Die Industrie positioniert Intrusion-Prevention-Systeme (IPS) gern als Allheilmittel gegen die Angriffsflut aus Viren und Würmern. Ist diese Technik ausgereift für die breite Masse der Unternehmen?

Intrusion-Prevention-Systeme machen einen freizügigen Ansatz der Netzwerksicherheit erstmals praktisch nutzbar.

Marc Haber, Dipl.-Inform., Geschäftsführer bei Syscovery Network Serv.

Die Intrusion-Prevention-Systeme (IPS) sind ein interessantes, noch relativ frisches Konzept, das die klaffende Lücke zwischen Paketfiltern und Application-Level-Gateways mit Erkennungstechniken schließt, die nach Malicious-Code suchen. Auf diese Weise wird erstmals ein grundsätzlich freizügiger Ansatz im Bereich der Netzwerksicherheit praktisch nutzbar. Bisher galt oftmals der Grundsatz »es ist alles verboten, was nicht ausdrücklich erlaubt ist«. Durch die Ansiedlung der Intrusion-Prevention auf Netzwerkebene kann die Technik Angriffe auf verschiedenste Dienste abfangen, ohne spezielle Kenntnisse der verantwortlichen Applikation zu besitzen. Dies senkt das Betriebsrisiko für neuartige Services erheblich.

Wir empfehlen den Einsatz eines Intrusion-Prevention-Systems als zweite Verteidigungslinie hinter der konventionellen Firewall. Auf diese Weise ist sichergestellt, dass das IPS die Last der »klassischen« Angriffe und das Grundrauschen des Netzes nicht verarbeiten muss.

Durch den Einsatz eines IPS entsteht eine viel engere Bindung zum Hersteller, da durch den »default permit«-Ansatz des IPS eine schnelle Reaktion des Herstellers beim Bekanntwerden neuer Angriffsmuster essentiell wichtig ist. Das Konzept ähnelt eher einem Virenscanner als einer auf Grund ihres Entwurfs zur sicheren Seite hin versagenden klassischen Firewall. Die sorgfältige Auswahl von Produkt und Dienstleister spielt hier genauso eine große Rolle wie die Vielseitigkeit des Sicherheitskonzepts, das sich nicht ausschließlich auf das IPS verlassen sollte.

Interessant sind IPS besonders für die interne Sicherheit von Unternehmensnetzen, die man auf Grund historisch gewachsener Strukturen mit konventionellen Firewalls nur selten garantieren kann. Durch die Integration von IPS-Funktionen in die Netzinfrastruktur wird das interne Sicherheitsniveau erhöht, ohne dass tiefgreifende Eingriffe in die Struktur notwendig sind.

Wer heute auf ein serverzentrisches IPS setzen will, sollte sich für einen erfahrenen Anbieter

entscheiden.

Martin Urban, Network-Systems-Consultant Security bei INS

Mit Intrusion-Prevention-Systemen (IPS) gehen die Hersteller weg vom rein reaktiven hin zum präventiven Verhalten. Die Furcht vor der so genannten Zero-Day-Attacke, also einem Vorfall, bei dem zeitgleich mit der publizierten Schwachstelle der erste Angriffsversuch erfolgt, wird stetig größer.

Durch den Einsatz von Wireless-Technologien und dem Notebook-Boom verschwimmen die Grenzen zwischen Perimetersicherheit und Intranet-Sicherheit. Deshalb werden Sicherungsmechanismen vermehrt auf Netzebene zum Einsatz kommen. Diese Systeme müssen folgende Funktionalitäten aufweisen: applikationsspezifische Filter, protokollspezifische Prüfung nach RFCs, Policy-geregelte Paketsteuerung, granulare Inhaltsprüfung und automatische Reaktionstechnik. Dann erst ist ein präventives Verhalten garantiert.

Erreicht werden kann dies durch die Kombination von Techniken, die schon seit längerem im Einsatz sind, denn an sich ist IPS keine neue Erfindung. Die Hersteller setzen auf Blocktechniken, die Signaturen einbeziehen und zusätzlich Anomalien beurteilen. Die bei Installationen gesammelten Erfahrungen mit den bekanntesten Herstellern führen uns zum Schluss: Auf Netz basierende Systeme sind marktreif. Sie führen zu einem höheren Investitionsgewinn, da sie Recovery-Kosten senken. Sie kombinieren Stateful-Inpection und Proxy-Technologie. Systeme für Desktops sind noch problembehaftet, nicht zuletzt weil die Anwendungen selten stabil bleiben.

IPS-Anbieter kommen aus unterschiedlichen Bereichen. Man findet ehemalige IDS-Anbieter, Firewall-, Antivirussoftware-Hersteller und Unternehmen, die ihr Zuhause auf dem Infrastruktur-Markt haben.

Auf Grund des noch nicht gefestigten IPS-Markts sind wohl in den kommenden zwölf Monaten einige Fusionen zu beobachten. Wer diese Bewegung abwartet, wird Ende 2005 ausgereifte Produkte einkaufen, nicht zuletzt wegen des zum Vorteil der Technik gebündelten Know-hows.

Die breite Masse braucht ein IPS, das ohne aufwändige Anpassung Angriffe abwehrt und legitimen Verkehr nicht behindert.

Dr. Behrooz Moayeri, Comconsult Beratung und Planung

Die Intrusion-Prevention-Systeme (IPS) sind keine Allheilmittel gegen schadensstiftende Software, sondern ein Element bei der Umsetzung einer zeitgemäßen Sicherheitsrichtlinie. Nachdem Intrusion-Detection-Systeme (IDS) häufig daran gescheitert sind, dass sie im Ernstfall nur in Kombination mit der zu langsamen menschlichen Reaktion wirken, und ansonsten nur zur Flut von Log-Files beitragen, die ohnehin niemand prüft, sind IPS schon allein deshalb als Fortschritt zu begrüßen, weil sie einige Defizite von IDS beheben. Die IPS-Technik ist in dem Sinne bereits ausgereift, dass sie bei einer wohl durchdachten und getesteten Einsatzkonfiguration die Risiken durch Malware reduziert. Die Spuren mancher Angriffe sind eindeutig und von Mustern legaler Anwendungen durchaus verschieden. Solche Muster können von IPS selbst bei der restriktivsten Konfiguration erkannt werden. Auch wenn der IPS-Einsatz nur dazu beiträgt, solche Angriffe abzuwehren, sollte jedes Unternehmen erwägen, ob es zumindest nicht an den Übergängen zu offenen Netzen IPS einsetzt.

Jede neue Technik ist verbesserungswürdig, so auch IPS. Die besten und ausgereiftesten IPS-Lösungen stammen aktuell von Herstellern, die sich in den vergangenen Jahren auf IPS konzentrierten. Daher beschaffen viele Unternehmen ihre Firewalls vom Hersteller A, ihren Virenschutz vom Hersteller B und ihr IPS vom Hersteller C. Insbesondere für kleine und mittelgroße Unternehmen wäre ein solcher Ansatz zu teuer. Diese brauchen möglichst integrierte Lösungen, die zurzeit jedoch nicht den bestmöglichen IPS-Ansatz verfolgen. Diese Situation muss und wird sich verbessern. Bis dahin kann also von einer Technik für die breite Masse der Unternehmen nicht die Rede sein. Viele Organisationen sind die wochenlangen Tests mit IPS zu kostspielig. Sie brauchen eine Lösung, die ohne aufwändige Anpassung und Konfiguration möglichst viele Angriffe abwehrt und legitime Verkehrsprofile nicht behindert.