Kategorien
Intrusion Detection System
In der aktuellen ix und in der letzten Ausgabe des PHP Magazins standen Artikel über Intrusion Detection. Das PHP Magazin äußerte sich über PHPIDS, einem speziell für und in PHP entwickelten System und die ix über das Apache Modul modSecurity. Wer also nicht ganz auf den Kopf gefallen ist, merkt, wie wichtig dieses Thema momentan scheint und deswegen habe ich mich dazu entschloßen ein paar Worte darüber zu verlieren, wie es und vor allem was ein solches firewall-artige System macht.
Im Grunde genommen hilft ein Intrusion Detection System (IDS) einem Angriffe zu erkennen. In diesem Beitrag betrachten wir erstmal nur diejenigen Attacken, die über POST oder GET ausgeführt werden. Das IDS nimmt sich also alle empfangenden Request Variablen und analysiert diese auf mögliche Angriffe. Dies geschieht anhand eines Regelssets, das jedes dieser Systeme mit sich bringt. Als mögliche Regel könnte man sich vorstellen, bei allen Variablen auszusteigen, die nach SQL Injektion aussehen, also zum Beispiel ein SELECT oder DELETE als Substring aufweisen. Das gleiche könnte man sich für JavaScript Code überlegen. Natürlich ist dies nicht ganz so trivial, wie es jetzt klingt, da man als Angreifer jede Menge Möglichkeiten besitzt den Angriff zu tarnen. Die Systeme müssen also in der Lage sein diese zu untersuchenden Variablen zu normalisieren um dann ihre Regeln darauf anzuwenden. Je besser diese Normalisierung funktioniert, desto einfacher ist das verfassen des Regelsatzes.
Um besonders effizient zu sein, müssen natürlich mehrere Regeln, ähnlich wie bei einem Spamfilter, kombiniert werden. Je mehr Regeln anschlagen, desto höher ist die Wahrscheinlichkeit eines Angriffes. Das IDS hilft einem also einen Wert zu berechnen, der die Wahrscheinlchkeit eines Angriff wiederspiegelt. Je nach Wert kann dann der Administrator oder der Programmierer entscheiden, wie die Software nun reagiert. Das Programm kann komplett abgebrochen werden oder nur eine E-Mail an die Verantwortlichen versendet werden, vielleicht aber auch beides.
Natürlich konnte ich hier nur die Grundfunktionalitäten eines IDS abdecken, ich hoffe aber, dass es euch neugierig auf mehr gemacht hat und ihr jetzt fleißig ein System installiert. Aber seit gewarnt, das Einrichten einer solchen Sicherheitsinstanz ist nicht immer so einfach, das man die möglichen Angriffsvektoren erstmal genauer auf die eigenen Software anpassen muss.
