Facebook
Twitter
Google+
Kommentare
0
Willkommen bei "the web hates me". Mittlerweile hat unser Team ein tolles neues Monitoringtool für Agenturen gelauncht. Unter dem Namen koality.io haben wir einen Service geschaffen, der er Agenturen ermöglicht mit sehr geringen Kosten alle Ihre Webseiten zu überwachen.

Intrusion Detection System

In der aktuellen ix und in der letzten Ausgabe des PHP Magazins standen Artikel über Intrusion Detection. Das PHP Magazin äußerte sich über PHPIDS, einem speziell für und in PHP entwickelten System und die ix über das Apache Modul modSecurity. Wer also nicht ganz auf den Kopf gefallen ist, merkt, wie wichtig dieses Thema momentan scheint und deswegen habe ich mich dazu entschloßen ein paar Worte darüber zu verlieren, wie es und vor allem was ein solches firewall-artige System macht.

Im Grunde genommen hilft ein Intrusion Detection System (IDS) einem Angriffe zu erkennen. In diesem Beitrag betrachten wir erstmal nur diejenigen Attacken, die über POST oder GET ausgeführt werden. Das IDS nimmt sich also alle empfangenden Request Variablen und analysiert diese auf mögliche Angriffe. Dies geschieht anhand eines Regelssets, das jedes dieser Systeme mit sich bringt. Als mögliche Regel könnte man sich vorstellen, bei allen Variablen auszusteigen, die nach SQL Injektion aussehen, also zum Beispiel ein SELECT oder DELETE als Substring aufweisen. Das gleiche könnte man sich für JavaScript Code überlegen. Natürlich ist dies nicht ganz so trivial, wie es jetzt klingt, da man als Angreifer jede Menge Möglichkeiten besitzt den Angriff zu tarnen. Die Systeme müssen also in der Lage sein diese zu untersuchenden Variablen zu normalisieren um dann ihre Regeln darauf anzuwenden. Je besser diese Normalisierung funktioniert, desto einfacher ist das verfassen des Regelsatzes.

Um besonders effizient zu sein, müssen natürlich mehrere Regeln, ähnlich wie bei einem Spamfilter, kombiniert werden. Je mehr Regeln anschlagen, desto höher ist die Wahrscheinlichkeit eines Angriffes. Das IDS hilft einem also einen Wert zu berechnen, der die Wahrscheinlchkeit eines Angriff wiederspiegelt. Je nach Wert kann dann der Administrator oder der Programmierer entscheiden, wie die Software nun reagiert. Das Programm kann komplett abgebrochen werden oder nur eine E-Mail an die Verantwortlichen versendet werden, vielleicht aber auch beides.

Natürlich konnte ich hier nur die Grundfunktionalitäten eines IDS abdecken, ich hoffe aber, dass es euch neugierig auf mehr gemacht hat und ihr jetzt fleißig ein System installiert. Aber seit gewarnt, das Einrichten einer solchen Sicherheitsinstanz ist nicht immer so einfach, das man die möglichen Angriffsvektoren erstmal genauer auf die eigenen Software anpassen muss.

Über den Autor

Nils Langner

Nils Langner ist der Gründer von "the web hates me" und auch der Hauptautor. Im wahren Leben leitet er das Qualitätsmanagementteam im Gruner+Jahr-Digitalbereich und ist somit für Seiten wie stern.de, eltern.de und gala.de aus Qualitätssicht verantwortlich. Nils schreibt seit den Anfängen von phphatesme, welches er ebenfalls gegründet hat, nicht nur für diverse Blogs, sondern auch für Fachmagazine, wie das PHP Magazin, die t3n, die c't oder die iX. Nebenbei ist er noch ein gern gesehener Sprecher auf Konferenzen. Herr Langner schreibt die Texte über sich gerne in der dritten Form.
Kommentare

Leave a Comment.

Link erfolgreich vorgeschlagen.

Vielen Dank, dass du einen Link vorgeschlagen hast. Wir werden ihn sobald wie möglich prüfen. Schließen