Digitalen Türstehern gleich prüfen Intrusion-Prevention-Systeme alle Daten, die in das zu schützende interne Netzwerk oder Netzwerksegment gesendet werden.

IPS dürfen Ressourcen im Unternehmensnetz nicht beeinflussen, damit Datenver-kehr und Anwendungen ungebremst weiter laufen.

Unternehmen stellen sich trotz zahlreicher, sehr guter Lösungsansätze der IT-Industrie weiterhin die Frage, ob ihre unternehmenskritischen Daten sicher sind. Die steigende Abhängigkeit vom Internet und einem funktionierenden Firmennetzwerk für Geschäftsabläufe hat die Anforderungen an Sicherheit drastisch erhöht. Nach den Erfahrungen der vergangenen Monate mit Viren, Würmern und Server-Attacken sind die Gefahren größer geworden. Die IT-Administratoren sehen sich im Bereich proaktives Risiko-Management mit neuen Herausforderungen konfrontiert. Die heutigen Netzwerk-Angriffe treten häufiger auf, sind aggressiver und verbreiten sich schneller auf Systemen als früher. Das rechtzeitige Aufspielen der aktuellsten Patch-Dateien ist nahezu unmöglich geworden und lässt zahlreiche Systeme für kurze Zeit immer wieder in ein Sicherheitsloch fallen. Auch Regulierungs-Anforderungen durch den Gesetzgeber zum Schutz von privaten oder integren Daten sorgen dafür, dass Schutzmechanismen schon im frühest möglichen Stadium eingerichtet werden müssen.

Trotz enormer Investitionen seitens der Unternehmen existieren immer noch Sicherheits-Schlupflöcher. Finanzielle Verluste auf Grund von Cyber-Kriminalität schnellen in die Höhe, vor allem, wenn der Geschäftsbetrieb beziehungsweise Transaktionen unterbrochen werden. Firewalls bieten zwar eine gewisse Kontrolle über offene Ports, sind aber letztlich nicht ausreichend, da sie kaum Schutz bei den immer weiter verbreiteten Angriffen durch Hybrid- und Denial-of-Service-Attacken (DoS) sowie bei Angriffen über die zugelassenen Protokolle bieten.

Dynamische Angriffe erfordern neue Lösungen

Ein dynamischer Ansatz auf verschiedenen Ebenen des Netzwerks ist für eine umfassende Sicherheits-Strategie empfehlenswert. Dabei kommen sowohl Netzwerk-basierte wie auch Host-basierte Lösungen zum Einsatz. Mit diesen sich ergänzenden Technologien lässt sich maximaler Schutz erzielen. Präventive Sicherheit bedeutet aber auch den Einsatz von Vulnerability-Assessment und -Management, um die Anfälligkeit für Angriffe zu erkennen und im Vorfeld zu verringern.

Bisherige Intrusion-Detection-Lösungen sind eher als »passive Alarmanlagen« zu sehen, die lediglich einen Einbruch melden, aber nicht agieren können. Bei den bisher eingesetzten Intrusion-Detection-Lösungen ist im Betrieb der Aufwand für den Administrator sehr hoch. Das Hauptproblem sind die vielen Alarme, die von Hand abzuarbeiten sind. Diese manuelle Analyse der Aktivitäten sprengt das Zeitbudget der Sicherheitsverantwortlichen und ist bei schnelleren Geschwindigkeiten im Netzwerk schlicht nicht mehr durchführbar. Außerdem ist nach einem False-Positive-Alarm teilweise eine erneute Konfiguration der Server und des Netzwerks erforderlich.

Intrusion-Prevention hingegen ist vergleichbar mit dem Türsteher, der sich bereits vorher die aus- und eingehenden Personen ansieht. Dieser Vergleich lässt sich einfach auf die Netzwerk-Umgebung übertragen. Der Datenverkehr wird mittels Intrusion-Prevention-Appliances in Leitungsgeschwindigkeit »beobachtet« und sowohl auf vorgegebene Muster (Signaturen) als auch auf Abnormalitäten (Protokoll-Analyse und Verhalten) untersucht. So lässt sich der gesamte aus- und eingehende Verkehr einer Verbindung besser inspizieren. Komplexe Angriffe werden sichtbar und Transaktionen »stateful«, also immer im Zusammenhang mit bereits erfolgten Aktionen und nicht nur ausschließlich auf Paketebene gesehen. Vom System als unverdächtig eingestufte Pakete werden weitergeleitet. Wird ein Angriff erkannt, so können die Pakete verworfen und die Verbindung beendet werden. Zur späteren Analyse können diese und folgende Pakete aufgezeichnet werden.

Intrusion-Prevention-Systeme werden also innerhalb des Unternehmens-Netzwerks installiert, um Angriffe im Netzwerk zu erkennen und zu stoppen.

Intrusion-Prevention-Systeme dürfen daher Ressourcen im Netzwerk nicht beeinflussen, damit sowohl Datenverkehr als auch Host-basierende Anwendungen mit ungebremster Performance, also ohne Latenzzeit, weiter laufen. Die Analyse muss nahezu in Echtzeit stattfinden, die Latenzzeit vergleichbar der eines Switches sein. Damit ist gewährleistet, dass keine negativen Auswirkungen auf Verfügbarkeit und Leistung zu erwarten sind. Dafür sind leistungsfähige Sicherheits-, Netzwerk- und Datenprozessoren auf Seiten der Hardware nötig. Im Gegensatz zu meist softwarebasierenden Intrusion-Detection-Lösungen wird bei IPS-Lösungen im Netzwerk wie bereits oben angesprochen häufig eine Appliance mit speziellen Netzwerkprozessoren eingesetzt, um auch in Gigabit-Ethernet-Netzwerken den nötigen Durchsatz zu erzielen.

Weiterhin muss Intrusion-Prevention schädigende Aktivitäten mit Hilfe einer Kombination verschiedener Algorithmen erkennen. Zusätzlich zur Abwehr von Angriffen mit bekanntem Strickmuster über Signaturen – wie bei Intrusion-Detection-Systemen – sollen eine intelligente Protokollanalyse und verhaltensbasierende Algorithmen auf Applikations-Level der Protokolle einen Angriff unwirksam machen. Intrusion-Prevention muss natürlich verlässlich zwischen Angriffen und normalen Aktivitäten unterscheiden. Die Kombination von Protokollanalyse und Signaturen macht dies möglich.

Umfangreiche Reporting-Funktionen

IPS muss zusätzlich über ein umfangreiches Reporting verfügen. Dies beinhaltet auch das Aufzeichnen der Pakete, die einen Alarm ausgelöst haben, und der vorausgehenden sowie folgenden Pakete dieser Verbindung. Erst das macht die Analyse eines Alarms möglich. Während der Implementation kann so schnell zwischen einem richtigen Alarm oder einem möglichen Fehlalarm unterschieden werden. Im späteren Betrieb können diese Daten als Nachweis eines Angriffs gesichert werden. Ebenso wie der Alarm selbst, werden diese Daten über einen separaten Port zu einem zentralen Managementserver übermittelt. Wirksamer Intrusion-Prevention-Schutz umfasst alle relevanten Kommunikationsebenen des ISO-Siebenschichtenmodells ab Layer-3 und untersucht möglichst viele Protokolle. Die Leistung sollte sich analog zum Netzwerk skalieren lassen. Die Implementierung muss unabhängig von der vorhandenen Netzwerktopologie möglich sein und sich über mehrere Wege wie Inline, Tap (Test-Port für die Netzwerkanalyse), und Span (Mirror-Port) vornehmen lassen. Mittels Port-Clustering lassen sich physikalisch getrennte Datenströme zusammenfassen und können als einer analysiert werden. Das ist wichtig bei asynchronem Routing oder in einer Umgebung mit Load-Balancern.

Host-basierende Intrusion-Prevention

Bei Host-basierender Intrusion-Prevention werden im Gegensatz zur Intrusion-Detection unerwünschte Aktionen auf einem System nicht nur erkannt und protokolliert, sondern direkt unterbunden. Erkennt zum Beispiel ein IDS Modifikationen an Dateien, so bemerkt ein IPS den Versuch, diese Dateien zu ändern und blockt diesen. Das IPS fängt Systemcalls, die Schnittstellen zwischen Programmen und dem Kernel des Betriebssystems, ab und überprüft diese vor der Ausführung. Verstoßen sie gegen die Policy, werden sie abgeblockt und eine Fehlermeldung zum aufrufenden Prozess zurückgegeben. Nachdem Schadprogramme bei sämtlichen Angriffen früher oder später Funktionen des Kernels nutzen müssen, ist hier eine Absicherung auf einer sehr tiefen Ebene realisierbar.

Das Wichtigste: Die Überprüfung an der Schnittstelle zum Betriebssystem erlaubt es auch, Aktivitäten bisher unbekannter Trojaner, Würmer oder Exploits von Sicherheitslücken zu stoppen. Entsprechende Lösungen sollten dies nutzen. Idealerweise beschränkt sich diese Methode nicht nur auf unerlaubte Schreibzugriffe durch bösartige Software, sondern stoppt auch unerwünschte Aktionen angemeldeter Benutzer und Zugriffe über ein Netzwerk. Da auch diese mit dem Kernel des Betriebssystems kommunizieren müssen, lassen sich an dieser Stelle ebenfalls feine Abstufungen bezüglich deren Privilegien vornehmen. Der entscheidende Vorteil von IPS gegenüber IDS ist die starke Entlastung der Administratoren durch das Blocken von Angriffen, die Wiederherstellung der Systeme entfällt.

Beispiele für Intrusion-Aktivitäten

Attacken wie durch Würmer, konnten sich in kurzer Zeit zu einem ernsten Problem für Netzwerke entwickeln, da es zu diesem Zeitpunkt noch sehr wenige Lösungen gab, die auch neue, bis dato unbekannte Gefahren zu erkennen und zu isolieren vermochten. Zukünftig werden Bedrohungen dieser Art innerhalb noch kürzerer Zeit entstehen. Würmer sind spezielle Programme, die sich automatisch verbreiten und dabei sowohl Netzwerkkapazitäten blockieren als auch Systeme im Netzwerk schädigen. Häufig richten sie auf einem einmal betroffenen System Hintertüren ein, die unbefugten Zugang zum System geben, selbst wenn der Wurm schon lange entfernt wurde. Würmer wie Nimda, Nachi oder Sasser haben sowohl im Internet als auch in Unternehmensnetzwerken innerhalb weniger Stunden viele tausend Systeme betroffen.

Größere Unternehmen sind ein beliebtes Ziel für Denial-of-Service-Attacken (DoS). Durch das Überfluten von Servern mit einer sich wiederholenden Welle von Anfragen, werden häufig frequentierte Internet-Seiten verlangsamt beziehungsweise zum völligen Absturz gebracht. Über das TCP/IP-Protokoll antwortet jeder Server auf den Verbindungswunsch eines Computers. Durch zahlreiche Anfragen unter Verwendung einer falschen Quell-Adresse werden ständig unvollständige Verbindungen aufgebaut, welche die Ressourcen des Systems zum Erliegen bringen. Das Überlasten der Anbindung des Servers an das Internet durch große Datenmengen ist ein anderer häufiger Angriff.

Nicht zu unterschätzen sind letztlich Applikationsattacken. Sie nutzen die Tatsache, dass jede Anwendung, also auch solche, die mit dem Netzwerk kommunizieren können, wie ein Webserver, immer irgendwo Bugs aufweist. Über diese Bugs ist es häufig möglich, durch speziell konstruierte Anfragen einen Buffer-Overflow auszulösen. Hacker installieren dann darüber Trojanische Pferde oder Rootkits und erhalten dadurch die Kontrolle über ein System.

Einsparungspotenziale durch IPS-Lösungen

Beispiele an bestehenden Kunden von McAfee zeigen einen respektablen Return-on-Investment (ROI) auf. Ein großes Unternehmen der Sicherheits-Branche hatte beispielsweise im Jahr 2003 allein 50 Millionen Attacken gezählt. Neben dem eigenen Ruf als Sicherheitsanbieter galt es außerdem, die unternehmenskritischen Applikationen zu schützen. Nur so sind betriebsbedingte Abläufe wie Customer-Relationship-Management, Supply-Chain-Management oder finanzielle Transaktionen weiterhin ohne Unterbrechung möglich. Mit dem eigens installierten Risk-Management in Echtzeit wurden sämtliche Angriffe noch vor dem Erreichen des Unternehmens-Netzwerks geblockt und isoliert. Die durchschnittlichen IT-Kosten für die Beseitigung von Slammer lagen beispielsweise bei rund 240000 Dollar. Das Unternehmen erfuhr alleine vier ähnliche Outbreaks im Jahre 2003 und hatte somit theoretisch rund 1 Million Dollar eingespart.

IPS verhindert Downtime

Weiterhin ist das E-Business dieses Unternehmens mit 16000 Bestellungen pro Stunde zwar nicht sehr wichtig, dennoch summieren sich in der Downtime stündlich 60000 Dollar Verlust. Manche anderen Unternehmen waren bis zu 60 Stunden von ihrem E-Business abgeschnitten. Rechnet man lediglich eine Downtime von zehn Stunden und das bei vier Outbreaks im Jahr 2003, wäre theoretisch immer noch ein Verlust von 2,4 Millionen Dollar pro Unternehmen dieser Qualität zu vermelden. Das oben genannte Beispiel-Unternehmen hat durch den Umstieg auf IPS immerhin vier von sechs früher nur für den Betrieb des Intrusion-Detection-Systems zuständige Personen wieder mit anderen Aufgaben betrauen können. Dadurch wurden rund 400000 Dollar bei der Administration eingespart. Das Referenz-Unternehmen ist verhältnismäßig groß und hat über einen Zeitraum von drei Jahren insgesamt 43 IPS-Appliances vom Typ »IntruShield« im Failover-Modus (High-Availability) integriert. Die positiven Auswirkungen der Installation einer Intrusion-Prevention-Lösung werden aber auch kleinen und mittleren Unternehmen eine Reduzierung der laufenden Kosten bei gleichzeitiger Steigerung der Sicherheit bieten können.

Toralv Dirro, Security Lead Sales Engineer McAfee Security