IPS / IDS

Intrusion Prevention Systeme - Digitale Wachposten

Sicherheitskonzepte

Zum Sicherheitskonzept heutiger IT-Infrastrukturen zählen präventive Bestandteile wie Paketfilter, Application Level Gateways, Content Filtering, Verschlüsselung und Patch Management.

Hierdurch wird in erster Linie ein statisches Schutzniveau definiert, welches hauptsächlich im Perimeterbereich zwischen erlaubter und verbotener Kommunikation unterscheidet. Aber gerade die erlaubten Kommunikationsbeziehungen zwischen Netzwerkteilnehmern unterschiedlicher Schutzstufen bedürfen einer eingehenderen Untersuchung. Dies gilt insbesondere aufgrund der Tatsache, dass häufig die internen Kommunikationsbeziehungen kaum reglementiert werden können und das Schutzniveau der internen Kommunikationswege nicht gewährleistet ist.

Die aktuellen Netzwerk-Angriffe treten in immer kürzeren Zeitabständen auf, sind aggressiver und häufig nicht zielgerichtet auf einzelne Systeme konzentriert. Damit sind zwangsläufig durch Zeit- und Ressourcenmangel in jedem Netzwerk immer Systeme vorhanden, die durch statische Sicherheitsvorkehrungen nicht optimal geschützt sind und demzufolge ein Angriffsziel bieten.

Proaktives Management

Diesen Bedrohungen kann man mit einem proaktivem Sicherheitsmanagement entgegentreten. Hierzu zählen in erster Linie die Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS). Mit diesen Werkzeugen können insbesondere die zugelassenen Datenströme auf Schadcode untersucht und ein Schutz gegen neue, unbekannte Ereignisse realisiert werden. Grundlage beider Verfahren ist die Erkennung von unerwünschten Dateninhalten oder Abweichungen vom „Normalen“ (Anomalie), gefolgt vom Auslösen entsprechender Aktionen.


Erkennungstechniken

Mustererkennung

Das Pattern oder Bytecode Matching ist die am häufigsten eingesetzte Technik zur Erkennung von Einbruchsversuchen. Dabei wird der gesamte Datenstrom zunächst durch ein Packet Capture-Modul erfasst und anschließend mit Signaturen bekannter Angriffe verglichen. Diese Signaturen enthalten Zeichenfolgen, die charakteristisch für den Bytecode eines Angriffs sind, und lassen sich gut mit Virensignaturen vergleichen.

Protokollanalyse

Da die Mustererkennung sehr rechenintensiv ist, arbeiten moderne ID/IP-Systeme zusätzlich mit der Protokollanalyse. Zuerst werden die Datenpakete dem OSI-Schichtenmodell zufolge bis zum Layer 4 dekodiert und dann der entsprechende Payload der Pakete mit bekannten Angriffssignaturen verglichen. Dieser Ansatz bietet darüber hinaus den Vorteil, dass auch leicht veränderte Bytecodes durch die Dekodierung erkannt werden.

Anomalieerkennung

Differenziert von den statischen Angriffssignaturen arbeitet die Anomalieerkennung  mit der Abweichung vom typischen, regulären Verhalten in Referenzprofilen. Gerade in dieser Erkennungsmethode liegt das große Potenzial der ID/IP-Systeme, aber auch ihre Schwäche bei Fehlkonfigurationen. Die Festlegung der charakteristischen Verhaltensmuster kann je nach verwendetem Produkt über eine Selbstlernphase oder die Erstellung von Richtlinien aus definierten Vorlagen für die zu überwachenden Kommunikationspfade erfolgen. Dieses heuristische Verfahren kann dabei die Verhaltensmuster auf der Basis von Benutzern, Programmen, einzelnen Diensten oder der gesamten Kommunikationsabläufe analysieren und Abweichungen erkennen. Die Anomalieerkennung besitzt keine Latenzzeit, wie sie bei der Aktualisierung der Signaturupdates zum Tragen kommen kann. Gerade die Anomalieerkennung bietet Schutz gegen die heutigen Bedrohungen im Netzwerk wie DDoS-Angriffe oder Wurmattacken.

Beispiele für Anomalieerkennungen:

  • Außergewöhnliche Zeiten, in denen Dienste genutzt werden

  • Häufung von Regelverstössen auf der Firewall

  • Wiederholte fehlerhafte Anmeldungen bei Applikationen

  • Überdurchschnittliche Nutzung von Diensten

  • Zunahme von Syn-Paketen innerhalb bestimmter Netzsegmente

Aus den obigen Beispielen geht hervor, dass das „Baselining“ und die Definition der Grenzwerte (Thresholds) detailliertes Wissen über das eigene Netzwerk erfordern. Gute Produkte im IDS/IPS-Umfeld zeichnen sich durch ausgeklügelte Mechanismen aus, die bei der Implementierung helfen.


Von der Erkennung zur Reaktion

An dieser Stelle unterscheiden sich die Intrusion Detection von den Intrusion-Prevention-Lösungen. Ein IDS verfügt idealerweise über ein ausgezeichnetes Reporting, mit dem die erkannten Angriffe durch die Systembetreuer ausgewertet werden. Darüber hinaus ermöglichen sie die forensische Analyse von Angriffen.

Wichtig sind für die Interpretation der IDS Alarme aktuelle Dokumentationen der beteiligten Systeme und Netze sowie ein „Change Management“ für die Änderungen, die durch die Alarme bedingt werden. Die gesamten Alarmierungs- und Eskalationskonzepte einer IDS-Implementierung setzen als reaktitive Schnittstelle aber immer die Analyse durch den Anwender ein, wodurch ein deutlicher Mehraufwand bei der Nutzung eines reinen IDS entsteht.

Fire and Forget

Der Übergang von dem klassischen Auditieren des Netzwerks zum proaktiven und automatischen Sicherheitsmanagement ist fließend und wird durch die Aktionen definiert, die das IPS zur Verfügung stellt. Daher arbeitet das ideale IPS als Gateway mit Inline-Scanning der zu überwachenden Datenströme. Hieraus resultiert der große Vorteil der „first packet protection“, bei der alle Pakete mit verdächtigem Inhalt sofort mit vordefinierten Aktionen entschärft werden können. Dazu stehen den gängigen Inline-Produkten verschiedene Verfahren zur Verfügung:

Pakete können geblockt oder verworfen und teilweise auch modifiziert (IP-Adressen, Ports, Payload) werden. Diese Blocking-Verfahren werden dabei entweder auf einzelne Pakete oder die gesamte zugehörige Session angewendet. Desweiteren sind viele Produkte dazu in der Lage, verdächtige Datenströme direkt zu speichern oder sie umzuleiten, damit forensische Analysen möglich sind. Wie das klassische IDS stellen natürlich die Intrusion Prevention Systeme ebenfalls umfangreiche Alarmierungsfunktionen zur Verfügung (Email, SMS, Pager-Meldungen, SNMP-Traps und Syslog-Funktion).

Reporting – das unverzichtbare Werkzeug

Die erfolgreiche Einführung eines Intrusion Prevention Systems ist insbesondere bei aktivierter Protokoll- und Anomalie-Erkennung von einer intensiven Kalibrierungsphase abhängig. Hier helfen klar strukturierte und intuitive Managementoberflächen bei der Konfiguration der Systeme, da bei zu rigiden Erkennungsregeln eine Vielzahl an Alarmen analysiert werden muss. Sowohl das Reporting als auch die Konfiguration erfolgt bei vielen Appliance-Lösungen direkt auf dem IPS meist über Webfrontends (HTML und Java), darüber hinaus sind aber auch zentrale Managementlösungen verfügbar. Von den Managementstationen können verteilte Installationen bequem administriert und ausgewertet werden, zumeist sind die Reportingfunktionen hier datenbankgestützt und entsprechend detailliert.

Spreu und Weizen

Der direkte Eingriff in die Unternehmenskommunikation durch automatisierte Intrusion Prevention kann sich bei schlechter Konfiguration und unzureichender Produktqualität negativ auf den Betrieb des Netzwerks auswirken. Insbesondere darf die Analyse des Datenstroms die Latenz im Netzwerk nicht beeinflussen und muss in Echtzeit stattfinden. Wie im Switching-Umfeld mittlerweile üblich, setzen sich bei den IPS-Lösungen die ASIC-basierten Systeme leistungstechnisch an die Spitze der zur Verfügung stehenden Lösungen, da hier Sessions mit vollem Leitungsdurchsatz mitgeschnitten, reassembliert und analysiert werden können. High-End-Systeme bieten heute Durchsatzraten vom mehreren Gbps und ermöglichen so den Einsatz in Backbone-Leitungen.

Die Qualität der Signaturen und Protokolldekoder ist ebenfalls entscheidend für den reibungslosen Einsatz, genau wie die Algorithmen der Anomalieerkennung. Damit ein wirksamer Schutz des Netzwerks gewährleistet wird, sollten alle relevanten Protokolle innerhalb der Datenströme unterstützt und ab dem OSI-Layer 3 aufwärts dekodiert werden können. Weitere Aspekte bei der Auswahl geeigneter Produkte sind die Hochverfügbarkeitskonfiguration und die Analyse von geteilten physikalischen Datenströmen(beispielsweise in Umgebungen mit Loadbalancern).

Das IPS-Gateway als zentrale Überwachungsinstanz kann durch hostbasierte IDS/ IPS-Lösungen sinnvoll ergänzt werden. Diese erfassen neben Informationen aus den ankommenden Paketen vor dem Netzwerkstack des Betriebssystems auch hostspezifische Aktionen wie die Veränderung von Daten oder die Ausführung von Systemcalls. Integrierte Lösungen, die zentral administrierte IPS-Implementierungen vom Gateway bis zum Hostsensor anbieten, sind am Markt verfügbar. Dennoch bietet in einem solchen Einsatzszenario die Verwendung unterschiedlicher Produkte ähnlich einem zweistufigen Virenschutzkonzept ein Zugewinn an Sicherheit.

Produkte am Markt

Durch die wachsende Zahl an gefährlichen Angriffen über das Netzwerk ist die Breite an verfügbaren Lösungen schon fast unüberschaubar. Zudem integrieren viele Hersteller anderer Sicherheitslösungen (Firewalls, Content-Security-Lösungen) Teile der IPS-Funktionalität in ihre Produkte. Bei den Herstellern der dedizierten IDS/IPS-Lösungen sind insbesondere die Produkte von Tipping Point (IPS), ISS (Proventia und Realsecure), Radware (Defense Pro), Toplayer (Attack Mitigator) und McAfee (Intrushield) hervorzuheben.

Aus diesem Lösungsportfolio kann magellan für jedes Einsatzszenario in Netzwerken beliebiger Größe die optimale Implementierung empfehlen. Dabei stehen wir unseren Kunden von der Konzepterstellung einer IPSImplementierung über die Integration bis hin zum „Managed Security Service“ der Intrusion Prevention Lösung zur Seite.

Vorteile/Eigenschaften IPS:

  • Hochperformante Inline-Analyse in Echtzeit

  • Automatische Überwachung beliebiger Netzstrukturen

  • Erkennung und Analyse von Angriffen mit Eventkorrelation

  • First-Packet-Protection

  • Schutz unsicherer Applikationen

  • Dynamische virtuelle Firewalls (Layer 3-7)

  • Virtuelles Patchmanagement