerhalb des sammelnden Rechners aufgezeichnet werden, da häufig der erste Schritt eines Hackers die Manipulation der Protokollinformation ist. Die dabei entstehenden Datenmengen können ohne elektronische Hilfe allerdings nicht mehr analysiert werden, so daß Programme wie Logsurfer für die Reduktion der Daten genutzt werden sollten. Diese filtern alle Meldungen aus, die bei normalem Betrieb vorkommen dürfen. Meldungen, die auf einen Angriff hindeuten und erlaubte Meldungen, die bisher noch nicht aufgetreten sind, werden aufgezeichnet.
Die so gewonnenen Protokollmeldungen können analysiert und in weiteren iterativen Schritten reduziert werden, wobei die Sammlung erlaubter Meldungen erweitert werden müßte. Nach einiger Zeit sollte die Anzahl der Meldungen, die eine Reaktion des Systemadministrators erfordern, stark gesunken sein.
Um aus den übriggebliebenen Protokolldaten Informationen über die Aktivitäten des Angreifers zu gelangen, müssen einige Meldungen auf einem gesicherten Weg übertragen und für eine gewisse Zeit gespeichert werden. Dies sind bei einem Paket-Filter für jedes ein- und ausgehende Paket die Quell- und die Zieladresse, die Quell- und die Zielportnummer, Datum und Uhrzeit; für ein Application-Gateway zusätzlich für jede aufgebaute oder abgewiesene Verbindung die Benutzeridentifikation.
Neben den von der Firewall angebotenen Protokollinformationen können auch spezielle Rechner, die natürlich besonders überwacht werden müssen, um nicht von einem Angreifer erkannt und manipuliert zu werden, Informationen im Netz sammeln und für eine weitere Auswertung zur Verfügung stellen (Sniffer).
Die Ergebnisse der Analyse der Protokollinformationen müssen interpretiert werden. Meldungen, die auf einen Angriff hindeuten, sind nicht immer ein ernsthafter Angriff. Häufig probieren lediglich fremde Internetnutzer neue Kenntnisse oder Programme, die häufige Sicherheitslücken testen (z. B. Satan), aus. Finden sie auf diese Weise keine Schwachstelle, suchen sie sich meist ein neues Ziel.
Auf einen erfolgreichen Angriff deuten Inkonsistenzen oder fehlende Einträge in Log-Dateien hin, da dann davon auszugehen ist, daß manipuliert wurde. Eine zweite Speicherung der Protokolldaten auf einem anderen Medium kann die Möglichkeit der Manipulation einschränken und deren Entdeckung erleichtern. Ein Vergleich dieser Daten, aber auch ein Vergleich verschiedener Log-Dateien auf einem Rechner könnten Inkonsistenzen aufdecken.
Besondere Vorsicht ist geboten, wenn sich bei der Auswertung der Daten herausstellt, daß Angriffe von Rechnern erfolgen, die bislang als sicher eingeschätzt wurden, Aktivitäten von Benutzern festgestellt werden, die sonst nicht in dieser Zeit oder auf diesem Rechner arbeiten oder die Systemdateien und -programme nicht erwartungsgemäß sind. Es ist davon auszugehen, daß zumindest schon ein Teil der Sicherheitseinrichtungen überwunden sind. In all diesen Fällen empfiehlt sich eine genauere Untersuchung.
Häufig manipulieren Angreifer wichtige Systemprogramme, wie beispielsweise ls oder ps unter Unix, um so ihren Angriff zu verschleiern oder um sich für weitere Angriffe eine Hintertür offen zu halten. Auch Dateien wie /etc/hosts.equiv oder die .rhosts der einzelnen Benutzer sind beliebte Angriffsziele, da auch sie einen späteren Zugriff auf das System ermöglichen. Zur Erkennung derartiger Veränderungen stehen Tools wie Tripwire zur Verfügung, die mit Hilfe von Prüfsummen kontrollieren, ob Veränderungen am Dateisystem stattgefunden haben.
Neben der Verantwortung der Anwender für die Verhinderung von Angriffen (z. B. sicherer Umgang mit Paßwörtern) können aufmerksame Anwender häufig einen ersten Hinweis auf Einbruchsversuche geben. Nicht plausible Daten oder ungewöhnliches Verhalten der Arbeitsplatzrechner oder von Programmen können beispielsweise auf einen erfolgreichen oder versuchten Einbruch hindeuten. Auch Aktivitäten von Benutzern, die normalerweise nicht zu dieser Zeit oder auf diesem Rechner arbeiten, können von normalen Anwendern schnell bemerkt werden. Allen Anwendern muß die zuständige Sicherheitshotline bekannt sein.
Potentielle Angriffe können nicht nur durch Schäden, beispielsweise gelöschte oder verfälschte Dateien erkannt werden. Häufig deuten eine Vielzahl weiterer Indizien darauf hin. Viele, auch erfolglose, Angriffe auf Computer-Systeme oder Datennetze können durch Anomalien des Datenverkehrs im Vergleich zum Normalzustand entdeckt werden. Anomalie-Erkennungs-Systeme analysieren beispielsweise die CPU-Auslastung, die Aktivität an unterschiedlichen I/O-Ports verschiedener Client/Server oder Netzlastprofile und vergleichen sie mit Werten, die während der Konfiguration ermittelt und vorgegeben werden.
Um zuverlässig arbeiten zu können, müssen die überwachten Parameter in einer ersten längeren Lernphase während des Normalbetriebs erfaßt werden. In einer zweiten Phase werden anhand der Meßwerte Kenngrößen für einen normalen Betrieb abgeleitet und schließlich werden Schwellwerte definiert, die ein anomales Verhalten kennzeichnen. Bei Überschreitung dieser Werte wird der Systemadministrator automatisch alarmiert oder eine passende Gegenmaßnahme eingeleitet.
Beim Einsatz dieses Systems bestehen allerdings drei zentrale Probleme. Je nach Netz können sehr große Datenmengen entstehen, die möglichst in Echtzeit ausgewertet werden müssen. Sehr leistungsfähige Aufzeichnungs- und Auswerterechner sind hier eine Vorraussetzung. Die Bestimmung der Schwellwerte ist eine schwierige Entscheidung, denn es kann immer wieder zu System- und Netzsituationen kommen, die Angriffsszenarien ähneln und so zu Fehlalarmen führen. Zu großzügig eingestellte Schwellenwerte wiederum können dazu führen, daß Angriffsversuche nicht erkannt werden. Auch besteht zwischen einigen Werten eine gegenseitige Abhängigkeit, sinkt der eine, kann der andere größer werden. Weiterhin ändert sich in den meisten Netzen das typische Anwendungsprofil allmählich mit der Zeit, so daß eine regelmäßige Neukonfiguration notwendig ist.
Mißbräuchliche Systemnutzung hinterläßt häufig charakteristische Ereignismuster (Intrusion Signatures), die sich von den Ereignismustern normaler Nutzung unterscheidet. Im Betrieb werden die eingetretene Ereignisfolgen mit einer Datenbank verglichen, die für Angriffe typische Ereignismuster enthält. Wird ein passendes Muster gefunden, wird automatisch der Systemadministrator benachrichtigt. Wichtig hierbei ist, daß die Datenbank mit neuen Mustern ergänzt werden kann und/oder vom Hersteller ergänzt wird, um die Erkennungsquote zu erhöhen. Ein Portscan beispielsweise, bei dem der Angreifer in schneller Folge alle Portnummern anspricht, um festzustellen, welche Dienste auf dem Rechner angeboten werden, sollte mittels Signatur-Analyse leicht zu erkennen sein.
Eine Kombination der Signatur-Analyse und der Anomalie-Erkennung kann die Trefferquote wesentlich erhöhen, da sich beide Arten ergänzen. Angriffe, die in das normale Verhaltensmuster fallen und nicht durch eine auffällige Signatur zu kennzeichnen sind, bleiben allerdings weiterhin unentdeckt.
Nachdem ein Angriffsversuch erkannt wurde, ist nicht nur ein sicher und zuverlässig funktionierendes System wiederherzustellen, sondern auch der Angriff zu analysieren, um so den entstandenen Schaden einzugrenzen und künftig gegen derartige Angriffe gewappnet zu sein. Mit der neu gewonnen Kenntnis ist das bestehende Sicherheitskonzept zu analysieren und zu optimieren. Eventuell sind weitere Schritte einzuleiten.
Als oberstes Ziel in einer aufzustellenden Prioritätenliste sollte eine möglichst enge Eingrenzung des Schadens stehen. Ist der Angreifer noch aktiv, kann es sein, daß die einzig sinnvolle Reaktion die Trennung vom Netz oder das Herunterfahren des Systems ist. Weitere Ziele bei der Behandlung von Angriffen sollten das Verstehen und Eliminieren der Schwachstelle, die zu dem Vorfall geführt hat, die rasche Wiederherstellung des ordnungsgemäßen Betriebs und die Identifizierung des Angreifers sein. Um diese Ziele erreichen zu können, ist eine überlegte Vorgehensweise nötig, die schon im oben angesprochenen Notfallplan festgeschrieben werden muß. Wird für die Behandlung auf die Hilfe Dritter zurückgegriffen, ist auch darauf zu achten, daß alle Beteiligten umfassend über die Angriffsindizien und die eingeleiteten Schritte informiert sind.
Eine umfangreiche Beweissicherung ist ein zentraler Punkt nach Erkennung eines Angriffs. Um beim weiteren Vorgehen keine Spuren zu verwischen, sollten als erstes Beweise gesichert werden. Da für eine spätere genauere Analyse alle Veränderungen am System festgestellt werden sollen, ist ein vollständiges Backup zu empfehlen. Ziel der Beweissicherung ist einerseits, den Angriff zu dokumentieren, um ihn in die Optimierung des Sicherheitskonzepts einfließen zu lassen, und andererseits für weitere eventuell rechtliche Schritte Beweismaterial in der Hand zu haben. Auch sollte eine erweiterte Analyse auf einem separatem System erfolgen, um den normalen Betrieb so schnell wie möglich wieder herstellen zu können.
Ein erfolgreicher Angriff sollte immer Anlaß sein, das eigene Sicherheitskonzept zu überprüfen. Wurde eine Schwachstelle aufgedeckt, muß entschieden werden, wie derartige Angriffe künftig abgewehrt werden können. Handelt es sich um einen Fehler im Sicherheitskonzept, so ist dieses natürlich umgehend zu überarbeiten. Fehler in der Software sollten natürlich, wenn noch kein Bug-Fix angeboten wird, dem Hersteller gemeldet werden. Kann dieser auch keine Lösung anbieten, ist zu untersuchen, ob die entsprechende Software ausgetauscht werden muß, oder ob der Fehler umgangen werden kann (Workaround).
Erstes Ziel der Analyse ist herauszufinden, in welchem Umfang der Angreifer in das Netz und die Rechner eindringen konnte. Wichtig ist hier vor allen Dingen, sicherzustellen, daß vom Angreifer kein weiterer Schaden angerichtet werden kann. Ist offensichtlich nur ein einzelner Rechner betroffen, sollte dieser sofort vom Netz getrennt werden, besteht aber der Verdacht, daß der Schaden größer ist und vielleicht sogar die Firewall kompromittiert wurde, muß auch über eine vollständige Abschaltung des Internetzugangs nachgedacht werden. Eine Entscheidung, welche Schritte bei welchem Vorfall einzuleiten sind, sollte Teil des Notfallplans sein.
Werden noch weitere Angriffe festgestellt, kann es sinnvoll sein, den Angreifer auf einen Quarantänerechner mit nur scheinbar wertvollen Daten zu locken, um so zu versuchen, durch eine Rückverfolgung die Identität des Angreifers festzustellen (Gummizelle). Dieser Rechner sollte immer für einen eventuellen Angriff vorbereitet sein. Benutzt der Angreifer weitere Rechner als Sprungbrett für seinen Angriff, sind diese ebenfalls zu analysieren. Deshalb müssen die Administratoren der als Sprungbrett benutzten Rechner möglichst telefonisch (und nicht per EMail) benachrichtigt werden. Auch eine Meldung an ein CERT (Computer Emergency Response Team) sollte in Betracht gezogen werden, damit dieses Hilfe bei der Koordination mit anderen Betroffenen leisten kann.
Ist im ersten Schritt die unmittelbare Gefahr gebannt worden, ist eine feinere Analyse, die eine genaue Bewertung des Angriffs liefern soll, vorzunehmen. Hierbei kann es sinnvoll sein, externe Fachleute hinzuzuziehen, und den Vorfall an ein CERT zu melden. Sobald der Angriff zu einer Strafanzeige oder personalrechtlichen Konsequenzen führen könnte, ist auf eine umfassende Dokumentation der erkannten Angriffsspuren und der durchgeführten Aktivitäten zu achten.
Sollte als Quelle des Angriffs eine andere Organisation festgestellt werden, muß zu den dort Verantwortlichen Kontakt aufgenommen werden. Da hier nicht klar ist, ob der Systemadministrator in den Vorfall verwickelt ist, sollten weisungsberechtigte und kompetente Ansprechpartner in der Organisation gesucht werden.
Weiterhin ist zu untersuchen, ob die eigenen Systeme eine Zwischenstation für Angriffe auf eine weitere Organisation waren, die dann umgehend zu informieren ist. Ist der Angriff dort noch nicht registriert, kann die rechtzeitige Information helfen, den Schaden gering zu halten und Spuren früh genug zu sichern.
Nach einer – zumindest vorläufigen – Analyse, die die Schwächen des bisherigen Zustands aufgedeckt hat, gilt es, die korrekte Funktionalität des Systems wieder herzustellen. Mit Integritätsprüfungsprogrammen (z.B. Tripwire) kann festgestellt werden, welche Dateien oder Zugriffsrechte vom Angreifer verändert worden sind. Auf diese Weise bauen Angreifer häufig "Hintertüren" ein, um später wieder auf den Rechner zugreifen zu können. Zumindest diese Dateien sind in den Ursprungszustand zurückzusetzen. Bei größeren Schäden oder im Zweifelsfall ist es jedoch sinnvoll, die betroffenen Rechner mit Hilfe eines kompletten Backups zu rekonstruieren. Bestehen Anhaltspunkte dafür, daß der Einbruch erstmalig schon vor längerer Zeit erfolgte, so daß nicht sicher ist, welches Backup noch vertrauenswürdig ist, kann die einzige Lösung nur sein, Betriebssystem, Anwendungen und aktuelle Patches der Rechner neu zu installieren.
Auch die Verfügbarkeit und die Integrität der Daten kann durch ein Wiedereinspielen der Daten wieder erreicht werden. Wurden eventuell Schlüssel kompromittiert, müssen neue gewählt und verteilt werden.
Damit ein gleich oder ähnlich gearteter Angriff künftig nicht mehr möglich ist, sind vor Wiederherstellung des normalen Betriebszustands die Lücken und Fehler, die den Einbruch ermöglichten, zu beseitigen. Ist dies nicht möglich, weil es sich evtl. um einen Softwarefehler handelt, für den es noch kein Bug-Fix gibt, oder zu aufwendig, ist zumindest eine automatische Alarmierung für den Fall eines weiteren Einbruchs einzubauen. Falls die Möglichkeit besteht, sollten die neuen Einstellungen auf die Schließung der alten und auf neue Sicherheitslöcher getestet werden.
Als vorläufig letzten Schritt zur Behandlung eines Angriffs, ist die Vervollständigung der Dokumentation des Vorfalls zu sehen. Neben der Art, wie und wodurch der Vorfall entdeckt wurde, muß sie alle Veränderungen und Schäden auflisten, sowie die Vorgehensweise bei der Behandlung des Angriffs beschreiben. Dazu gehören natürlich auch möglichst vollständige Backups der betroffenen Systeme und Aufzeichnungen über Telefongespräche und Besprechungen. Nicht nur der Angriff als solcher, sondern auch die Behandlung muß analysiert und bewertet werden. Danach sollte nach Möglichkeit das Sicherheitskonzept und der Notfallplan überarbeitet werden.
Abschließend bleibt auch zu entscheiden, ob Strafanzeige gestellt werden soll und ob personalrechtliche Konsequenzen notwendig sind. Ist der Angriff auf Fehler in Soft- oder Hardware zurückzuführen, ist der Hersteller zu informieren. Die Dokumentation kann ihm bei der Fehlersuche behilflich sein. Eine Veröffentlichung einer Zusammenfassung und Analyse des Sicherheitslochs in einschlägigen News-Groups oder Mailing-Listen kann anderen Systemadministratoren dabei helfen, ihre Systeme vor derartigen Angriffen zu schützen.
Die automatische Erkennung von Angriffen und Einbrüchen wird sinnvollerweise in den letzten Jahren immer häufiger Teil von Sicherheitskonzepten. Spezielle Eigenschaften und Anforderungen von Intrusion Detection und Response Systems werden in diesem Abschnitt behandelt. Schon einfache Programme können bei der Analyse der Protokolle sehr hilfreich sein, indem sie beispielsweise Meldungen, die nicht mit Sicherheit auf einen normalen Gebrauch schließen lassen, aus den Protokollen extrahieren. Vollwertige IDS/IRS erlauben eine Reaktion jedoch schon vor dem Auswerten der Daten, möglichst sogar bevor der Angreifer sein Ziel erreicht hat.
IDS und IRS müssen eine Reihe von Anforderungen erfüllen, damit eine angemessene Behandlung von Angriffen ermöglicht werden kann:
Ein IRS muß unterschiedliche Möglichkeiten der Angriffserwiderung anbieten, beispielsweise:
Die Daten, die einem IDS zur Auswertung zur Verfügung gestellt werden, können aus verschiedenen Quellen gesammelt werden.
Technisch besonders anspruchsvoll ist die automatische Anomalieerkennung. Bereits die Definition des normalen Zustands ist nicht unproblematisch. Beim statischen Ansatz wird aufgrund vorgegebener Parameter ein Normalwert bestimmt, von dem nur bestimmte Abweichungen, eventuell in gegenseitiger Abhängigkeit, erlaubt sind. Möglich ist hier auch eine (tages-) zeitabhängige Definition der Normalwerte. Die Normalwerte werden üblicherweise während einer längeren Lernphase in dem zu überwachenden Netz ermittelt. Ein Problem hierbei ist, daß einerseits der normale Betrieb mit der Anbindung an das Internet vom IDS erlernt werden muß, andererseits aber während der Lernphase kein Angriff erfolgen darf, da dieser sonst als Normalzustand gewertet werden würde.
Beim logischen Ansatz wird auch die zeitliche Abfolge von Ereignissen in die Analyse mit einbezogen. Beobachtet das System den Anfang einer bestimmten Ereignisfolge, so erwartet es, daß auch der Rest dieser Folge abläuft. Ist das nicht der Fall, wertet es das Systemverhalten als anomal. Auch das umgekehrte Verhalten, das Auftreten einer Ereignisfolge, die im Normalzustand nur als Reaktion auf eine andere Ereignisfolge vorkommt, wird ohne dieses Ursprungsereignis als anomaler Zustand gewertet.
Vorteile eines IDS mit Anomalieerkennung sind:
Nachteile sind:
Angreifer setzen häufig bestimmte Techniken ein, um Angriffe vorzubereiten. Einige typische Auswirkungen, die einen Angriff kennzeichnen und deutliche Signaturen hinterlassen, sollen hier als Beispiele kurz vorgestellt werden. Viele dieser Signaturen können nur als Anzeichen für einen Angriff gewertet werden, wenn sie gehäuft oder in ungewöhnlichem Zusammenhang auftreten (ein Einlogversuch mit falschem Paßwort ist sicher kein Angriff, bei mehreren hundert Versuchen, ist es eindeutig einer). Man kann die reine Signaturerkennung (tritt die Signatur auf, handelt es sich um einen Angriff; Schwellenwert = 0) von der schwellwertgesteuerten Signaturerkennung (Schwellenwert ³ 0) unterscheiden. Da Angriffsignaturen häufig zusammen mit einer Anomalie im Netzwerkprofil auftreten, können einerseits die beiden Erkennungsmethoden nicht klar getrennt werden, und wird andererseits die Erkennung eines Angriffs durch eine Kombination der beiden Methoden wesentlich zuverlässiger.
Ein TCP-Portscan ermöglicht es festzustellen, welche TCP-basierten Dienste ein Zielrechner anbietet. Ein TCP-Verbindungsaufbau geschieht normalerweise in drei Schritten:
Nun ist eine aktive Verbindung aufgebaut, die vom Zielsystem normalerweise protokolliert werden sollte, so daß sie leicht entdeckt werden kann. Verzichtet der Angreifer auf den dritten Schritt, weiß er trotzdem, daß dieser Dienst existiert. Der versuchte Verbindungsaufbau wird jedoch häufig nicht in die Log-Dateien übertragen. Programme wie Tcplog sind allerdings in der Lage, auch fehlgeschlagene Verbindungsaufbauten zu protokollieren. Werden häufige (fehlgeschlagene) Verbindungsaufbauten in relativ kurzer Zeit beobachtet, ist dies ein sicheres Zeichen für einen Angriff. Es gibt allerdings auch Portscans, die von Tcplog nicht erkannt werden.
UDP ist ein verbindungsloses Protokoll und besitzt demnach keine Verbindungsaufbauprozedur, die Informationen über angebotene Dienste geben kann. Schickt der Angreifer jedoch UDP-Anfragen an einen inaktiven UDP-Port, so antwortet der Zielrechner mit "ICMP Port unreachable", so daß der Angreifer von den inaktiven auf die aktiven Ports schließen kann. Die Vielzahl der Anfragen kann einem IDS als Signatur dienen.
Diese und einige weitere Dienste können Informationen über die Benutzer eines Systems liefern, die eventuell für einen Angriff genutzt werden können. Werden diese Dienste auffällig häufig benutzt, deutet dies auf einen bevorstehenden Angriff hin.
Diese Angriffsart wird häufig benutzt, um den Betrieb eines Rechners zu stören (Denial of Service). Die IP-Pakete sind allerdings an ihren falschen Parametern zu erkennen, so daß sie als eindeutige Signatur für einen Angriff dienen können. Beispielsweise stürzen viele Rechner aufgrund einer fehlerhaften Implementierung ab, wenn die Quell- und die Zieladresse sowie Quell- und Zielport übereinstimmen.
Dieser Angriff basiert darauf, einen Rechner oder Dienst dadurch auszuschalten, daß man ihn mit Daten "überflutet". Sendet man beispielsweise EMail in großen Mengen an einen Rechner, so wird das Spool-Verzeichnis überlaufen und kann keine weiteren Daten entgegennehmen. Bei einigen Implementierungen kann es auch zu einem Totalabsturz des Rechners kommen. Diese Angriffsart funktioniert auch mit einigen anderen Diensten, als Indiz kann einem IDS der gehäufte Bedarf an Resourcen dienen.
Ist die Quelladresse eines SYN-Pakets (das normalerweise dem Verbindungsaufbau dient) unerreichbar, weil sie gefälscht ist, wird trotzdem Arbeitsspeicher für die gewünschte Verbindung reserviert. Wird die Anfrage in schneller Folge wiederholt, bindet der Angriff im Rechner zuviel Betriebsmittel und kann seine normalen Aufgaben nicht mehr im vollen Umfang bewältigen.
Ein ICMP-Echo-Request (ping) dient normalerweise dazu, die Erreichbarkeit bestimmter Rechner zu überprüfen. Übersteigen diese ICMP-Pakete eine bestimmte in der Spezifikation vorgesehene Maximalgröße können sie aufgrund einer falschen Implementierung den Zielrechner zum Absturz bringen. Die ICMP-Echo-Request-Pakete können durch ein IDS analysiert werden, so daß auch dieser Angriff automatisch erkannt werden kann.
Mit ICMP-Echo-Requests ist es leicht möglich, die Netzinfrastruktur des Opfers zu untersuchen, indem man alle Netzadressen, die in dem Zielnetz vorkommen können, anspricht. Ping-Pakete an alle vorhandene und sogar an nicht vorhandene Rechner sind ein starkes Indiz für die Vorbereitung eines Angriffs.
Fast jedes Transportprotokoll läßt es zu, daß in seinem Datenfeld bestimmte Daten untergebracht werden, die auf der Empfängerseite interpretiert werden können. So kann beispielsweise SMB über IP übertragen (getunnelt) werden. Natürlich kann auch IP in IP eingekapselt und so getunnelt werden. Firewalls überprüfen häufig die in Datenfeldern stehenden Informationen nicht. Bestimmte getunnelte Protokolle können jedoch durch Überwachung des Netzverkehrs aufgedeckt werden.
Der Betreiber eines WWW-Servers hat die Möglichkeit, als Angreifer dem Opfer ein Dokument mit ausschließlich gefälschten URLs zuzuspielen. Der Benutzer kann diesen Angriff leicht entdecken, indem er die Statusanzeige des Browsers beobachtet. Auch ist es notwendig, daß der Benutzer die WWW-Seiten des Angreifers anwählt. Als Signatur können die für diesen Angriff notwendigen verlängerten URLs leicht von einer IDS entdeckt werden.
Vorteile der Signaturerkennung sind:
Nachteile sind:
Um die Zeit zwischen einem Angriff und der individuellen Gegenmaßnahme minimal zu halten, werden Intrusion Response Systems (IRS) entwickelt, die nicht nur versuchen, Angriffe automatisch zu erkennen, sondern auch eine angepaßte Reaktion zu initiieren. Erhält ein Angreifer Zugriff auf einen Rechner, so kann er im Rahmen der erlangten Rechte Schaden anrichten oder vertrauliche Informationen erhalten. Hier ist bei großem Risiko ein sofortiger Abbruch der Verbindung wünschenswert. Bei einem anderen Angriff, z. B. Denial-of-Service, oder bei einem Angriff, der als nicht sehr riskant angesehen wird, kann das primäre Interesse sein, den Angreifer zu identifizieren, um so nachhaltige Gegenmaßnahmen einleiten zu können. Ein weiteres Ziel einer automatischen Reaktion könnte das Beheben von Schäden sein, z. B. das Wiederherstellen gelöschter Dateien.
Mögliche Gegenmaßnahmen müssen, unabhängig davon, ob sie automatisch eingeleitet werden oder nicht, in Richtlinien vorgeschrieben werden. Die Reaktionen auf einen Angriff können und sollten abgestuft eingeleitet werden. Sie beginnen mit einer erweiterten Protokollierung, es folgt das Deaktivieren einzelner Ports bis hin zum Herunterfahren des einzelnen Systems oder des kompletten Internetzugangs.
Beim Einsatz von IRS ist neben rechtlichen Problemen (s. u.) auch zu bedenken, daß der Angreifer durch die eingeleiteten Gegenmaßnahmen Informationen über das eingesetzte IRS erlangen kann, das heutzutage häufig eine Teilfunktion des IDS ist. Kennt der Angreifer das System, kann er dessen Maßnahmen oder eventuelle (unentdeckte) Fehler für seine Ziele mißbrauchen (tarnen eines zweiten Angriffs).
Eine Sofortmaßnahme bei einem Angriff ist das Abschotten der angegriffenen Maschine. Dies kann durch Schließen der betreffenden Ports, durch Beenden von Programmen und Diensten, der Ablehnung von IP-Datagrammen, die von der angreifenden IP-Adresse kommen, oder durch Sperren des Benutzeraccounts bei internen Angriffen geschehen. Falls möglich, sollte die Ablehnung von Paketen des angreifenden Systems die erste Wahl sein. Die anderen Gegenmaßnahmen, die Dienste des angegriffenen Rechners auch für berechtigte Nutzung einzuschränken, könnte auch das Ziel eines Angriffs sein. Nachteil aller erwähnten Maßnahmen ist, daß der Angreifer durch die abgelehnten Pakete feststellen kann, daß seine Handlung entdeckt worden ist. Durch die Abschaltung ist eine weitere Protokollierung des Angriffs zumindest auf diesem Wege nicht mehr möglich ist.
Scheint der Angriff ein konkretes Ziel zu verfolgen, sollte in der Regel versucht werden, den Angreifer zu identifizieren. Das erfordert einen hohen Protokollierungsaufwand, der jedoch nicht zu jeder Zeit praktikabel ist. Die Auswahl des richtigen Zeitpunkts für eine erweiterte Protokollierung kann gut durch ein IRS bestimmt werden. Um die Sicherheit und die Vertraulichkeit der eigenen, geschützten Daten während der Identifizierung sicherstellen zu können, ist es möglich, den Angreifer in eine sogenannte Gummizelle zu locken, die automatisch bereit gestellt werden kann. Hiermit wird der Angreifer auf einen speziellen Rechner geführt, der nur scheinbar wertvolle Informationen bereithält.
In besonderen Fällen kann es sinnvoll sein, das das angegriffene System einen Gegenangriff startet, der ein Denial-of-Service des Angreifers zum Ziel hat. Technisch ist ein automatischer Gegenangriff leicht zu realisieren, problematisch bleibt dabei allerdings, daß drei Punkte sicherzustellen sind:
Derartige Gegenangriffe sollten besonders gründlich überdacht werden und sind juristisch zu rechtfertigen.
Nachdem ein Angriff festgestellt wurde und erfolgreiche Gegenmaßnahmen eingeleitet worden sind, kann weitgehend automatisch die Analyse der Dateien und Verzeichnisse auf Manipulationen und die Rekonstruktion der kompromittierten Daten erfolgen. Die Rekontruktion kann z. B. durch Wiedereinspielen des letzten Backups erfolgen. Hier ist natürlich sicherzustellen, daß ein Backup verwendet wird, das vor dem ersten erfolgreichen Angriff erstellt wurde. Das Schließen der Sicherheitslöcher, die zu dem Einbruch führten, muß jedoch weitgehend manuell erfolgen.
Auch mit IDS/IRS ist eine Wahrscheinlichkeit für unentdeckten Angriffen vorhanden. Deshalb ist auch weiterhin eine manuelle regelmäßige Kontrolle der Systeme auf Sicherheitslücken und Auffälligkeiten notwendig. Erforderlich ist auch die Auswertung der Protokolle der IDS/IRS. Weiterer Aufwand entsteht durch die Forderung der Aktualität. Da ständig neue Angriffsszenarien entdeckt werden können, ist es wichtig, ein IDS/IRS auf dem aktuellen Stand zu halten. Das bedeutet einerseits, daß Werkzeuge und Zeit zum Modellieren der Signaturen oder Anomalien zur Verfügung stehen müssen, und andererseits, daß Informationsquellen, beispielsweise Mailing-Listen, regelmäßig nach neuen Angriffsmethoden durchsucht werden. In wie weit und wie schnell der Anbieter eines IDS/IRS eine Aktualisierung der Datenbanken vornimmt, sollte in die Überlegungen einfließen.
Beim Einsatz von IDS/IRS sind die datenschutzrechtlichen Bestimmungen besonders bei der Auswertung der gewonnenen Daten von starker Relevanz. Meist sind auch Regelungen der innerbetrieblichen Mitbestimmung zu beachten. Eine mögliche Maßnahme, einen verbesserten Datenschutzes zu bieten, wäre die automatische Pseudonymisierung der Protokolldaten, so daß ein Rückschluß auf einzelne Mitarbeiter normalerweise nicht möglich ist. Eine Ausnahmeregelung muß natürlich für die Verfolgung etwaiger Verstöße gegen die eigene Sicherheitspolitik getroffen werden.
Die rechtliche Verwertbarkeit der Protokolldaten als Beweismittel vor Gericht ist umstritten, die Beurteilung der Beweiswürdigkeit steht im Ermessen des Gerichts.
DNS Domain Name Service
Dienst, der die Auflösung von Computer-Namen in numerische Internetadressen und
umgekehrt ermöglicht.
Firewall
Anordnung aus Hard- und Software, die die Verbindung zwischen Netzen auf einen
Punkt konzentriert und durch spezielle Regeln eine höhere Sicherheit liefert.
Wird häufig auch treffender als Sicherheits-Gateway bezeichnet.
ICMP Internet Control Message Protocol
ICMP dient u. a. dazu im Fehlerfall dem betroffenen Absender von IP-Paketen das
Auftreten von Netzwerkproblemen zu melden.
IDS Intrusion Detection System
System, das automatisch einen Angriffsversuch auf ein Netzwerk erkennt, und
einen Alarm beim zuständigen Administrator auslöst.
IP Internet Protocol
Zentrales Protokoll zur Datenübertragung im Internet, im OSI-Modell in der
Netzwerkschicht angesiedelt.
IRS Intrusion Response System
System, das automatisch bei einem Angriffsversuch eine geeignete Gegenmaßnahmen
einleitet.
LAN Local Area Network
Lokales Computernetzwerk.
NFS Network File System
Protokoll, das es erlaubt, Dateien und Verzeichnisse auf entfernten Dateien in
der gleichen Weise behandeln wie lokal vorhandene.
RFC Request for Comments
Sammlung von Standards, Vorschlägen für Standards und weiteren Texten, die sich
mit der technischen Seite des Internets beschäftigen.
RPC Remote Procedure Call
Dient dazu einen Dienst oder ein Programm auf einem Rechner über das Netzwerk
anzustoßen.
SMB (Service Message Block)
Dieses Protokoll wird von MS Windows-Systemen für die Organisation von gemeinsam
genutzten Dateien und Druckern genutzt.
TCP Transmission Control Protocol
Verbindungsorientiertes Tranport-Protokoll des Internets. Setzt auf IP auf.
UDP User Datagram Protocol
Verbindungsloses Transport-Protokoll des Internets. Setzt auf IP auf.
WAN Wide Area Network
Computer-Netzwerk, das auch größere Distanzen überwindet.
X-Window
Graphische Oberfläche, die es erlaubt das Frontend eines Programms auf einem
entfernten Rechner darstellen zu lassen. Obligatorischer Bestandteil von
Unix-Systemen.
am 01.02.2002 Aktualisiert by Reini