IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Zus<strong>am</strong>menfassung 73<br />
<strong>der</strong> erste Schritt ist das S<strong>am</strong>meln von Informtionen. In e<strong>in</strong>em zweiten Schritt wird <strong>der</strong> Angriff<br />
durchgeführt und dann folgen weitere Schritte zum Verwischen <strong>der</strong> Spuren. Zunächst wird e<strong>in</strong><br />
Angreifer also nach Schwachstellen suchen und erst wenn er weiß, wo er angreifen kann, wird<br />
er den ersten Angriffsversuch starten. Im Gegensatz zu über 4000 verschiedenen Mustern,<br />
die im Normalfall e<strong>in</strong> klassisches IDS kennt und die täglich aktuallisiert werden müssen, ist<br />
es <strong>in</strong> e<strong>in</strong>em ersten Schritt ausreichend, 10 bis 20 verschiedene Methoden <strong>der</strong> Informationss<strong>am</strong>mlung<br />
zu erkennen. Das Gew<strong>in</strong>nen von Informationen reicht aber nicht aus, um auf e<strong>in</strong>en<br />
tatsächlichen Angriff zu schließen. Durch vorgetäuschten Schwachstellen wird <strong>der</strong> Angreifer <strong>in</strong><br />
die Falle geführt. Sobald er versucht, e<strong>in</strong>e vorgetäuschte Schwachstelle anzugreifen, ist er identifiziert.<br />
Durch den Zus<strong>am</strong>menhang zwischen dem gezielten Suchen nach Informationen und<br />
dem darauf folgenden Angriffsversuch ist die Intention des Angreifers bekannt und beweisbar<br />
und er kann blockiert werden. Dieses Pr<strong>in</strong>zip er<strong>in</strong>nert an bereits existierende Honey-Pots. Im<br />
Gegensatz zu diesen wird e<strong>in</strong> E<strong>in</strong>bruch noch rechtzeitig verh<strong>in</strong><strong>der</strong>t.<br />
Die Vorteile dieser Methode liegen auf <strong>der</strong> Hand:<br />
• Durch die Erkennung <strong>der</strong> Intention kann <strong>der</strong> Angreifer blokiert werden, noch bevor er<br />
Schaden e<strong>in</strong>gerichtet hat. Die üblichen Methoden, wie das E<strong>in</strong>fügen temporärer Firewall<br />
Regeln, können bei rechtzeitiger Reaktion noch funktionieren.<br />
• Das IPS kann sich auf die Überwachung von Zugriffen auf vorgetäuschte Schwachstellen<br />
beschränken. Auf diese Weise wird die Systemperformance weniger bee<strong>in</strong>flusst.<br />
• Es müss nicht ständig die Signatur-Datenbank aktualisiert werden.<br />
• Die Intentionserkennung liefert viel weniger Fehlalarme, da tatsächlich e<strong>in</strong>e Interaktion<br />
zwischen dem Angreifer und dem IPS stattf<strong>in</strong>det und bewiesen werden kann.<br />
• Da es ke<strong>in</strong>e falschen Alarme gibt, können s<strong>in</strong>nvolle statistische Auswertungen aus den<br />
erkannten Angriffen erzeugt werden.<br />
Dieser Ansatz löst selbstverständlich auch nicht alle Sicherheitsprobleme, die bei e<strong>in</strong> klassisches<br />
IDS vorkommen. E<strong>in</strong> fiktiver Angreifer, <strong>der</strong> genau weiß, woh<strong>in</strong> er will und auf jegliche<br />
Informationen verzichtet, würde auch von dieser Erkennungsmethode nicht erkannt.<br />
4 Zus<strong>am</strong>menfassung<br />
Intrusion Detection Systeme haben sich zu e<strong>in</strong>em wichtigen Teil <strong>der</strong> Sicherheitsstruktur vieler<br />
Unternehmen entwickelt. Welche IDS-Architektur die beste Informationsquelle ist, kann<br />
man schwer sagen. Doch alle drei haben ihre Vor- und Nachteile. E<strong>in</strong> Hybrid-IDS-System, das<br />
Netzwerk-, Host- und Application-IDS komb<strong>in</strong>iert, ist <strong>der</strong> beste Weg, die Stärken dieser Architekturen<br />
auszunutzen. Zusätzlich zu e<strong>in</strong>em IDS sollte man von andren Abwehrmechanismen,<br />
wie Firewall und Antivirensoftware, nicht verzichten. E<strong>in</strong> NIDS kann zu e<strong>in</strong>em Flaschenhals<br />
für den Netzwerkverkehr werden, wenn es nicht über die entsprechende Bandbreite verfügt.<br />
Als Folge davon wird nicht nur die Übertragungsgeschw<strong>in</strong>digkeit “gebremst“, son<strong>der</strong>n es werden<br />
nicht alle Pakete analysiert. E<strong>in</strong> HIDS wird e<strong>in</strong>gesetzt, um die Sicherheit von bestimmten<br />
Rechner (Server) zu gewährleisten. Das HIDS belastet jedoch das Host-Betriebssystem. Die<br />
Tatsache, dass e<strong>in</strong> IDS e<strong>in</strong> Alarmsystem darstellt, aber ke<strong>in</strong>en Schutz vor Angriffen bietet,<br />
ist das grösste Problem von IDS überhaupt. Auch die automatischen Reaktionen e<strong>in</strong>es IDS<br />
f<strong>in</strong>den statt, erst nachdem die Attacke bereits Schäden e<strong>in</strong>gerichtet hat.<br />
IPS bieten e<strong>in</strong>en viel versprechenden Ansatz, um die Netzwerk- und Systemsicherheit im Vergleich<br />
zu IDS weiter zu erhöhen. Durch neue Erkennungstechnologien wird versucht, e<strong>in</strong>en<br />
Angriff genauer und frühzeitig zu erkennen und zu blockieren, noch bevor er Schaden e<strong>in</strong>gerichtet<br />
hat.<br />
Sem<strong>in</strong>ar – <strong>IT</strong>-<strong>Management</strong> <strong>in</strong> <strong>der</strong> <strong>Praxis</strong>