Mit Signaturen und heuristischen Analysen wollen Intrusion-Prevention-Systeme (IPS) Attacken und ihre Klone aufspüren und stoppen. Das soll dem Administrator Zeit verschaffen, zu patchen. Die Real-World Labs untersuchten neun dieser IPS, ob sie einhalten, was sie versprechen, oder nur Zeit verschwenden.

Die Frist zwischen publizierter Vulnerability, Patch und Exploit schrumpft. Bis keine mehr bleibt, um rechtzeitig auf den Angriff zu reagieren. Befürchten zumindest die Paranoiker unter den Anbietern von Sicherheitssoftware. Auch wenn ihre schlimmsten Voraussagen sich nicht erfüllen, ist doch Handeln abgebracht. Dass Attacken nämlich schneller entstehen und sich schneller ausbreiten als jemals zuvor, ist unbestritten. Bestehende Verteidigungsstrategien sind aber zu schwerfällig, um dieser Dynamik zu folgen. Die Abwehrmechanismen müssen proaktiver werden, wie das Marketing der Hersteller sagt, präventiv arbeiten, wie es richtig heißen müsste. Denn es geht darum, Angriffe mit Hilfe vorbeugender Maßnahmen zu unterbinden und zu erschweren. Die präventiven Mittel sollen dem Administrator schließlich wertvolle Zeit schenken. Zeit, in der die althergebrachten gewöhnliche Maßnahmen wie Firewall-Policies oder Viren-Updates wieder einsetzen und das Netz generell gegen den aktuellen Angriff immunisieren.

Report-Card: Intrusion-Prevention-Systeme

Features: Intrusion-Prevention-Systeme

Intrusion-Prevention-Systeme (IPS) sollen dabei die Funktion der Zeitmaschine übernehmen. Ihre Aufgabe ist es, verdächtige Daten, auch unbekannte Angriffe, zu identifizieren und zu blockieren. Gerade der Aktivismus unterscheidet sie von den bisherigen Intrusion-Detection-Systemen (IDS), die sich lediglich dazu verpflichtet sehen, verdächtige Pakete zu melden.

IPS greift aktiv in den Datenstrom ein, und somit in den Betrieb des Netzes. Die Real-World Labs wollten nun herausfinden, ob die IPS tatsächlich mehr Zeit schaffen oder nur verschwenden. Folgende neun Systeme haben einen Vergleich nicht gescheut: »InterSpect 610« von Check Point, die »FortiGate-3600 Antivurs Firewall« von Fortinet, die »Proventia G1000-400« von Internet Security Systems (ISS), die »NetScreen-IDP 1000« von Juniper, die »ipAngel X3 AVS-400« von Lucid Security, der »Defense-Pro AS-III/SME« von Radware, das »Security Appliance Model 60« von Security Metrics, die »UnityOne-1200« von Tippingpoint, jetzt 3Com, sowie die «V-Secure

V-1000« von V-Secure Technologies.

Die Anbieter Determina, Mazu Networks, Netcontinuum und Privacyware haben erklärt, dass ihre Geräte die aufgestellten Testspezifikationen nicht erfüllten. Eeye Digital Security und Kavado konnten auf Grund der Wettereskapaden während des Testbeginns die strengen Zeitvorgaben nicht einhalten und mussten daher passen. Forescout Technologies hat eines ihrer Produkte eingesandt, stellte danach jedoch in Übereinstimmung mit dem Testlabor fest, dass sich ihre Technologie mit den aufgesetzten Testprozeduren nicht vertrage. Symantec hat von einer Teilnahme abgesehen, da der Hersteller zum Testzeitpunkt zu wenige Ressourcen frei stellen konnte. McAfee erklärte, ihre Sensor-Einheit sei zum Veröffentlichungsdatum des Tests bereits überholt.

Zweieinhalb Ansätze

Diese Produktkategorie ist handgestoppte zweieinhalb Jahre jung, was nicht viel ist. Daher sind die Unterschiede in den Konzepten bei den Herstellern signifikant – obwohl der Einladung zum Test eine genaue Beschreibung der Testspezifikation beigelegt war. Das anvisierte System sollte eine geschlossene Plattform sein, die Netzwerkangriffe erkennt und selbstständig unterbindet, ohne dazu auf die Hilfe externer Plattformen angewiesen zu sein. IDS beispielsweise schicke Befehle an die Firewall oder andere Elemente in der Netzwerkinfrastruktur, die dann die Blockarbeit übernehmen. Zudem sollten die Systeme den zu erwartenden 400 MBit/s starken Datenstrom des Core-Switches im Testnetz verdauen können.

Es ergab sich dank der günstigen Konstellation, dass die IPS-Scanner ebenfalls den gesamten Core-Verkehr im Produktionsnetzwerk der angrenzenden Universität untersuchen durften. Das waren im Schnitt 600 MBit/s, mit Spitzen von mehr als 800 MBit/s und 180000 bis 250000 simultanen Verbindungen. Fleißige Studenten halt. Natürlich überstiegen diese Mengen die im Test festgelegten Rahmenbedingungen, so dass kein negatives Licht auf die Geräte fiel, hielten sie mit dem Volumen nicht Schritt. Trotzdem verschaffte dieser inoffizielle Testgang interessante Einblicke in die mögliche Systemkapazität jedes Testkandidaten. Er legte offen, wie die IPS diese echten, großen Datenmengen mit ihrer Vielzahl von lebendigen Exploits und False-Positives organisierten. Natürlich wurden die Plattformen auch mit simulierten, gängigen Angriffstypen konfrontiert, um ihre Abwehrreaktionen zu untersuchen. Die abschließende Analyse dieses Vergleichs machte zweieinhalb verschiedene Ansätze aus:

• Die Produkte von Fortinet, ISS, Juniper, Radware und Tippingpoint greifen hauptsächlich auf Signaturmuster zurück, um Attacken zu enttarnen.

• Die Systeme von Check Point und V-Secure vertrauen bei ihren Abwehrmechanismen hauptsächlich, wenn nicht sogar ausschließlich darauf, den Charakter legalen Verkehrs zu erlernen und mit Hilfe von heuristischen Analysen abnormes Verhalten zu erkennen und zu unterbinden.

• Der »halbe» Ansatz bezieht sich auf Signatur-zentrische Produkte auf Basis von Open-Source-Technik. Die Lösungen von Lucid und Security Metrics koppeln Snort mit eigenen Konsolen- und Management-Werkzeugen und sind daher meist exakter einstellbar als die komplett proprietären Ansätze der Konkurrenz.

Jedes Produkt im Test setzt TCP-Verbindungen zurück und blockiert – in Dauer variierend – neue Verbindungen als feindlich gekennzeichneter Quellen. Einige reduzieren per Rate-Limiting verdächtige Datenströme, die Lösung von Radware liefert hierzu gar ausgefeilte Traffic-Shaping-Funktionen. Jede Strategie hat Stärken, der Sieger im Test und die schärfsten Verfolger sind jedoch alle in der Signatur-Kategorie zu Hause.

Die Ergebnisse haben überzeugt, trotzdem hat niemand eine »A«-Note verdient. Auch beim IDS-Test im vergangenen Jahr war die Note »sehr gut« nicht zu erreichen. Ob es diesmal nur an den hohen Testanforderungen oder an dem Reifegrad der Produkte lag? Der Reifegrad beispielsweise spiegelt sich durchaus in den Testergebnissen wider. Produkte, die auf bereits etablierten IDS-Verfahren basieren, schneiden weitaus besser ab als jene, die es nicht tun.

Fehlalarme und andere Bedenken

Was die meisten Anwender vor dieser Technik zurückschrecken lässt, sind False-Positives, die die Geräte dazu verleiten, legale Daten zu blockieren. Nicht ganz das, was man sich also von den Systemen wünscht, sollen sie doch einfach alle großvolumigen und zerstörerischen Angriffe aufhalten. Wer IPS aufsetzt, sollte es in dem klaren Wissen tun, dass alle Fälle, die aus Sicht der Konfiguration nicht eindeutig sind, die Grauzone sozusagen, das IPS passieren müssen und eben von einem dahinter liegenden, anderen Netzwerksystem aufgehalten werden. Denn nahezu alle IPS-Lösungen arbeiten inline, als aktives System in der Leitung, so dass False-Posivites nahezu sicher Anwenderbeschwerden auslösen werden.

In der ersten Testphase hat die Proventia von ISS den Großteil der Angriffe, die auch von dem im Testnetz platzierten IDS bestätigt wurden, gefunden und dabei die geringsten False-Positive-Raten verursacht. Die Unityone von Tippingpoint war mit ihren Meldungen eher zurückhaltend. Im Gegensatz zu Defensepro von Radware. Dieses IPS hat wie der Leibwächter eines Prominenten nahezu jede Kleinigkeit als potenziell unerwünscht behandelt.

Die Signaturen der Fortigate haben ebenfalls viele der bestätigten Angriffe aufgespürt und einige Aktivitäten angekreidet, die sie nach einer filigraneren Einstellung der Signaturen hätten einfach passieren lassen. In der Default-Konfiguration hat das Netscreen-IDP-System von Juniper eine bemerkenswerte Datenmenge als ungewünscht klassifiziert und dabei eine große Menge von Alarmen generiert, die man durchaus als False-Positive interpretieren darf. Dieses Gerät fleht förmlich danach, an die Umgebung angepasst zu werden. Zu diesem Zweck hat der Hersteller ein Toolset mitgeschickt, das diese Aufgabe für Sicherheitsspezialisten schnell abwickelt.

Die Genauigkeit der auf Heuristik setzenden Systeme ist abhängig von dem Gerät, das das Netzwerk beobachtet und die statistischen Modelle des legalen Verkehrs errechnet. Sie hängt ebenfalls davon ab, wie das Gerät Pakete und Kommunikationen interpretiert, die von der Norm abweichen. Sie beginnen mit einer eher lockeren Betrachtung, um False-Positives zu vermeiden, werden mit der Zeit jedoch immer aktiver und restriktiver.

Die Fortigate von Fortinet und die Netscreen von Juniper erreichten dank ihres starken Auftritts in kritischen Bereichen beide ein numerisches Unentschieden. Sie brachten eine solide Default-Leistung, eine einfache Konfiguration und reichhaltige Funktionen in die richtige Balance. Der Administrator darf beispielsweise in den Berichten in Angriffsdetails hinabtauchen und eigene Signaturen schreiben. Am Ende haben die Flexibilität und die Kraft den Ausschlag für das Netscreen-System gegeben, weshalb diese Lösung die Auszeichnung »Referenz« der Network Computing verdient.

Netscreen-IDP 1000 von Juniper

Es gibt Systeme, die dazu entwickelt wurden, die Intrusion-Prevention-Disziplin automatisch und unaufdringlich umzusetzen – und es gibt die Netscreen-IDP 1000. Wenn die Sicherheitsabteilung im Unternehmen jemanden hat, der das Wissen und den Wunsch hat, in jedes Detail eines Angriffs einzutauchen, und zudem eigene Signaturen schreiben soll, um die spezifischen Bedingungen im Netz abzubilden, der ist mit der IDP-1000 ausgezeichnet bedient. Das System besitzt ein solides, professionelles Steuerungs-Interface, das Verantwortlichen mit Wissen den Kontext eines Angriffs offen legt. Außerdem besitzt sie die besten Anlagen für eigene Signaturen.

Ein gutes Beispiel für die Detailtreue, ja fast schon -versessenheit des Systems ist sein Aktivitäts-Window, in dem es die Log-Ereignisse zeigt. Sobald ein Vorfall im Fenster erscheint, kann der Anwender per Maus den Angriff ansteuern und erhält sofort Details zur Signatur, die den Eintrag auslöste. Diese Informationen lassen sich nach Zeit, IP-Adresse der Quelle und des Ziels filtern, eine Übersicht schaffende und nützliche Funktion.

Wie viele der Systeme im Test, beherrscht die IDP-100 multiple Administrator-Schnittstellen. In diesem Zusammenhang traten im Test kleine Unbequemlichkeiten auf, als das System nach der ersten Testphase neu konfiguriert wurde. Als das IPS von Sniffing- in den Bridging-Modus, in dem aktives Blocken angelegt ist, umschalten sollte, hat das dezidierte Management-Interface diese Option gar nicht angezeigt. Erst der Umweg über das Web-Interface schaltete diesen Menüpunkt frei. Es wäre sinnvoller, würde jede Schnittstelle alle wichtigen Management-Funktionen beherrschen. Dann müsste sich niemand mehr merken, welche Einstellungen bei welchem Interface nicht frei geschaltet sind.

Nach dieser Modifikation trat ein interessantes Relikt zutage. Nachdem die IDP-1000 inline gestellt und ihr Reporting-Screen geöffnet waren, zeigte dieser eine Vielzahl von Angriffen an, die in den vergangenen 24 Stunden geschehen waren. Ungewöhnliche Meldungen eines Systems, das zu dem Zeitpunkt die vergangenen drei Tage ausgeschaltet war. Die Resultate waren gültig, etwas ist wohl beim ersten Restart schief gegangen und hat einen Timer umgestellt. Ein erneuter Restart löste das Problem.

Beim Testgang mit den simulierten Angriffen hat die Box die Ereignisse exzellent zusammengefasst, wobei sie diesen Berichten Kontext- und dekodierte Daten hinzufügte. Mit einem zusätzlichen Klick wird der Anwender auf einer Ethereal-Seite geleitet, wo alle anderen zusammenhängenden Pakete dekodiert aufgeführt sind – unschätzbar für jene, die wissen, was sie mit solch detaillierten Informationen anzufangen haben.

Die vom Hersteller gelieferten Signaturen haben den Angriff, der sich in einer Bilddatei versteckte, zwar nicht erkannt, dafür aber weitaus mehr problematischen Verkehr identifiziert als jedes andere Gerät im Test. Für ein Intrusion-Prevention-System muss das Unternehmen bei der IDP-1000 schon tief in die Tasche greifen. In den Händen eines Sicherheitsexperten liefert das Produkt aber ein reiches Toolset, gebündelt mit starkem Management.

Fortigate-3600 von Fortigate

Einen gemischten Eindruck hinterließ dieses IPS. Seine reichhaltigen Funktionen und die gute Benutzungsoberfläche wurden durch die schwache Leistung bei einigen Testgängen getrübt. Am Ende haben die Management-Kunst und Bedienerfreundlichkeit den Ausschlag für eine gute Punktewertung gegeben. Die auf jeden passionierten Konfigurationskünstler ausreichend wirkenden Funktionen runden das Bild ab.

Die Fortigate kümmert sich bereits um Sicherheit, bevor man auch nur eine Management-Session startet. Eine Vielzahl von Parametern lässt sich nämlich über das an der Front angebrachte Bedienungsfeld einrichten, inklusive einer Regel, dass jede künftige Konfigurationsänderung neben Username und Passwort noch mit einer PIN bestätigt werden muss. Auch der Zugang per Webbrowser ist unterstützt, wobei SSL aktiviert und Java nicht notwendig ist. Das sich dann öffnende Benutzungsinterface ist klar und logisch strukturiert und gibt den Zugang zu dem rundesten Funktionsset im Test frei.

Als Signatur-System folgt Fortinet einem Automatismus, der neue Signaturen über das Management-System direkt an die Geräte durchreicht. Die Management-Plattform lädt die frischen Muster übrigens vorher über den Fortinet-Signatur-Service aus dem Web. Zuvor schickt der Dienst eine Mail an einen oder mehrere zu definierende Verantwortliche, um sie über neue Signaturen zu informieren. Wer Automatismen nicht mag, darf sie abschalten. Die Mail sagt ihm dann, dass er den Download- und Update-Prozess über einen Klick in der Management-Oberfläche starten kann. Eine dritte Option wäre sinnvoll: automatische Downloads vom Update-Service, der Upload der Signaturen auf die IPS aber manuell.

Wer eigene Signaturen schreiben möchte, wird die nötigen Funktionen in der Fortigate finden. Es fiel im Test relativ leicht, die bestehenden 600 Einträge um eigene Muster zu ergänzen. Die Oberfläche, in der die Muster tatsächlich ausformuliert werden, bleibt in ihrer Struktur und Klarheit hinter den Management-Pendants zurück. Sie ähnelt ihnen allerdings in den Funktionen und Parametern, denn es gibt reichlich davon.

Die getestete Fortigate besitzt neben einem Paar GBit/s-Kupfer- auch 4 Glasfaser-Ports und ein Fast-Ethernet-Management-Interface. Die GBit/s-Anschlüsse können als individuelle Netzwerk-Zonen oder aber als gruppierte große Zonen fungieren, über die hinweg Policies angewandt und durchgesetzt werden. Dank des breiten Spektrums der Policy-Regeln verhält sich die Fortigate wie viele Sicherheitssysteme – angefangen bei einer Standard-Firewall bis hin zu einem hochrestriktiven Aktivitäts-Prevention-System.

Der Hersteller gibt an, dass seine Box 4 GBit/s an Durchsatz schaffe. Tatsächlich bewältigte sie bei einfachen Aktivitätsstufen die im Test maximal angesetzten 1 GBit/s souverän und locker. Als jedoch das Regelwerk komplexer und dichter wurde, litt die Leistung. Sobald das Gerät voll konfiguriert war, jagte die Latenzzeit wie bei keinem anderen System in die Höhe. Sie lag drei Mal so hoch wie beim Testgang mit weniger als 500 MBit/s Datenvolumen. Dieses Verhalten überrascht im Prinzip zwar nicht, sollte bei der Einsatzplanung dieser, wie im übrigen jeder anderen, IPS-Lösung berücksichtigt werden.

Die Signaturen von Fortinet erkannten die erwartete Vielzahl von Angriffen während des Livedaten-Tests und stoppte all jene simulierten Angriffe, die in der zweiten Testphase generiert wurden. Eine kleine Angelegenheit hat bei der Default-Konfiguration enttäuscht. Der Hersteller hat ein Muster für Code-Red in seine Datenbank eingepflegt, aber nicht aktiviert. Doch ist dieser Angriffstyp weit verbreitet genug, um in der Default-Einstellung berücksichtigt zu werden.

Es zeigte sich wieder, was für alle IPS gilt: der Administrator sollte die Signaturen und die Gegenmaßnahmen anschauen, bevor er dieses und andere IPS-Geräte auf »aggressiv« schaltet. Die Anpassungsprozesse der Box sind Fortinet zum Glück gut gelungen.

Der Preis für die Fortigate-3600 ist verglichen mit den üblichen Angeboten recht attraktiv. Hinzu kommt aber ein Maintainance-Vertrag für die Signatur-Updates, der schon nach relativ kurzer Zeit aktiv wird. 90 Tage nur bekommt der Anwender nach dem Kauf kostenlose Pflege. Das ist nur ein kleines Problem, wie alle Unpässlichkeiten bei diesem System. Es ist nicht perfekt, aber eines der besten Signatur-IPS-Plattformen im Test.

Proventia G1000-400 von ISS

ISS bettet ihre G1000-400-Appliance in ein umfassendes Produktportfolio ein, dem die »SiteProtector«-Software sowie die »SiteProtector Management Console« angehören. Hard- und Software arbeiten eng zusammen, um das Netz zu schützen. Es ist aber mehr Arbeit notwendig als bei Fortinet oder Tippingpoint, um dieses Ziel auch zu erreichen.

ISS empfiehlt, die Siteprotector-Software und die -Konsole auf separaten Maschinen aufzusetzen. Der Test bestätigt das. Anfangs sollten beide auf demselben Server arbeiten. Obwohl dieser mit zwei Xeon-Prozessoren und massig Hauptspeicher hervorragend ausgerüstet war, hat die Management-Konsole bei zahlreichen Aktionen auffällig langsam reagiert. Insbesondere, als die Konsole Berichte aus ziemlich großen Log-Dateien generieren sollte. Die Konsole ist in Java programmiert, muss aber einen Haufen Last auf den Server ablegen. Deswegen ihre anspruchsvollen Hardware-Wünsche.

Die Benutzungsoberfläche liefert zahlreiche Funktionen, zeigt Berichte über die jüngsten Vorfälle und die Pakete, welche die Aktionen initiierten. Eine Vielzahl vordefinierter Berichte lässt sich ad hoc oder in bestimmten Intervallen generieren. Diese Reports sind primär für Administratoren und den Vorstand gedacht.

Sicherheitsverantwortliche interessieren sich natürlich mehr für die Protokoll-Dekodierung, und ISS macht hier einen guten Job. Leider liefert die Konsole nicht das gesamte dekodierte Paket, der Hersteller verspricht aber, dass ein kommendes Update diese fehlende Funktion aber ergänze.

Zwischen den beiden Extremen »Managementbericht« und »dekodierte Pakete« liegen viele Optionen, um Attacken zu gruppieren und die Aktivitäten des IPS zu beobachten. Die Vielzahl der Optionen erschwert es im Vergleich zur Konkurrenz jedoch ein wenig mehr, sich schnell mit dem System vertraut zu machen. Hat man diese Hürde erst einmal genommen, werden die Berichte aufschlussreich informieren, auf welchem Weg und mit welchen Mitteln das Netzwerk angegriffen wurde. Wertvolle Angaben, die direkte Anweisungen dazu geben, wie der Administrator sein Netzwerk künftig gegen diesen Angriff abschirmen kann. Die Dashboard-Funktionen der Management-Konsole geben Zugang zu Berichten, Charts und anderen grafischen Darstellungen, welche die Aktivitäten der Box zusammenfassen. Die Konsole (nicht der Sensor) verlangt dabei unbedingt nach Internet-Ressourcen, denn sie sucht nach der ISS-Webseite, um dort Informationen zu den gefundenen Angriffen zu finden.

Die Detection-Engine hat beeindruckt. Beim echten Datenstrom hat ISS den Großteil der Angriffe enttarnt, ohne allzu viele legale Informationen zu blockieren. Bei den künstlich generierten Testdaten hat der Sensor den Code-Red-Wurm anhand von Signaturen erkannt und Gegenmaßnahmen eingeleitet, die als Default-Event im Management festgelegt waren. Die Management-Konsole interpretierte den Angriff eher als Event denn als Standard-Angriff, wobei alle individuellen Fakten des Events korrekt angegeben waren.

Aus Sicherheitssicht hat der Hersteller seinem System ein solides Maß an Skepsis eingebaut. Beim ersten Start beispielsweise lässt der Scanner kein einziges Paket durch. Waren Interface und die Zonen einmal definiert, hat der G1000-400 Angriffe richtig erkannt und gestoppt. Die dazu nötigen Regeln sind leicht zu definieren und streng, lassen aber auch legalen Verkehr passieren, der in vielerlei Hinsicht illegalem Verkehr durchaus ähnlich sieht. Also ein potenzieller Kandidat für einen Fehlarm. Daten leitete das System bei der 400 MBit/s-Testgrenze und darüber ohne auffälligen Latenzzuwachs weiter.

Der G1000-400 beherrscht viele sinnvolle Ansätze zu einem vernünftigen Preis. Wer dem Vorstand regelmäßig Berichte zum Stand der Dinge liefern möchte oder einfach nach einem IPS mit soliden Reports für eigene Analysen sucht, ist mit dieser Proventia-Appliance auf der glücklichen Seite.

Unityone-1200 von Tippingpoint

Die absolute Stärke von Tippingpoint, nun 3Com, sind die Default-Einstellungen. Wer nach einer Appliance sucht, die große Datenmengen verkraftet, solide Abwehrfunktionen beherrscht und gleichzeitig die Administratoren vor den intimeren, komplexen Details der IPS-Technik verschont, ist mit dieser Appliance gut bedient. Wer jedoch sein IPS oft an eigene Bedürfnisse anpassen will oder muss, wird von dem Management-Interface dieses Systems allzu oft gebremst.

Die Management-Oberfläche der Unityone-1200 zeigt ein sauberes Bild ohne allzu viele Optionen. Es wirkte fast, als ob einige Dinge schlicht fehlten. Das mag aber an der Zahl der Features liegen, die das System »out of the box« freischaltet. Darunter fallen beispielsweise die erste Konfiguration der zu nutzenden Signaturen, Gegenmaßnahmen und Berichte. Das Setup ist leicht und schnell, einige administrative Alltagsfunktionen sind jedoch versteckt. Tippingpoint zwingt den Anwender dazu, mehrere Menüsprünge zu vollführen, damit er an die wichtigen Rohdaten kommt, welche die Alarme auslösten. Wer seinen forensischen Pflichten nachkommen möchte, wird ebenso in dem Interface umherklicken müssen.

Der Hersteller sagte, dass sein System hauptsächlich für den Inline-Betrieb konzipiert sei. Deswegen nahmen die Ingenieure des Anbieters gegenüber der ersten Testphase eine reservierte Haltung ein. Bei diesem Testgang war die Appliance über einen optischen Tab an das Netz gekoppelt und hat gut abgeschnitten. Sie verkraftete die Bandbreite und hat Angriffe durchweg erkannt. Beim Wechsel in die Inline-Phase bestätigte die Leistung der Box ihr eigenes Implementierungsmodell, indem sie die erwarteten Leistungswerte hielt und wenige Fehlalarme produzierte.

In der zweiten Testphase hat die Unityone sowohl den Code-Red- als auch den JPG-Exploit aufgehalten. Bei einem Blick auf die Transferleistung der Appliance traten einige störende Jitter- und Latenzphänomene auf. Beide sind bei einigen Paketen gestiegen, was wohl an der Natur des Testverkehrs lag. Denn die Testdaten haben aus Sicherheitssicht nahezu ein Worst-Case-Szenario widergespiegelt. Eine Menge seltsamer Daten also, die die Appliance dazu zwang, ihre aufwändigen Deep-Inspection-Filter zu aktivieren, um zwischen legalen und illegalen Paketen zu unterscheiden. In einem Alltags-Netz mit Alltagsverkehr wird dieser Effekt sicher nicht auftreten.

Tippingpoint hat einen optischen Bypass in ihre Appliance eingepflanzt, damit der Betrieb des Netzwerks auch dann ungestört weiterläuft, wenn die Box komplett abstürzt. Der Bypass arbeitete wie versprochen und schickte auch dann Daten weiter, als der Box der Stecker gezogen wurde.

Die Unityone ist das teuerste System im Test. Der Preis könnte sich dadurch relativieren, dass das Unternehmen keinen reinen Sicherheitsspezialisten buchen oder einstellen muss, um die Box zu implementieren. Denn für ein so komplexes Sicherheitssystem war die Unityone erstaunlich leicht zu installieren, und auf ein sinnvolles Niveau zu konfigurieren. Hätte sie den Zugang zu den schmutzigen Details über die Angriffe und Exploits einfacher gestaltet, wäre sie sicher ein Kandidat für den Testsieg gewesen.

Security Appliance Model 60 von Security Metrics

Der Anbieter Security Metrics ist mit einem auf Linux basierenden System auf den Markt gekommen, das typische Open-Source-Sicherheits-Software wie Snort und Nessus kombiniert. Damit sich das System für den kommerziellen Einsatz eignet, hat der Hersteller ein eigenes Integrationsmodell und Management-Interface entwickelt. Sein Modell 60 hat auf Grund der Herkunft daher einige Ähnlichkeiten mit der »ipAngel«-Lösung.

Security Metrics hat bei ihrem Produkt die typischen Schwächen der IPS-Technik noch nicht beseitigen können. Das Model 60 hat einige viel versprechende Ansätze und den niedrigsten Preis im Feld der Kandidaten.

Das System hatte bei dem Test mit den echten Daten einige Schwierigkeiten. Nicht überraschend, wurde das für 200 MBit/s ausgelegte Modell in der Spitze mit 650 MBit/s konfrontiert. Als der Verkehr auf die 200 und später, wie in der Testspezifikation 400 MBit/s reduziert wurde, kam die Box besser zurecht. Wobei allerdings bei den 400 MBit/s schon Jittereffekte spürbar waren.

Da Snort integraler Bestandteil des Security-Metrics-Pakets ist, wird ein kompletter Paket-Decode automatisch mitgeliefert, sobald das Paket einen Einbruchsversuch erkennt. Das Interface des Model 60 liefert solide Berichte über die Aktivität, ohne dass man dazu regelmäßig in die Tiefe der Optionen eintauchen müsste. Die Lösung lässt sich auch so genau konfigurieren, dass sie auf nahezu jede Rahmenbedingung reagieren kann. Die Frage dabei ist nur, wie viel Erfahrung und Wissen jemand in die Konfiguration investieren möchte.

Beim simulierten Testverkehr hat das System Schwierigkeiten mit dem Code-Red-Daten gezeigt. Es hat einen Event ausgelöst, aber mit der falschen Signatur. Das Gerät war so eingestellt, dass es den Code-Red-Angriff erkennen sollte, hat ihn aber nicht unter diesem Namen geführt, obwohl das System die Attacke in der Tat blockierte. Den JPG-Exploit hat es dagegen nicht erkannt, ein während des Vergleichstests erst kürzlich aufgetauchtes Verfahren.

Wer auf der Suche ist nach einem moderaten IPS, das nicht die Bandbreiten wie im Test liefern muss, wird beim Model 60 fündig. Die meisten Probleme während sind der Management-Oberfläche anzulasten. Sie ist in einigen Bereichen noch nicht ausgereift.

Defensepro von Radware

Die Defensepro ist eine bandbreiten- und funktionsstarke Box. Sie hat jede Datenmenge, mit der sie konfrontiert wurde, anstandslos verkraftet. Ihre Management- und Analyse-Oberfläche erschließen sich dagegen weniger intuitiv als bei der Konkurrenz. Das Command-Line-Interface (CLI) lehnt sich an die IOS von Cisco an, wobei die Tester hier mehr Zeit verbrachten als bei allen anderen CLIs im Test. Hinzu kam, dass sie vier verschiedene Radware-Appliances kennen lernten. Weder die Ingenieure von Radware noch die Real-World Labs konnten erklären, was genau geschah. Sicher ist nur, dass drei Defensepro-Geräte sich mit dem Labor nicht vertrugen. Einmal hat die Appliance nur geringere Bandbreiten verkraftet, eine andere sich strikt geweigert, Angriffe zu erkennen. Erst die vierte Box hat problemlos funktioniert.

Der Defensepro arbeitet ein wenig anders als die anderen Systeme im Test. Während die meisten IPS die Verbindung beenden, externe IP-Adressen blockieren und interne Adressen in Quarantäne stellen, fügt Radware noch Traffic-Shaping und Bandbreitengrenzwerte hinzu. Auf diese Weise sind weitaus ausgereiftere Maßnahmen gegen Angriffe realisierbar. DoS-Angriffe beispielsweise bremst der Defensepro auf ein Minimum der Bandbreite herunter und mindert seine Wirkung, während legale Daten vom gleichen Sender ungestört weitergeleitet werden.

In puncto Bandbreite und Latenz hat Radware hervorragende Werte erreicht, wobei der Defensepro kaum mehr Latenz hinzufügte, als die Zahl der Signaturen, Regeln und Gegenmaßnahmen erhöht wurde. Beim simulierten Testverkehr hat die Maschine allerdings Angriffe gemeldet, als gar keine initiiert wurden. Die Random-Daten, die die Lücken zwischen den tatsächlich feindlichen Daten schlossen, waren gelegentlich falsch sortiert. Header, Ports und Paketinhalte passten nicht immer zusammen. In der Livetest-Phase hat der Defensepro den gesamten feindlichen Verkehr gestoppt und die Angriffe richtig benannt.

Die Default-Einstellungen der Box sind recht restriktiv. Um die Zahl der positiven Antworten zu reduzieren, wird jeder – wie es für diesen Gerätetypus typisch ist – einigen Tuning-Aufwand betreiben müssen.

Der Listenpreis des Defensepro platziert ihn in die obere Riege im Test. Der Preis ist aber insofern nicht überzogen, weil die potenzielle Durchsatzleistung des Systems so hoch ist. Die Konsole ist funktional, dafür aber nicht so anpassbar wie die von ISS und Check Point. Wer Angriffsverkehr per Traffic-Shaping kontrollieren möchte, statt ihn nur zu blocken oder passieren zu lassen, der findet bei Radware eine fortschrittliche Lösung.

Interspect 610 von Check Point

Die Interspect 610 ist nur eine von vielen Systemen, die auf einem Dell-1U-Server aufsetzen, diesmal auf einer Dual-Prozessor-Maschine. Check Point weist jedem Interface dezidiert eine CPU zu. Dadurch erreicht der Hersteller einige Leistungsgewinne, da Netzwerkverkehr symmetrisch läuft. Die Interspect 610 bewältigte die Testdatenmenge, ohne bemerkenswert viel Latenz zu verursachen. Ihr User-Interface setzt die administrativen und Konfigurations-Schritte leicht verständlich und ausgereift um.

Die meiste Interaktion mit der Interspect 610 spielte sich in der dezidierten Client-Software ab. Als erstes wird der User aber mit der Web-Oberfläche konfrontiert, mit dessen Hilfe die Client-Software heruntergeladen wird. Check Point zeigt den Encryption-Public-Key-Fingerprint an, so dass der Anwender selbst verifizieren kann, dass kein Man-in-the-Middle-Angriff stattfand. Dies schafft zusätzlich Vertrauen, wenn der Administrator den Client über ein öffentliches Netzsegment installiert. Das kleine Detail sagt viel über die Ausgereiftheit der gesamten Lösung.

Das schlanke Interface wird wohl einige User überfordern. Im Test wären einige spezifische Angaben zu den Angriffen und eine Echtzeitsicht in einigen Bereichen wünschenswert. Das Interface bietet nur wenige direkte Wege, um Daten und Statistiken einzusehen. Es wäre eine größere Zahl von Darstellungen und Drill-downs sinnvoll, die beispielsweise Event-Counts, den jüngsten Event, das potenzielle Risiko oder Gegenmaßnahmen anzeigen. Insbesondere die Standardberichte zur Aktivität werden Administratoren in gehobenen Positionen glücklich machen, einen Sicherheitsspezialisten aber zu wenige Antworten liefern. Zumindest verlangt die Interspect, dass man nur ein einziges Interface lernen muss, denn es lässt den Zugriff auf alle Funktionen zu.

Um Angriffe zu erkennen, vertraut das System heuristischen Analysen. Diese Geräte stimmen ihre Erkennungs- und Gegenmaßnahmen-Charakteristik über die Zeit immer besser an die Umgebung an. Keine Frage also, dass ein zeitlich beschränkter Test nicht die volle Kunst dieser Geräte zeigen kann. Aber selbst in der verhältnismäßig kurzen Testzeit konnte Interspect überzeugen. Es ist ein wenig Arbeit nötig, um die individuellen Interfaces und Zonen zu definieren. War dieser schnelle Prozess einmal abgeschlossen, erkannte Interspect sowohl in den künstlichen als auch den echten Daten Würmer und Expoits.

Zuerst interpretiert die Interspect den Datenverkehr eher locker. Das System ist so konzipiert, dass es im Laufe der Zeit immer genauer wird, da es den Charakter des Netzes besser versteht. Der Administrator kann diese Lernphase beschleunigen, indem er die Einstellungen manuell justiert. Das Interface macht diese Schritte leicht. Im Test wurde die Konfiguration der Lösung so modifiziert. Ein Blick in die Berichte der ersten Testphase gaben die nötigen Detailinformationen. Danach hat die Interspect weitaus aktiver darüber berichtet, welche Würmer etc. sie fand. Selbst geschriebene Signaturen werden unterstützt, wobei diese Funktion in einem Interface der System-Software eingebettet ist. Ein weiterer Beleg für den direkten Umsetzungs-Charakter in diesem Produkt.

Der Preis der Interspect platziert sie im Mittelfeld. Wer ein relativ stabiles, konstantes Netzwerk betreibt, so dass es typische Verkehrsmuster gibt und sie die Heuristik erlernen kann, der bekommt mit dem Interspect ein solides und vernünftig taxiertes IPS.

Ipangel X3 AVS-400 von Lucid Security

Das Ipangel ist eines von zwei Systemen im Test, das auf Linux-Open-Source-Software basiert. In dem Fall hat der Anbieter Lucid Security als Grundlage für das gesamte IPS ein Redhat-Linux gewählt. Wie das Model 60 von Security Metrics umhüllt das Ipangel eine Vielzahl von Programmen wie Nessus, Snort und IP-Tables mit einem Management-Interface. Auf diese Weis erhält der User einen integrierten IPS-Server. Lucid hat diese Aufgabe gut gelöst und fordert einen attraktiven Preis. Leider hat die Implementierung einige Macken und Eigenheiten.

Das erste Problem stellte sich, als Ipangel vehement an das Internet angebunden werden wollte, um die Lizenzschlüssel zu prüfen und die frischen Signaturen herunterzuladen. Dieses Risiko werden einige nicht eingehen wollen. Es wäre schön, wenn das Risiko von einem leichten Registrierungsprozess zumindest teilweise kompensiert worden wäre. Aber hier hat Lucid die Angelegenheit komplizierter gestaltet als alle anderen im Test.

Das Ipangel-System lässt sich so einstellen, dass es eine Vielzahl von Bedrohungen registriert und sie entsprechend behandelt. Alle künstlich geschaffenen Attacken fielen beispielsweise darunter. Bei der Konfiguration und später bei der Bewertung der Aktivitäten traten jedoch einige Probleme auf. Obwohl Lucid das Interface so weit verfeinert hat, dass der Anwender mit der Linux-Welt möglichst wenig konfrontiert wird, so sind doch einige Anpassungen nur dort angelegt. Um einen Linux-Spezialisten kommt man wohl nicht herum. Im Testfall wurde eine Gruppe von Firewall-Regeln definiert. Sie sollten verhindern, dass jemand über das gewöhnliche User-Interface auf das System zugreifen kann. Ein kurzer Umweg zur Linux-Command-Line und wenige Modifikationen von Iptables stellten den Zugang zum Management-Interface wieder her.

Die Schwierigkeiten mit den Berichtsfunktionen begannen, als das System Events an einen externen Syslog-Server melden oder entsprechende SNMP-Trabs generieren sollte. Diese leichten Defekte sind nicht fatal, erschweren es aber, Ipangel in eine größere Sicherheitsinfrastruktur zu integrieren. Es ist verglichen mit dem Produkt von Security Metrics auch aufwändiger, bei Ipangel über das Management-Interface an Echtzeitinformationen zu gelangen.

Das Ipangel-Konzept ist das Schnäppchen in diesem Vergleich. Das Gerät erkennt Angriffe ganz gut und erzeugt nur wenige False-Positives. Es basiert auf einer Produktzusammenstellung, die auch eine Vielzahl von Usern aus der Open-Source-Gemeinde gern wählt. Das zusätzliche Management-Interface macht einen ausgereiften Eindruck. Falls die eigene Netzwerkabteilung Linux kennt und mag, könnte sie ihr Netz durchaus von Ipangel beobachten lassen.

V-1000 von V-Secure

Als einziges System im Test vertraut V-1000 gänzlich heuristischen Analysen. Sein Monitoring- und Blocking-Modell ist kreativ und kann durchaus effizient arbeiten, aber nicht problemfrei. V-Secure verwendet ein Feedback-Loop-Modell, bei dem die Box einen Angriff erkennt, einen Filter ausprobiert und dann schnell darauf reagiert, wie erfolgreich dieser Filter arbeitete. Eine interessante Funktion, die jedoch komplett von der Anomalie-Erkennung und dieser Aufklärungsphase abhängig ist. Falls jemand über Google einen verwundbaren Server sucht, einen direkten Angriff über eine bekannte Vulnerability gegen diesen startet, wird ein Anomaly-Detection-System hier kaum ein feindliches Muster erkennen. Dies zeigt die Grenzen dieses Ansatzes. Es ist wirklich eine Pattern-Matching-Engine nötig, um direkte, bekannte Angriffe zu stoppen. Die Testergebnisse legten offen, dass sich V-Secure sicher dazu eignet, DoS-Attacken zu erkennen und zu stoppen. Es hat so schnell auf diese reagiert und die Daten geblockt, dass sie fast gar keinen Einfluss auf das Netz nahmen.

Im Leistungstest hat die V-1000 die 400 MBit/s souverän bewältigt. Dann wurde die Datenmenge aufgeblasen. Erst als das Volumen sich 1000 MBit/s näherte, zeigte die V-1000 klare Anzeichen einer Überlastung. Das Produkt mag es überhaupt nicht, wenn private Netzwerk-Adressen über ihr Public-Interface geroutet werden. Lag es vielleicht daran, oder weil der Test nicht oft genug wiederholt wurde – das V-1000-System hat jedenfalls weder Code Red noch den JPG-Exploit abgefangen. In der ersten Testphase hat das IPS aber die meisten Attacken entdeckt.

Das primäre User-Interface ist logisch angeordnet. Es ist zwar nicht besonders intuitiv, dafür aber auch nicht kontraproduktiv. Angriffe und ausgelöste Maßnahmen lassen sich finden. Problematisch war die Vielzahl von Interfaces, die für die unterschiedlichen Funktionen verfügbar waren. Vier Interfaces allein für den Administrator, den Manager, Vorgesetzte und nicht zu vergessen die Nachtschicht. Keines bezieht sich auf das andere. Wer zwischen ihnen wechselt, um sinnvolle Informationen zu finden, begibt sich auf ein interessantes Abenteuer.

Die V-1000 gibt viele Versprechen, sollte aber mehr davon tatsächlich einhalten. Die nächste Generation dieses Produkts könnte es durchaus konkurrenzfähig machen.

Info

So testete Network Computing

Wir setzten zwei Testgänge auf. In der ersten Phase nutzten wir die Daten des angebundenen Universitätsnetzes, die sich aus Internet- und Internet2-Informationen zusammensetzten. Hier wollten wir sehen, wie die Produkte mit echten und großen Paketmengen zurecht kommen, wobei sie hierbei in einer passiven Konfiguration aufgesetzt waren. Netoptics lieferte uns einen 8-Port-Regenerative-Optical-Tab, um diese echten Daten in das Testlabor umzulenken. Auch bereits existierende Span-Ports haben den Verkehr gespiegelt.

Der Vorteil eines Fiber-Tabs: Er kann beide Seiten einer Konversation für das IPS simulieren. Dadurch trennt er die Daten in zwei unterschiedliche Teile der Kommunikation auf und bildet so die natürliche Umgebung eines IPS ab. Ein Span-Port dagegen lädt beide Seiten auf ein Interface und verfälscht die Session.

Die Geräte waren über einen isolierten Cisco-2940-Switch oder ein Crossover-Kabel an ihre Management- und Reporting-Station gekoppelt. Der Switch war nur bei Produkten notwendig, die mindestens drei verschiedene Komponenten auf drei unterschiedlichen Plattformen benötigten.

Wir verwendeten Vmware für Hosts, die zusätzliche Management-Pakete wünschten. Für Web-Interfaces nutzten wir Mozilla auf einem Redhat-Linux oder den Internet-Explorer (IE) unter Windows, beide aber innerhalb von Vmware.

In der zweiten Testphase haben wir die Produkte im Inline-Modus untersucht. Dazu lieferte Ixia das »1600T«-Mainframe-System mit zwei Blades, eines mit 4 GBit/s-Interfaces, das andere mit 8 100BaseT-Ports. Die Software »IxChariot« auf der Ixia-Hardware hat die Daten dann generiert, wobei ein Hewlett-Packard-Laptop noch einige Lab-eigene Skripts dazwischen mischte. Mit Hilfe von Ixia entwickelten wir eine Testkonfiguration. Sie setzte sich aus typischem Hintergrundverkehr, bestehend aus einer Vielzahl echter Protokolle und zugleich simulierten Attacken in verschiedenen Datenraten zusammen. Die Angriffe bestanden aus mehreren Exploits: Webpages, die eine Vielzahl von IE-Exploits starteten, Nmap-ähnliches Scanning und Code-Red. Die von Ixia generierten Daten schickten wir über zwei Cisco-3750-Router und platzierten die IPS inline dazwischen.

Bei diesem Test trat ein Relikt der Laborumgebung zutage. Wir verwendeten TCP-Ports, um die verschiedenen Protokolle zu simulieren. Die Daten innerhalb des Pakets haben nicht immer mit dem Protokoll übereingestimmt. Viele der IPS haben daraufhin Alarme generiert, die genau das beanstandeten. Sie haben den Verkehr auch geblockt.

Die Messungen der Bandbreite sind daher nicht genau. Die Leistung würde in einem echten Netzwerk, da dort weniger dieser künstlichen Paket-Fehler auftauchen, wohl höher, da die IPS weniger Ressourcen aufbringen müssten.

Fazit

Intrusion-Prevention-Systeme (IPS) sollen als Rückendeckung für Firewalls bekannte und unbekannte Angriffe, Würmer und Viren aufhalten. Die Real-Word Labs wollten es genau wissen und haben neun dieser IPS einem Test unterzogen. Die Ergebnisse sind durchaus ermunternd. Zwar hat kein Produkt eine Note »A« verdient, weil sie insgesamt noch in verschiedenen Bereichen Schwächen zeigen, doch haben sie ihre Aufgabe in toto erfüllt: Angriffe erkennen und blocken, dabei so wenige False-Positives wie möglich generieren.

Am besten schnitt das »Netscreen IPD 1000« von Juniper ab, dicht gefolgt von der »FortiGate 3600 Antivirus Firewall«. Beiden Systemen ist es gelungen, eine solide Leistung, eine einfachen Konfiguration und vielfältige Funktionen in die richtige Balance zu bringen. Die größere Flexibilität hat zum Schluss den Ausschlag für das Juniper-System gegeben. Die Mitanbieter liegen dahinter, sei es, weil ihre Management-Funktionen und -Schnittstellen noch nicht ausgereift genug sind oder ihre Signaturen frische Angriffe nicht erkannten. [ nwc, pm ]