Die Sicherheitslage in der IT erfordert den Einsatz neuer Technologien. In vielen Fällen heißt die Lösung Netzwerk-Intrusion-Prevention, aber nicht überall wo IPS drauf steht, ist auch die passende Lösung drin.

IDS-basierende IPS-Lösungen waren nie für den Inline-Betrieb vorgesehen und es ist daher recht einfach sie zu überlasten.

Im Gegensatz zu Firewall-Technologien, die von je her für den Inline-Betrieb ausgelegt waren, handelt es sich bei Intrusion-Detection-Systemen um Technologien, die für die Offline-Analyse und das Reporting entwickelt wurden und dort auch helfen, die Security-Policies im Laufe der Zeit zu optimieren. Diese Daten sind sicher von hohem Wert, wenn es um den Bereich Auditing oder um forensische Zwecke geht, jedoch relativ nutzlos, wenn es gilt, ein Unternehmen proaktiv gegen einen aktuellen Angriff zu schützen.

Auf die veränderten Kundenbedürfnisse reagierten die meisten IDS-Hersteller prompt. Sie nahmen ein paar kleinere Änderungen in ihren Produkten vor, integrierten ein zweites Interface und empfahlen ihren Kunden diese Systeme »inline« zu schalten, um so Angriffe automatisch blocken zu können und nur legitime Verbindungen zuzulassen.

Einige dieser Hersteller änderten einfach nur ihre Marketing-Literatur, indem sie das »D« aus IDS, durch ein »P« für IPS ersetzten. Der unmittelbare Vorteil dieser Lösungsansätze bestand vornehmlich darin, dass sie bereits aus ihrer IDS-Zeit einige wichtige Prozesse, wie den Signatur-Update-Service für neue Viren, Würmer und Trojaner, implementiert hatten.

Die meisten Firewall-Hersteller wollten diesem Treiben natürlich nicht tatenlos zusehen und entwickelten ihrerseits Software-Updates und Zusatzmodule, um die Erkennungs- und Blockierungsfunktionen ihrer Produkte entsprechend zu verbessern. Da Firewalls von je her als Inline-Systeme entwickelt wurden und den Zustand (State) einer gesamten Verbindung – an Stelle einzelner Datenpakete – betrachteten, waren diese Entwicklungen in Richtung eines erweiterten Schutzes in Verbindung mit der so genannten Deep-Packet-Inspection zunächst Erfolg versprechender.

All diese Strategien waren von vorn herein zum Scheitern verurteilt. Durch kurzfristige Erfolge in einer Zeit, in der zum größten Teil Angriffe von geringer bis mittlerer Intensität vorherrschten, konnten diese Technologien den Unternehmen tatsächlich einen scheinbar zusätzlichen Schutz bieten. In dieser Phase betrug die Zeit zwischen dem bekannt werden einer Schwachstelle und dem ersten Angriff auf eben diese Schwachstelle noch Wochen und teilweise Monate. Diese Zeitspannen genügten den Entwicklern der IDS-Hersteller, um ein entsprechendes Signatur-Update für eine Schwachstelle ausreichend getestet zur Verfügung zu stellen.

Mittel- und langfristig haben jedoch die bekannten IDS- und Firewall-Technologien grundlegende architektonische Schwächen, die es ihnen unmöglich machen, gegen die aktuellsten Angriffstechnologien und Multi-Gigabit-Attacken einen wirkungsvollen Schutz aufzubauen. Dabei müssen wir nicht einmal die Phantasie für zukünftige Bedrohungspotentiale bemühen.

Die IDS-basierenden IPS-Lösungen waren nie für den Inline-Betrieb vorgesehen und es ist daher recht einfach ihre Leistungskapazitäten zu überlasten. Während IDS-Signaturen ein probates Mittel für die Erkennung von Angriffen im Offline-Betrieb sind, darf nur ein Bruchteil dieser Erkennungsmuster im Online-Modus aktiv geschaltet werden. Damit wurden die Administratoren dazu gezwungen, eine Vorhersage auf die wahrscheinlichsten Angriffsversuche auf ihre Netzinfrastruktur abzugeben und entsprechende Signaturen zu aktivieren. Die andere immer noch existente Herausforderung bei der Verwendung von Signaturen ist die potentielle Gefahr sogenannter False-Positive-Events, die möglicherweise zu einer Blockierung von legitimen Transaktionen führen kann.

Inline-IPS

Echte IPS-Systeme hingegen müssen inline in die Netzwerk-Infrastrukturen integriert werden, um Eindringversuche zu erkennen und zu blockieren oder einfach nur um diese zu stoppen. Das hört sich eigentlich nach der Aufgabe für eine Firewall an, weshalb viele Firewall-Hersteller, die eine Deep-Packet-Inspection-Funktionalität integriert haben, diese als IPS-System anbieten. Das Problem für diese Firewall-Architekturen ist, dass sie nie für diese höheren Schutzfunktionen vorgesehen waren und daher bei der Integration in größere Netzsegmente unter den hohen Leistungsanforderungen leiden. Tatsächlich können klassische Firewall-Architekturen nicht einmal ihre Standard-Funktionen in den Hauptsegmenten größerer Netze sicherstellen. Sie schaffen es einfach nicht, die Datenpakete in der notwendigen Geschwindigkeit weiterzuleiten. Ein Beweis dieser architektonischen Defizite ist die Tatsache, dass Ethernet-Switches heute nicht auf einer PC-Plattform aufbauen.

Ein weiteres wichtiges Kriterium für den Einsatz von Intrusion-Prevention-Systemen ist die zu erwartende zusätzliche Latenzzeit. Üblicherweise werden bei Infrastrukturkomponenten Verzögerungen im unteren Mikrosekundenbereich gemessen. Besonderer Wert sollte daher bei den Herstellern von PC- oder PC-Appliance-basierten IPS-Systemen auf die zu erwartenden Verzögerungen, die bei der Untersuchung und Weiterleitung der Datenpakete zu erwarten sind, gelegt werden. Verzögerungen im Millisekunden-Bereich werden von Nutzern in LAN-Umgebungen bereits wahrgenommen und einige der mittlerweile in vielen Unternehmen implementierten Echtzeit-Applikationen, wie Voice- oder Video-over-IP, sind nur noch eingeschränkt oder gar nicht mehr lauffähig. In den sonst üblichen Umgebungen, in denen Firewall-Technologien zum Einsatz kommen, sind derart hohe Verzögerungen weniger kritisch, da im Internet-Zugangsbereich normalerweise nicht die Bandbreiten und Datendurchsatzraten erreicht werden.

IPS-Kerneigenschaften

Für echte Netzwerk-IPS-Systeme gibt es eine Reihe von Kerneigenschaften, die bis heute lediglich von einer Handvoll der verfügbaren Lösungen erfüllt werden.

• Für die Hochgeschwindigkeits-Datenanalyse und zukünftige Flexibilität sollten IPS-Lösungen als eigenständige Systeme auf der Basis von spezifischen ASICs und FPGAs aufgebaut sein und nicht als Optimierungen auf der Basis bereits existierender Systeme oder Standard-Komponenten. Interessanterweise gibt es bereits heute IPS der zweiten Generation, die dieser Anforderung entsprechen.

• Selbst unter Hochlast oder im Falle eines Angriffs darf ein echtes IPS-System niemals legitimen Datenverkehr blockieren – dies gehört zum wichtigsten Designkriterium für derartige Systeme, da die Blockierung von »guten« Daten nicht akzeptabel ist. Auch dies muss natürlich in von Infrastruktur-Komponenten üblichen Verzögerungszeiten realisiert werden. Viele Hersteller IDS-basierter IPS-Systeme behaupten über exzellente Leistungs- und Verzögerungsparameter zu verfügen, die jedoch nur in entsprechend isolierten Laborumgebungen erreicht werden können. Mit nur wenig Angriffslast brechen diese Leistungsdaten zusammen.

• Die Schutzmechanismen müssen robust sein. Es gibt eine Reihe von Technologien, die in IPS-Produkten eine Rolle spielen: Signaturen, wie sie von IDS-Herstellern genutzt werden, Protokoll-Anomalie-Erkennung, wie sie von den weiter entwickelten IPS-Herstellern implementiert werden, und Firewall-Funktionen, um Zugriffskontrolle zu gewährleisten. Ein zuverlässiges IPS-System wird sich auf eine Kombination dieser Technologien stützen, nicht jedoch die Signatur-basierte Technologie als primären Schutzmechanismus implementieren. Signaturen benötigen enorme Leistungskapazitäten und neigen noch immer zu den berühmten False-Positive-Events, womit sie dann wieder gegen die zweite Kerneigenschaft, niemals legitimen Verkehr zu blockieren, verstoßen würden. Außerdem kann auf Grund der Tatsache, dass nur bestimmte Signaturen zum Blockieren von Angriffen konfiguriert werden dürfen, kein umfassender Schutz gewährleistet werden. Ultimativ muss ein echtes IPS-System sowohl gegen Content-basierte und Last-basierte Angriffe schützen, als auch den unzulässigen Zugriff verhindern können – und das alles in Multi-Gigabit-Bereichen. Es gibt bisher nur einige wenige Hersteller die derartig umfassende Lösungen anbieten.

• IPS-Systeme müssen auf einer skalierbaren Hardware aufgebaut sein, um die Implementierung an verschiedenen Punkten der Netzinfrastruktur zu ermöglichen und auch zukünftige Steigerungen der Netzlast ohne Komplettaustausch verkraften zu können.

• Werksseitig vorkonfigurierte Systeme müssen sofortigen Schutz bieten – oftmals werden diese neuen Technologien nach einem Angriff auf ein Unternehmensnetz angeschafft, so dass die unmittelbare Erhöhung der Sicherheit vorausgesetzt wird. Dieser Ansatz ist zumindest in Frage zu stellen. Eine stufenweise Integration erscheint aber sehr viel Erfolg versprechender. Einen Migrationsplan von dem »zunächst nur erkennen« hin zum »optimalen proaktiven Schutz« ist für die Inbetriebnahme von IPS-Systemen sicher die bessere Alternative.

• Eine hohe Qualität notwendiger Updates mit minimalen False-Positive-Risiken ist unbedingt sicherzustellen. Des weiteren wird das zeitnahe zur Verfügung stellen immer kritischer. Die Zeitspannen zwischen dem bekannt werden einer neuen Schwachstelle und den ersten Angriffen darauf beträgt nur noch Tage und es ist absehbar, wann dieser Zeitraum noch kürzer wird.

• Die IPS-Systeme müssen die Möglichkeit bieten, auch Protokoll-Verletzungen bei neuen Anwendungen, wie XML, SOAP oder VoIP, zu verarbeiten. Dies ist sicher keine einfache Forderung, da die Anforderungen an die Leistungsfähigkeit der Systeme dadurch weiter stark steigen wird. Gerade deswegen ist es wichtig darauf zu achten, dass heutige Lösungen einen Ansatz für diese Problematiken liefern, ohne auf komplett neue Systeme in der Zukunft zu verweisen.

• Zu guter Letzt sollten die Datenblätter der Hersteller und die Testberichte bekannter Testinstitute gelesen werden, um eine für das jeweilige Unternehmen optimale Entscheidung treffen zu können.

Es ist sicher richtig festzustellen, dass die meisten aktuellen IPS-Systeme sehr unterschiedlich aufgebaut und implementiert sind. Einige von ihnen sind Software-IDS-Systeme, die für den Inline-Betrieb auf PC-Serverplattformen angepasst wurden, ein paar sind Software-Firewall-Systeme mit einigen Deep-Packet-Inspection-Funktionen, wieder andere sind Hardware-unterstützte Firewall-Systeme mit Software-basierten Deep-Packet-Inspection-Funktionen und einige wenige sind dedizierte Hardwareplattformen, die für den Einsatz als IPS entwickelt wurden. Aber Vorsicht: Auch unter diesen dedizierten Systemen sind einige zu finden, die ebenfalls wenig mehr als eine PC-Plattform bieten und selbst Einschubmodule für Highend-Netzinfrastrukturchassis sind manchmal nicht mehr als PC-basierende Architekturen und haben daher die gleichen Leistungsschwächen.

IPS-Schlüsselkriterien

In einem aktuellen Report (G00123902, »Seven Key Selection Criteria for Network IPSs«, Greg Young, November 1, 2004) werden von Gartner sieben Schlüsselkriterien für die Auswahl eines Netzwerk-Intrusion-Prevention-Systems dargestellt und dabei unter anderem darauf hingewiesen, dass neben den Content-based-IPS-Funktionen zum Schutz vor Würmern, Viren und Trojanern ebenso die Sicherheitsfunktionen einer Firewall sowie sogenannte Rate-based-IPS-Funktionen zum Schutz gegen DoS- beziehungsweise DDoS-Attacken vorhanden sein müssen. Nur ganz wenige aktuelle IPS-Systeme sind in der Lage, all diese Funktionen in den für Core-Netze geforderten Leistungsbereichen abzubilden. Ebenfalls in diesem Report weist Gartner auf die Wichtigkeit der tatsächlichen Inline-Performance eines Systems, seiner Latenzzeiten sowie die Fähigkeit, auch in Extremumgebungen die Schutzfunktionen zu gewährleisten, hin.

Intrusion-Prevention-Systeme sind per Definition aktive Inline-Security-Technologien, die bereits integraler Bestandteil der Infrastruktur von Unternehmen sind, die die Sicherheit ihres Netzes und damit die Stabilität erhöhen sollen und letztlich die Verfügbarkeit der Unternehmensanwendungen und Funktionen verbessern. In diesem Kontext müssen alle Regeln die bislang für IDS-Systeme inklusive ihrer Auswahlkriterien galten, für echte Intrusion-Prevention-Systeme in Frage gestellt werden.

Grundsätzlich sollte die Erhöhung der IT-Sicherheit und der Verfügbarkeit als das oberste Ziel definiert werden und der Einsatz von Intrusion-Prevention-Systemen sollte immer dann in Betracht gezogen werden, wenn Bedrohungsszenarien als realistisch anzusehen sind und existierende Technologien keinen oder auf Grund ihrer Leistungsbeschränkungen keinen ausreichenden Schutz bieten, das oberste Ziel sicherzustellen. In realen Netzen führt dieser Ansatz unweigerlich zu zwei Haupteinsatzgebieten für IPS-Technologien:

• In Perimeter-Umgebungen, in denen eine klare Grenze gezogen werden kann und in denen unternehmenskritische Anbindungen gegen immer neue Bedrohungen abgesichert werden müssen.

• In Bereichen innerhalb des Unternehmensnetzes, in denen die internen Bedrohungen mittlerweile die volle Aufmerksamkeit des Sicherheitsbeauftragten genießen und ganz andere Anforderungen an Security-Technologien gesetzt werden.

Fazit

Zusammenfassend kann festgestellt werden, dass echte Intrusion-Prevention-Systeme im Jahr 2005 ausgereifte und zuverlässige Technologien darstellen, die eine zunehmende Verbreitung erfahren. Jedes Unternehmen, das mit seinen Firewalls bereits Probleme hatte oder in dem bestimmte Netzwerk-Sicherheitsthemen heute noch nicht adressiert sind, sollte ernsthaft prüfen, ob moderne IPS-Systeme diese adressieren beziehungsweise die Probleme in existierenden Security-Technologien beseitigen können. Im Rahmen der üblichen Auswahlverfahren sollten die IT-Sicherheitsexperten der Unternehmen genau prüfen, welche der angebotenen Lösungen tatsächlich den anerkannten Auswahlkriterien entsprechen, sich möglicherweise die Unterstützung anerkannter Security-Dienstleister sichern und weit hinter die vielversprechenden Slogans bunter Produktprospekte schauen.

Andreas Gabelin, Regional Sales Manager Central Europe, Top Layer Networks