Sicherheit
IDS/IPS wird fester Bestandteil jeder Next-Generation-Firewall
Die Intrusion-Detection- und Intrusion-Prevention-Technologie gehört seit einem Jahrzehnt zu den essenziellen Sicherheitsmechanismen der Unternehmen. Diese Systeme arbeiten im Verborgenen und werden daher nicht wahrgenommen. Inzwischen scheint es jedoch, dass die speziellen IDS/IPS-Appliance vom Markt verschwinden. Fakt ist, dass diese Sicherheitstechniken inzwischen in die Next-Generation-Firewalls integriert werden.
ls Intrusion-Prevention-Systeme (IPS) werden solche Geräte bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus, Zusatzfunktionen bereitstellen, die einen entdeckten Angriff abwehren können. Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, wann von einem Intrusion-Prevention-System gesprochen werden kann und welche Funktionen ein solches System bereitstellt.
Ein Intrusion-Detection-System (IDS) erkennt Attacken auf IT-Systeme und Netze und generiert Alarme bei deren Auftreten. Hierfür nutzen IDS-Komponenten spezielle Sensoren zum Aufspüren anormaler Verkehrsströme. Die Sensoren vergleichen den eingehenden Datenverkehr mit vorgegebenen Mustern (Signaturen). Da bei dieser Erkennungsmethode nur bereits bekannte Angriffsmuster auffallen und für neue Angriffsarten noch keine Muster vorliegen, wurde zusätzlich die so genannte Anomalieerkennung erfunden. Hierzu zählt jedes Verhaltensmuster, das sich außerhalb des normalen Datenverkehrs bewegt.
Ein Intrusion-Prevention-System (IPS) hat keine überwachende und alarmauslösende Funktion, sondern kontrolliert unmittelbar den ein- beziehungsweise ausgehenden Datenverkehr. Vom normalen Datenverkehr abweichende Bitmuster werden über Signaturen erkannt und der Datenverkehr blockiert. Unterstützt wird diese Sperrfunktion durch intelligente Verhaltensmuster und Anomalieerkennungsalgorithmen, die auf der Applikationsebene arbeiten. Mit Hilfe von Deep-Packet-Inspection und Pattern-Scan-Technologien wird der schädliche Verkehr ausgefiltert und somit die IT-Infrastruktur auch vor heimtückischen Angriffsszenarien geschützt.
Der Markt der IDS/IPS-Systeme entwickelte sich sehr schnell, aber viele Geräte waren noch nicht ausgereift, die Erkennungsraten waren widersprüchlich, und High-Performance-Lösungen hatten extrem hohe Preise. In den vergangenen 10 Jahren wurden die IDS/IPS-Funktionen praktisch in allen Security-Appliances implementiert. Die Anomalieerkennungsraten und die Qualität der unterschiedlichen Hersteller glichen sich aneinander an. Dies hatte natürlich Auswirkungen auf die Marktpreise. Inzwischen basieren viele IDS/IPS-Systeme auf handelsüblicher Hardware, welche durch speziell angefertigte Chipsätze und integrierte Switching-Fabrics eine hohe Performance, zu erschwinglichen Preisen gewährleisten. Aus diesem Grund ist es nicht verwunderlich, dass die IDS/IPS-Funktionen in die Firewalls abwandern.
Firewalls bilden in den Unternehmen die zentralen Punkte zur Durchsetzung der Sicherheitsrichtlinien (Security-Policies). Klassische Firewalls regulieren den Datenverkehr lediglich auf Protokoll- und Port-Basis. Diese Schutzmechanismen lassen sich aber relativ einfach umgehen und der daraus resultierende Kontrollverlust wirkt sich für die Unternehmen negativ aus: Performance-Probleme, Verstöße gegen gesetzliche oder auch interne Richtlinien, erhöhte Betriebskosten oder sogar der Verlust von Daten. Zusätzliche Erkennungswerkzeuge auf den Firewalls erhöhen zwar die Sichtbarkeit, haben jedoch eine Verringerung der Performance und eine Erhöhung der Latenzen und der Betriebskosten zur Folge. Die Lösung dieses Dilemmas erfordert eine neue Herangehensweise an das Sicherheitsthema. Aus diesem Grund entwickelt die Industrie das Konzept der „Next Generation Firewalls (NGFW)“.
- IDS/IPS wird fester Bestandteil jeder Next-Generation-Firewall
- Next-Generation-Firewalls
- Trotz NGFWs bleibt der Stand-alone-IPS-Markt stabil
Lesen Sie mehr zum Thema
