Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Digitale Torwächter

Digitale Torwächter

27. September 2007, 13:15 Uhr |

IPS-Technologie — Durch den Druck sich ständig verändernder Bedrohungen entwickelt sich die aktive Netzwerksicherheitstechnologie rasant weiter.

Netzwerk-Intrusion- Prevention-Systeme etablieren sich als erweiterter Grundschutz, indem sie einen realisierbaren Schutz gegen Remote-Exploits, die Verbreitung von Malicious-Code, Denial-of-Service-Angriffe, Botnets und andere Netzwerk-Bedrohungen bieten. Die »digitalen Torwächter« Netzwerk-IPS bilden mittlerweile einen integralen Bestandteil eines mehrstufigen Konzeptes zum Schutz von kritischen IT-Ressourcen und einem effektiven Risikomanagement.

Evolution der Netzwerkrisiken
IT-Sicherheistverantwortliche stehen heute vor einer Reihe von Fragen: Welche neuen Risiken hält die Zukunft für die Netzwerk-Infrastrukturen bereit? Werden sich die so genannten »hybriden« Bedrohungen weiter entwickeln und an Popularität gewinnen oder kommt es noch schlimmer? Ein »Satan«-Virus, der höchst wahrscheinlich eine Kombination von Phishing, Spam und Spim als Initial-Vektoren nutzt, existiert zwar noch nicht, ist aber laut Mike Bond und George Danezis von der University of Cambridge Computer Laboratory durchaus in nächster Zeit zu erwarten. Wenn die beiden Autoren Recht behalten und sich die Computervirus-zu-Mensch-Kommunikation linguistisch signifikant weiter entwickelt, werden sich wesentliche Risiken für Unternehmen auch in Zukunft aus den Bedrohungen auf die Netzwerk-Infrastrukturen herleiten.

Laut Gartners »Hype Cycle for Cyberthreats, 2005« wird die überwältigende Mehrheit neuer Bedrohungen hybride Techniken nutzen. Diese neuen Techniken beweisen zunehmend ihre Fähigkeiten, sich in unzureichend geschützten Netzwerk-Infrastrukturen erfolgreich zu verbreiten. Immer häufiger finden erfolgreiche Angriffe auf die IT-Infrastrukturen durch Würmer- und Virenausbrüche, potentiell gefährliche Belästigungen durch Spam oder Spyware sowie die dramatisch zunehmende Häufigkeit zielgerichteter Denial-of-Service-Angriffe den Weg in die Schlagzeilen.

Um die Evaluierungs- und Auswahlkriterien für IPS-Systeme präziser darstellen zu können, ist es sinnvoll, die Vielzahl potentieller Bedrohungen in drei Hauptkategorien zusammenzufassen:

  • Malicious-Content im Netzwerkverkehr, wie die Ausnutzung von Schwachstellen, Würmer, Spyware und andere Malware.
  • Unerwünschter Zugriff (Undesired-Access) auf Netzwerke oder Systeme, einschließlich unautorisiertem oder illegalem Zugriff.
  • Volumenbasierende Angriffe (Rate-Based-Attacks) auf Infrastrukturen und Systemressourcen wie Synfloods oder andere Denial-of-Service-Attacken.

Neben den notwendigen Kontroll- und Schutzmechanismen auf der Benutzer- und Desktopseite werden moderne IPS-Techniken einen weitgehend vollständigen Schutz in allen Bereichen der Netzwerk-Sicherheitsrisiken bieten.

Evolution der Intrusion-Prevention-Systeme
Auch wenn Firewalls heute einen etablierten und zuverlässigen Schutz gegen die meisten Risiken darstellen, zeigt die Erfahrung, dass Angreifer immer wieder Wege finden, auch den kleinsten Zugangspunkt in eine Organisations-Infrastruktur zu finden und für ihre Zwecke auszunutzen. Trotz der fortschreitenden Entwicklungen der Firewalltechnologien und der damit einhergehenden Reduzierung der Anzahl von »Zugangsmöglichkeiten« haben sich die Bedrohungen exakt auf diese offenen Zugänge konzentriert. Dadurch schaffen es Remote-Exploits, Malicious-Content, DoS-Attacken und Application-Level-Attacks auch heute durch die meisten Firewall-Installationen hindurch.

Aus diesem Grunde setzt eine stetig wachsende Anzahl von Unternehmen im Jahr 2006 auf Intrusion-Prevention-Systeme, um den größer werdenden Risiken auf Seiten der Netzwerksicherheit besser begegnen zu können. Dieser Trend wird sich positiv auf die Gesamtsicherheit eines Unternehmensnetzes auswirken, da sich insbesondere Inline-Intrusion-Prevention-Systeme mit Deep-Packet-Inspection-Funktionalitäten zunehmend als kritische Technologiekomponente für einen vollständigen Schutz entwickeln.

Im Gegensatz zu den traditionellen IDS-Lösungen, die als Teil der Monitoring-Infrastruktur integriert wurden, kommen moderne IPS-Systeme heute als integraler Bestandteil der »Protection«-Infrastruktur eines Unternehmens zum Einsatz. In Organisationen mit kleineren Netzwerk-Infrastrukturen sind die Intrusion-Prevention-Techniken häufig in Systeme integriert, die unter die Kategorie der Unified-Threat- Management-Produkte (UTM) fallen.

IPS-Einsatzszenarien
Die Entscheidung, wo IPS-Systeme zum Einsatz kommen, orientiert sich grundsätzlich an der Wertigkeit der zu schützenden Ressourcen sowie an der Wahrscheinlichkeit, von wo potentielle Bedrohungen ausgehen können.

Neben den klassischen Gateway-Bereichen (Internet und Extranet-Übergänge) eines Unternehmensnetzes kommen moderne und leistungsfähige IPS-Systeme immer häufiger im internen Bereich eines Corporate-Networks zum Einsatz. Hier wird insbesondere dem Schutz hochkritischer Unternehmensapplikationen sowie der Segmentierung unterschiedlicher Netzbereiche ein immer größeres Augenmerk gewidmet. Durch die Positionierung von IPS-Lösungen näher an die zu schützenden Ressourcen wird gleichzeitig der Schutz sowohl vor externen als insbesondere auch vor internen Bedrohungen gewährleistet.

Auswahlprozess für ein IPS-System
Auf Grund der dynamischen Entwicklung von Bedrohungen auf die Netzwerksicherheit und der stetigen Weiterentwicklung moderner IPS-Technologien, sollte größte Sorgfalt bei der Auswahl für ein solches IT-Investment gemacht werden. Es gibt eine Reihe bekannter Limitierungen, die vermieden werden sollten.

Es ist nicht unbedingt zu empfehlen, einfach den Datenblättern der verschiedenen Hersteller zu vertrauen. Diese Standard-Marketing-Informationen sind für eine Vorauswahl möglicherweise hilfreich, reichen aber für eine derartige Investitionsentscheidung bei weitem nicht aus.

Tests durch unabhängige Institutionen eignen sich gut für ein Benchmarking verschiedener Lösungen, geben jedoch keinerlei Aufschluss über die spezifischen Anforderungen des individuellen Unternehmens insbesondere in Bezug auf die Netzwerktopologie, das Bedrohungsprofil oder das spezifische Betriebsmodell.

Auch die Implementierung einer potentiellen Lösung in den vorgesehenen Bereich einer Netzwerk-Infrastruktur ist nur bedingt aussagefähig. Eine solche Evaluierung in der Produktivumgebung ist zwar notwendig, hat aber insbesondere für den Fall, dass in dem Testzeitraum keinerlei sicherheitsrelevante Vorkommnisse zu beobachten sind, nur eine sehr eingeschränkte Aussagefähigkeit über die Leistungsfähigkeit des getesteten Systems. Es bleibt die Frage, wie sich das IPS-System unter Angriffslast verhält und wie zuverlässig es Angriffe erkennt.

Der nachfolgend dargestellte Prozess, der für die meisten Investitionen in IT-Sicherheitssysteme Gültigkeit hat, kann für die Auswahl eines geeigneten Netzwerk IPS Systems herangezogen werden.

  • Unternehmerischen Nutzen identifizieren: Wie bei jeder Investitionsentscheidung für eine Technologie ist auch für die Auswahl einer IPS-Lösung die Identifikation des unternehmerischen Nutzens von kritischer Bedeutung. Die generelle Verbesserung der Netzwerksicherheit, die Einhaltung von Compliance-Regularien sowie die Verhinderung einer Wiederholung eines Sicherheitsereignisses gehören zu den verbreiteten unternehmerischen Nutzen-Kriterien für eine solche Investition.
  • Auflistung aller unternehmensspezifischen Anforderungen: Eine der wesentlichen Auswirkungen heutiger Flexibilität moderner Netzwerkkomponenten besteht in der Tatsache, dass jedes Netzwerkdesign einmalig ist. Man wird nur schwerlich zwei Unternehmensnetze finden, die in allen Aspekten identisch sind. Bevor IT-Verantwortliche also eine Ausschreibung für ein Netzwerk-IPS-System vorbereiten, sollten sie sich die Zeit nehmen und mögliche Spezialanforderungen in Bezug auf ihre Netzwerktopologie, ihre Leistungsanforderungen oder ihre Systemmanagement-Umgebung sowie deren Einfluss auf die Auswahlkriterien für eine IPS-Technologie untersuchen. Übliche Anforderungen beziehen sich auf die Anzahl und die Größe von Internet-Anbindungen, wo und wie die »Operation-Center (NOC/SOC)« angebunden sind, Anzahl der Server, Anzahl von Client-Rechnern, die über einen spezifischen Netzwerkpfad an das Internet angebunden sind, die Art und Menge von verschlüsseltem Netzverkehr sowie den Einsatz von Spezialkomponenten wie Webcaches, Firewalls, Traffic-Shaper oder Proxies.
  • Vorauswahl möglicher IPS-Lösungen: Im Zuge der zunehmenden Verbreitung von IPS-Technologien sollten IT-Verantwortliche sich die Arbeit anderer, die bereits IPS-Lösungen evaluiert haben zunutze machen. Als Informationsquellen dienen unabhängige Testlabor-Berichte wie sie von den Real-World Labs der Network Computing durchgeführt werden. Es gehört viel Zeit, Erfahrung und teures Testequipment dazu, um die wirklichen Detailunterschiede dieser Systeme herauszuarbeiten, und so macht sich eine »kleine« Investition in professionelle Testberichte sehr schnell bezahlt. Zu guter letzt sollten IT-Entscheider nicht vergessen die Hersteller direkt zu kontaktieren um so an die neuesten Produktinformationen zu gelangen. Auch wenn Herstelleraussagen nicht als alleiniges Kriterium herangezogen werden sollten, so dienen sie doch dem Vergleich einiger Grundfunktionen der Lösungen.
  • Testen der möglichen IPS-Lösungen im eigenen Netzwerk: Während das Benchmark-Testing am besten von unabhängigen Testlabors durchgeführt werden sollte ist es unabdingbar, dass IT-Entscheider die in Frage kommenden IPS-Systeme in ihrem eigenen Netzwerk ausprobieren, bevor sie eine Kaufentscheidung treffen. Die meisten Hersteller werden ihre Systeme für eine Evaluierung in der individuellen Netzwerkumgebung für ein paar Wochen zur Verfügung stellen. In diesem Zeitraum sollten die IT-Verantwortlichen das System installieren – das IPS-System sollte zunächst in einem Bypass-Mode implementiert sein –, für das Testsegment konfigurieren, es nutzen, einige Reports zu generieren und die Betriebsgruppe zu involvieren, um dann festzustellen, ob das System generell den zuvor definierten unternehmerischen Nutzen erzielt.
  • Anschaffung und Implementierung: Nachdem ein für die individuellen Anforderungen geeignetes System identifiziert ist, geht es um die Anschaffung und die vollständige Implementierung. IT-Entscheider sollten bei der Beschaffung auf ausreichende Server-Ressourcen für das zentrale IPS-Management und die Event-Sammlung für die geplante Anzahl von IPS Systemen der nächsten drei Jahre achten.

IPS-Auswahlkriterien
Der oben beschriebene Prozess hilft IT-Entscheidern bei der Auswahl einer geeigneten IPS-Lösung. Wenn es aber um die eigentlichen Kriterien für die Auswahl geht, gibt es eine Vielzahl von Aspekten heutiger IPS-Technologien zu beachten. Um die Sache jedoch nicht unnötig zu verkomplizieren kann das Ganze auf vier wesentliche Anforderungen reduziert werden, die sowohl als technische als auch betriebliche Auswahlkriterien herangezogen werden sollten. Die Überprüfung der im folgenden aufgeführten Kriterien sollte dann sowohl aus unabhängigen Testberichten (vergleichbare Benchmarking-Kriterien), den Ergebnissen der Produktevaluierung im eigenen Haus, als auch mit Hilfe der verfügbaren Hersteller-Dokumentationen abgeleitet werden.

Protection: Wird das IPS-System die kritischen IT-Ressourcen wirkungsvoll gegen alle möglichen Bedrohungen schützen? Das IPS-System sollte über die folgenden Funktionen verfügen:

  • Stateful-Firewall-Filter zum Schutz vor unberechtigten Zugriff,
  • Schutz vor Network-Layer-Attacks,
  • Schutz vor DoS- und DDoS-Angriffen,
  • Schutz vor bekannten Remote-Exploits,
  • Schutz vor unbekannten und Zero-Day-Remote-Exploits,
  • Schutz vor Viren, die in E-Mails enthalten sind,
  • Schutz vor der Installation und Kommunikation mit Spyware sowie
  • Traffic-Management-Funktionen zum Schutz vor Überlastung von Systemressourcen und volumenbasierten Angriffen.

Performance: Verfügt das IPS-System über ausreichende Performance um die kritischen IT-Ressourcen zu schützen und gleichzeitig legitime Transaktionen zu gewährleisten? Die folgenden Kriterien sollten als Mindestanforderungen gelten:

  • Hohe Paketverarbeitungsrate – das IPS-System sollte nicht zum Flaschenhals werden,
  • hohe Netzwerk-Durchsatzraten inklusive Reserve für Ausfallszenarien,
  • geringe Latenzzeiten (kürzer als 100 µs sollten typischerweise erreicht werden),
  • hohe Inspektionsrate von Transaktionen einschließlich der Berücksichtigung zukünftiger Netzwerkanforderungen,
  • hohe Kapazität für Verbindungsinformationen – je mehr Verbindungsinformationen gehalten werden können, um so zuverlässiger sind die Entscheidungen der Systeme.

Nutzungsmodell: Wird das Unternehmen in der Lage sein, die volle Funktionalität und damit den vollen unternehmerischen Nutzen eines IPS-Systems effizient einzusetzen? Vom physikalischen Form-Faktor über das logische Netzwerk-Design, ein effizientes User-Interface und zentrale Management-Tools, die geeignete IPS-Lösung für das Unternehmen sollte die folgenden Nutzungskriterien erfüllen:

  • Um effektiven Schutz bieten zu können muss es sich um ein Inline-System handeln.
  • Vollständige Transparenz im Netzwerkbetrieb erlaubt es, das existierende Netzwerkdesign voll zu unterstützen.
  • Der Betrieb sollte nachvollziehbar und regelbasierend ablaufen.
  • Vom Hersteller zur Verfügung gestellte Empfehlungen und Update-Services für neue Bedrohungen sind erforderlich.
  • Ein zentrales Management sollte Kontrolle, Überwachung und Korrelation ermöglichen.
  • Diagnostische Funktionen sind sinnvoll, um neue Bedrohungen besser zu verstehen.
  • Real-Time-Incident-Response-Funktionen sind sinnvoll.

Zuverlässigkeit: Handelt es sich bei dem IPS-System um ein zuverlässiges Netzwerkelement? Wird es den Anforderungen der Netzwerk-Betriebsgruppe gerecht? In den meisten Unternehmen muss jedes neue Inline-System vor der Implementierung zunächst von der Netzwerk-Betriebsgruppe überprüft und genehmigt werden. Die Netzwerk-Betriebsgruppen werden ein IPS-System mit den folgenden Eigenschaften leichter genehmigen:

  • Die IPS-Appliance sollte nicht auf einem kommerziellen oder Open-Source-Betriebssystem aufbauen.
  • Die Hardware sollte über eine hohe MTBF verfügen und auf rotierende Teile wie Festplatten verzichten.
  • Durchschaltmöglichkeiten der Interfaces im Fall einer Fehlfunktion sollten vorhanden sein.
  • Hochverfügbarkeitskonfigurationen (HA) sollten unterstützt werden.

Fazit
Netzwerk-Intrusion-Prevention-Systeme etablieren sich als erweiterter Grundschutz der IT-Netzwerk-Sicherheit, indem sie einen zuverlässigen Schutz gegen Remote-Exploits, die Verbreitung von Malicious-Code, Denial-of-Service-Angriffe, Botnets und andere Netzwerk-Bedrohungen bieten. Netzwerk-IPS ist mittlerweile ein integraler Bestandteil eines mehrstufigen Konzeptes zum Schutz von kritischen IT-Ressourcen und einem vorbeugenden Risikomanagement, das in einer Vielzahl von wichtigen Punkten eines Netzwerks zum Einsatz kommt. Bei der Auswahl eines geeigneten IPS-Systems sollten IT-Entscheider auf die Ergebnisse von unabhängigen Testlabors für die Eingrenzung potentieller Lösungen zurückgreifen. Eine Entscheidung für eine Investition in IPS-Technologien sollten sie nur nach erfolgter Evaluierung in ihrem Netzwerk auf der Basis der Hauptkriterien Protection, Performance, Nutzungsmodell und Zuverlässigkeit treffen.

Andreas Gabelin,
Top Layer Networks

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
Riello UPS GmbH

Riello UPS GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
NFON AG

NFON AG
Vertiv GmbH

Vertiv GmbH
elektrofachkraft.de

elektrofachkraft.de