Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Die Sicherheits-Evolution

Trends bei Intrusion Detection / Intrusion Prevention

Die Sicherheits-Evolution

2. November 2007, 17:51 Uhr |

Aktuelle IT-Sicherheitslösungen werden immer intelligenter und selbstständiger. Und ihre Weiterentwicklung schreitet rasant fort.

Netzwerk-basierte Intrusion-Detection-Systeme (IDS) und deren Weiterentwicklung als Intrusion-Prevention-Systeme (IPS) haben in der letzten Zeit eine rasante Entwicklung durchgemacht, die diese Systeme von einer für sich alleine stehenden Lösung zu einer integrierten Komponente des Netzwerkschutzes machen.

Hatte der Schritt vom rein passiven IDS zum aktiven IPS noch Jahre gedauert, so hat es in den letzten Monaten eine Reihe von neuen Entwicklungen gegeben.

Die Grundlage eines IPS ist genauso wie beim IDS eine sichere Erkennung von Angriffen, ohne dabei Fehlalarme auszulösen. Da als Folge eines erkannten Angriffs bei einem IPS Verbindungen geblockt werden beziehungsweise innerhalb einer Verbindung Daten geblockt werden, ist die Vermeidung von Fehlalarmen hier noch wichtiger als bei einem IDS, wo eine fälschliche Erkennung nur zu einem Eintrag in einem Log oder einem Report führt.

Protokoll-Know-how erforderlich

Eine Lösung für dieses Problem ist das Verstehen der verschiedenen Protokolle, um den Datenstrom genauer analysieren zu können. Nach einer Signatur wird dann nicht mehr nur irgendwo im Datenstrom gesucht, sondern innerhalb des jeweiligen Protokolls in genau dem Feld oder Request, in dem diese stehen muss, wenn es sich um einen bestimmten Angriff handelt. Damit ist die Wahrscheinlichkeit eines Fehlalarms erheblich geringer und die Erkennung zuverlässiger.

Außerdem bietet eine solche Analyse des Protokolls auch die Möglichkeit, neue Angriffe anhand von Abweichungen vom Protokoll zu erkennen und zu melden oder sogar blocken zu können.

Heutzutage erkennen und verstehen IPS viele Dutzend verschiedenster Protokolle und bieten außer der Möglichkeit, in diesen Angriffe zu erkennen und zu blocken, auch die Möglichkeit, unerwünschte Protokolle im Netzwerk wie P2P oder Instant-Messaging direkt zu blocken.

Ein weiterer wesentlicher Schritt zu heutigen IPS waren der Einsatz unterschiedlicher Policies für einen Sensor, also Regelwerke, was erkannt und was geblockt werden soll, basierend auf einer VLAN-Nummer oder nach Absender- oder Zieladresse einer Verbindung. Dies macht in vielen Fällen den Einsatz eines IPS im Herz des Netzwerkes überhaupt erst möglich.

Latenzzeiten extrem wichtig

Eine weitere notwendige Entwicklung war die Verbesserung der Performance und des Datendurchsatzes von IDS/IPS. Für ein rein passives System wie ein IDS, welches zum Beispiel am Span-Port eines Switches angehängt ist, ist der Datendurchsatz nur von minderer Bedeutung.

Für ein IPS, durch welches der Datenstrom durchgeleitet wird, sind niedrige Latenzzeiten und ein dem jeweiligen Netzwerk entsprechender Datendurchsatz extrem wichtig.

Mit herkömmlicher PC-Architektur als Hardware-Plattform ist man schnell an Grenzen gestoßen, weshalb die Sensoren heutiger, leistungsfähiger IPS auf speziellen Netzwerkprozessoren und für die Anforderungen entwickelter eigener Hardware basieren. Damit ist es möglich, selbst in Gigabit-Ethernet-Netzwerken, seit neuestem sogar in 10-Gigabit-Ethernet-Segmenten, Sensoren einzusetzen, die über einen entsprechenden Durchsatz verfügen.

Hochverfügbarkeit durch Kopplung von Sensoren

Die verschiedenen Sensoren bieten dazu unterschiedlich viele Ports, um mit nur einem Gerät mehrere Netzwerksegmente absichern zu können. Für die Verfügbarkeit des Netzwerkes unbedingt notwendige Features wie die Wahl zwischen Fail-Open und Fail-Close für den Fall eines Sensorausfalls sowie Hochverfügbarkeit durch Verbindung mehrerer Sensoren miteinander sind bei den meisten Lösungen heute Standard.

Typischerweise kommt heute in Unternehmen ein Mix verschiedener Sensoren, ausgesucht nach den Anforderungen des jeweiligen Einsatzortes, zum Einsatz, die über eine zentrale Konsole administriert werden.

Die Meldungen der einzelnen Sensoren über erkannte und geblockte Angriffe laufen ebenfalls bei der zentralen Konsole zusammen, können aber auch automatisch nach eigenen Kriterien an übergeordnete Sicherheitsmanagement-Systeme weitergeleitet werden. Unterstützung von Syslog, SNMP und E-Mail sind dabei Standard.

Diese Entwicklungen machten Intrusion-Prevention-Systeme zunehmend interessanter für den Einsatz im gesamten Netzwerk, nicht nur vor wenigen, besonders kritischen oder exponierten Systemen, wie es häufig in der Anfangszeit von IPS der Fall war. Mit der zunehmenden Akzeptanz von Intrusion-Prevention-Systemen in Unternehmen folgten schnell einige Weiterentwicklungen dieser Systeme.

  1. Die Sicherheits-Evolution
  2. <p
  3. DDoS-Angriffe
  4. <p
  5. Die Sicherheits-Evolution (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
Xelion GmbH

Xelion GmbH
Redgate Software

Redgate Software