Firewalls, Antivirensoftware und Patches sind ein hinreichender Schutz für IT-Systeme – diese Sichtweise hält sich hartnäckig. Entsprechend betrachten IT-Verantwortliche diese klassischen Schutzmechanismen oft als ausreichend. Da aber immer mehr Geschäftsprozesse über das Internet ablaufen, haben sich die Anforderungen an die Sicherheit signifikant erhöht.

Wirksame Intrusion-Prevention umfasst alle relevanten Kommunikationsebenen ab Layer-2 und untersucht möglichst viele Protokolle.

Eine Studie des Computer Security Institutes in San Francisco aus dem Jahr 2004 fand heraus, dass jedes zweite Unternehmen von einer ernsthaften Sicherheitslücke betroffen war, obwohl 99 Prozent sowohl Firewalls als auch Antivirensoftware einsetzten. Kein Wunder, müssen Firewalls doch immer größere Mengen an geschäftskritischen Daten von außen akzeptieren – beispielsweise von E-Mails, Web-Services oder VPN-Daten von Partnern und mobilen Mitarbeitern. Alles in allem bieten Firewalls zwar eine gewisse Kontrolle über Protokolle und offene Ports, analysieren den eigentlichen Paketinhalt aber nur unzureichend. Außerdem werden gefährliche Daten, die von legitimen Ports gesendet werden, von der Firewall nicht gestoppt. Auch gegen Angriffe von innen – etwa gegen Viren, die unabsichtlich oder gewollt durch Datenträger oder mobile Endgeräte wie Laptops eingeschleppt werden – ist die Firewall machtlos.

Selbst ständiges Patchen der Systeme bietet keinen umfassenden Schutz. Welchen Administrationsaufwand das Aufspielen eines Patches konkret bedeutet, zeigt ein Beispiel der US Air Force: Laut einem Artikel aus dem Forbes Magazine benötigen die dortigen IT-Verantwortlichen ganze 30 bis 60 Tage, um einen einzigen Patch auf die Systeme in den 110 Stützpunkten zu bringen. Gleichzeitig haben sich die Zeitfenster vom Patch bis zum ersten Angriff dramatisch verkürzt: Verging beim Wurm Nimbda fast ein ganzes Jahr von der Ausgabe des Patches bis zum Angriff, erfolgte der Sasser-Angriff ganze 17 Tage, nachdem Microsoft einen Patch für die betroffene Windows-Systemdatei bereitgestellt hatte. In Zukunft wird sich die Situation noch weiter verschärfen: Der Day-Zero-Angriff auf neue, unbekannte Sicherheitslücken ist bereits in Sichtweite.

Für die IT-Verantwortlichen in Unternehmen besteht dringend Handlungsbedarf. Firewalls, Antivirensoftware und reguläre Patch-Zyklen können die steigende Geschwindigkeit, mit der neue Bedrohungen aus dem Internet auftauchen, nicht mehr abdecken. Vielmehr erfordern die immer häufiger und schneller lancierten Angriffe gegen Schwachstellen in Betriebssys-temen und Programmen integrierte Lösungsansätze. Die Systeme benötigen einen temporären Schutzschild, damit genügend Zeit bleibt, Patches auf die Systeme zu bringen. Eine Lösung bieten Intrusion-Prevention-Systeme (IPS), die Gefahren blocken, bevor diese in ein Unternehmensnetzwerk eindringen.

Wirksamer Schutz gegen Angriffe

Nähert man sich dem Begriff Intrusion-Prevention-System von der rein wörtlichen Bedeutung, so handelt es sich um eine Lösung, die das Ziel hat, einen Angriff zu verhindern. IPS sitzen inline und untersuchen die Datenpakete, die die Firewall zuvor mit ihren beschränkten Analyseverfahren als legitimen Netzwerkverkehr eingestuft hat. Zu diesem Zweck kommen Hardware- oder Software-Agenten zum Einsatz, die den Netzwerk-Traffic überwachen und entscheiden, ob Datenpakete passieren dürfen. Dabei werden Angriffe nicht nur angezeigt, sondern auch geblockt. In der Praxis unterscheidet man zwei Arten von Intrusion-Prevention-Systemen: Netzwerk- und Host-IPS. Netzwerk-IPS sind in der Regel Appliances, die wie andere Komponenten innerhalb des Netzwerkes sitzen. Sie überwachen den gesamten Datenfluss zwischen einem bestimmten Segment, das sie schützen sollen, und dem übrigen Netzwerk. Als harmlos eingestufte Datenpakete werden wie in einem Layer-2- oder Layer-3-System weitergeleitet. Sind die Datenpakete eindeutig als gefährlich identifiziert, verwirft das IPS die Pakete. Durch einen einzigen Kontrollpunkt sind damit alle nachfolgenden Bereiche geschützt. Mit solchen Tools lassen sich beispielsweise auch DoS- und DDoS-Attacken abwehren, die das Netzwerk mit irrelevantem Traffic überfluten und lahm legen sollen.

Ein Host-IPS wiederum ist ein Software-Programm, das auf Servern, Workstations oder Notebooks aufgespielt wird. Das Host-IPS verhindert zum einen die Ausführung schädlicher Programme auf dem Host und untersucht zum anderen den Traffic, der von einzelnen Systemen ausgeht oder diese erreicht. Es wirkt in zwei Richtungen: Zum einen wird verdächtiger Traffic, der vom Host ausgeht, direkt an der Netzwerkschnittstelle geblockt. Dies ist zum Beispiel von Bedeutung, wenn ein Mitarbeiter auf seinem Desktop den infizierten Dateianhang einer E-Mail öffnet oder Viren per CD, Floppy oder Flash-Speicher einschleppt – ob unbedacht oder mit Absicht. Zum anderen ist das IPS eine letzte Verteidigungslinie für den Host, falls andere Sicherheitstools versagen. Außerdem bietet es Schutz, falls ein Angriff zwischen Systemen innerhalb eines Netzsegmentes stattfindet. In diesem Fall würde der Datenstrom kein Netzwerk-IPS passieren, denn diese sitzen jeweils zwischen den einzelnen Netzwerksegmenten. Ein Host-IPS sorgt dafür, dass der Angriff trotzdem entdeckt wird. Daher ist die Kombination aus beiden Technologien der effektivste Schutz.

Der kleine Unterschied

Für die Auswahl eines IPS sollten IT-Verantwortliche folgendes beachten: Wirksame Intrusion-Prevention umfasst alle relevanten Kommunikationsebenen ab Layer-2 und untersucht möglichst viele Protokolle. Angriffe müssen in Echtzeit geblockt werden. Das IPS sollte sich unabhängig von der Netzwerktopologie und inline implementieren lassen, denn nur so lässt sich der Traffic wirklich umfassend überwachen.

Besonders kritisch für ein Inline-IPS ist das Thema Geschwindigkeit: Je nachdem, wo das System zum Einsatz kommt, muss es bestimmte Bandbreiten unterstützen – sonst wird die Intrusion-Prevention schnell zum verstopften Flaschenhals. IPS dürfen die Ressourcen nicht schmälern, sondern müssen dafür sorgen, dass die Daten das Netz in ungebremster Performance passieren. Gleichzeitig sollte sich das IPS analog zum Netzwerk skalieren lassen.

Ein IPS sollte schadhafte Codes simultan analysieren, und zwar anhand von Signatur-basierten Algorithmen als auch von Policy-, Behaviour- und Anomalie-basierten Algorithmen. Gleichzeitig muss die Zahl der Fehlalarme auf ein Minimum begrenzt sein – wird legitimer Traffic aktiv geblockt, steigt die Gefahr eines hausgemachten Denial-of-Service.

Auch eine feine Justierung ist notwendig: Die Filter eines IPS sollten sich genau definieren lassen. Zudem ist es sinnvoll, wenn sich das System sowohl im Intrusion-Detection- als auch im Intrusion-Prevention-Modus betreiben lässt, so dass IT-Verantwortliche zwischen reiner Überwachung und aktivem Blocken wählen können. Moderne Intrusion-Prevention-Systeme, wie die Proventia-Appliance von ISS, verfügen darüber hinaus über einen Simulationsmodus, der anzeigt, was das System geblockt hätte. Dieser Modus ist hilfreich, wenn es darum geht, das IPS an den tatsächlichen Datenverkehr anzupassen. Ein zentrales Management aller eingesetzten IPS-Appliances ist ebenfalls wichtig. Damit einher geht die Korrelation der umfangreichen Analyse-Daten zu einem sinnvollen Reporting: Meldungen verschiedener Agenten zu ein und dem selben Angriff beispielsweise sollten als eine Meldung gebündelt beim Administrator eingehen.

Rundum geschützt

Alles in allem sind Intrusion-Prevention-Systeme ein wichtiger Bestandteil jeder IT-Sicherheitsstrategie. Für Unternehmen, für die ein Multi-Layer-Ansatz – also Firewall, Antivirus oder IPS/IDS von verschiedenen Herstellern – zu aufwändig und zu kostspielig ist, bieten einige Anbieter Multifunktions-Appliances. Diese verfügen über ein »Best of Breed« aus VPN kombiniert mit IDS/IPS-, Firewall- und Antiviren-Funktionen, Content-Filter und Anti-Spam. Solche All-in-One-Appliances sind weniger aufwändig zu administrieren und eignen sich für Unternehmen bis 2500 User oder ähnlich große Niederlassungen von Konzernen.

Last but not least gilt: Ein Intrusion-Prevention-System, ob als Stand-Alone- oder Teil einer Multifunktions-Appliance, ist immer nur so gut wie das Wissen des Herstellers um Schwachstellen und schädliche Codes. ISS beispielsweise forscht zu diesem Zweck permanent nach Sicherheitslücken in Systemen. Dazu unterhält das Unternehmen ein eigenes Forschungszentrum mit über 150 Experten, die so genannte X-Force. Die Forschungsergebnisse der X-Force werden automatisch in Updates für die Sicherheitslösungen von ISS umgesetzt. Angesichts von acht bis neun neuen Sicherheitslücken, die die X-Force Tag für Tag dokumentiert, zeigt sich einmal mehr die Notwendigkeit für zusätzliche Schutzmaßnahmen.

Intrusion-Prevention vs. Intrusion-Detection

Auch Intrusion-Detection-Systeme (IDS) spielen als Ergänzung zur Firewall schon seit längerem eine Rolle. IDS sind eine Art Alarmanlage für IT-Sicherheit, die den Datenverkehr überprüfen und Attacken melden. Die Analyse funktioniert in der Regel genau wie bei einem IPS. Bei einem Angriff informiert das System den Administrator und protokolliert alle Details zur späteren Analyse. Außerdem lassen sich automatische Routinen als Schutzmaßnahmen voreinstellen – beispielsweise das Unterbrechen des Datenstroms oder das Umkonfigurieren von Firewall und Router, so dass weitere Angriffe von vornherein unterbunden werden.

Obwohl auch IDS eine wertvolle Unterstützung für Firewalls darstellen, geht Kritikern der Systemschutz nicht weit genug. Sie stören sich an der passiven Arbeitsweise – Aufzeichnen, Melden und Auswerten – der IDS. Auch das Unterbrechen der Verbindung erfolgt zu spät, denn wenn die Meldung erfolgt, ist der Angriff manchmal schon geschehen.

Zwar werden Sinn und Zweck von IDS oft in Frage gestellt, dennoch nehmen sowohl Intrusion-Prevention als auch Intrusion-Detection eine wichtige Rolle in der IT-Sicherheit ein – und zwar beide auf ihre eigene Weise. Während IPS Gefahren im Vorfeld abblocken und der IT einen temporären Schutzschild bieten, dienen IDS der schrittweisen Verbesserung der IT-Sicherheit. Unregelmäßigkeiten, die normalerweise unentdeckt bleiben – beispielsweise wenn sich ein User mehrmals hintereinander mit falschem Passwort als Administrator anmelden will – lassen sich mit Hilfe eines IDS-Systems aufdecken. Darüber hinaus lassen sich IDS sinnvoll in Netzwerken einsetzen, in denen der Datentransport wichtiger ist als die Integrität der Systeme. Carrier wie T-Online sind beispielsweise dazu verpflichtet, die Daten ungefiltert an ihre Kunden weiterzuleiten. Sie nutzen die Informationen, die das IDS zur Verfügung stellt, um ihre Systeme kontinuierlich zu optimieren.

Fazit

Alles in allem werden Intrusion-Detection- und Intrusion-Prevention-Systeme eine Firewall nicht ersetzen, wohl aber die bestehenden Sicherheitsmaßnahmen sinnvoll ergänzen. IPS ermöglichen Ad-hoc-Schutz vor Angriffen und sind daher unverzichtbarer Bestandteil jeder Sicherheitsstrategie. IDS wiederum können den IT-Verantwortlichen ergänzend helfen, das Unternehmensnetzwerk Stück für Stück zu optimieren. Das ermöglicht umfassenden Schutz für Netzwerk, Server und Desktop, senkt den Patchdruck auf kritische Systeme und damit das Risiko sowie die Kosten für den gesamten Betrieb.

Jörg Lamprecht, Geschäftsführer Internet Security Systems Deutschland