Was ist Intrusion Response?
Nach dem das ID-System einen Angriff analysiert hat, sollte es in der Lage sein zu reagieren und evtl. Gegenmaßnahmen einleiten. Normalerweise sollte ein ID-System eine Intrusion-Response-Komponente besitzen, um Gegenmaßnahmen automatisch einleiten zu können. Diese Gegenmaßnahmen können vom Versenden der Benachrichtigung an den Analysten bis zur selbständigen Rückverfolgung des Angreifers reichen. In diesem Abschnitt werden die einzelnen Möglichkeiten der Gegenmaßnahmen und Benachrichtigungen, bei Angriffen beschrieben. Im Allgemeinen kann unterschieden werden nach aktiven und passiven Reaktionen (Responses), wobei das ID-System in die Lage versetzt wird entweder selbständig zu handeln, um die Angriffe z.B. zu blockieren oder das ID-System speichert alle Vorkommnisse und verschickt Reports an den Analysten.
Aktives Intrusion Response
Die aktiven Responses werden unterteilt nach Gegenmaßnahmen gegen einen Angreifer, Verbesserung der Systemumgebung und dem Sammeln zusätzlicher Informationen.
Gegenmaßnahmen
Die Gegenmaßnahmen gegen einen Angreifer werden eingeleitet, in dem man die Quelladresse zurückverfolgt und so versucht den Angreifer ausfindig zu machen. Diese Gegenmaßnahmen können durch einen Benutzer (Systemanalyst) oder automatisch durch das ID-System erfolgen. Bei Angriffen, die über Provider gestartet werden, also eine Einwahl benötigen, kann zu mindestens der Systemadministrator ausfindig gemacht werden. Der Systemadministrator kann dann den Angreifer ausfindig machen, indem er die Quelladresse in seinen Logfiles vergleicht und somit den Benutzer ausfindig macht. Meistens hat dies für den Angreifer eine Abmahnung zur Folge.
Pflege der Systemumgebung
Ein gutes ID-System unterstützt den Analysten bei der Pflege der Systemumgebung. Wenn Angriffe oder Systemlücken erkannt werden, reagiert das ID-System mit einer Meldung an den Analysten. Die Meldung sollte den Angriffstyp und die Gegenmaßnahmen gegen den Angriff beinhalten bzw. auf Updates und Patches der betroffenen Systemkomponente hinweisen.
Somit kann der Analyst, am besten direkt über einen Link zum jeweiligen Update oder Patch, das System gegen bereits bekannte Angriffe absichern.
Informationssammlung
Eine der besten Gegenmaßnahmen, um ein System zu schützen ist, dass der Analyst bereits Informationen über Angriffe erhält bevor sie überhaupt erst im Produktivsystem auftreten. Diese Art von Information kann gesammelt werden, wenn man einen Honeypot einrichtet und die Aktivitäten auf diesem System beobachtet. Auf einem Honeypot können neue Angriffsarten und vor allem in Frage kommende Angreifer vor einem tatsächlichen Angriff bereits überwacht und analysiert werden. Im Vorfeld könnten schon Signaturen und Filter erstellt werden, welche die eigentlich wichtige Systemumgebung schützen.
Passives Intrusion Response
Die passiven Reaktionen (Responses) beziehen sich meist nur auf Alarmierung oder Benachrichtigung des Analysten. Es wird dem Analysten also alleine überlassen, ob er reagiert oder nicht. ID-Systeme, welche nur Meldungen und Alarme ausgeben waren früher üblich und die Analysten mussten entscheiden, welchen Schweregrad diese Meldung hatte. Im Einzelnen werden die verschiedenen Möglichkeiten eines ID-Systems, den Analysten zu benachrichtigen kurz beschrieben.
Alarme und Benachrichtigung
Die meisten ID-Systeme benachrichtigen den Analysten über ein plötzliches öffnen eines Fensters auf dem Desktop bzw. durch Alarmklänge. Die Meldungen sind je nach ID-System sehr bis weniger aussagekräftig. Meldungen können von „Ihr System wurde angegriffen“ bis zu Meldungen die sehr umfangreich sein können und Informationen wie Quelladresse, Zieladresse, Portnummer und Art des Angriffs usw. enthalten.
SNMP Traps und Plug-Ins
Diese Variante der Benachrichtigung und Alarmmeldung arbeitet mit Netzwerkmanagementtools zusammen. Meistens sind dies kommerzielle ID-Lösungen, die das Simple Network Management Protokoll oder Plug-Ins nutzen, um die Alarme und Benachrichtigungen in vorhandene Systemkomponenten zu integrieren.
Weiterführende Informationen
Diese Informationen könnten Sie ebenfalls interessieren:
- Detaillierte Erklärung zu Intrusion Response (Englisch)