Mehr Sicherheit für die gesamte Infrastruktur von Netzwerk und Servern verspricht die neue Generation der Intrusion-Protection-Ansätze. Sie sichert sowohl Netzwerk-Elemente als auch Hosts beziehungsweise Server nach dem Schichten-Modell ab.

Intrusion-Prevention-Systeme arbeiten »In-Line« und analysieren den Datenverkehr in Echtzeit mit kombinierten Algorithmen.

In den vergangenen Jahren haben sich Unternehmen mehrheitlich auf den Ausbau des Internet-Zugangsbereichs und das Sichern geschäftskritischer Daten konzentriert. Über die System- und Content-Verfügbarkeit sowie das Thema Storage hinaus wurden die Desk-top- und Netzwerksicherheit stiefmütterlich mit klassischen Schutzmechanismen wie Antiviren-Software und Firewalling bewältigt. Einen speziellen Sicherheits-Verantwortlichen gab es bei den wenigsten Unternehmen. Heute verändert die steigende Abhängigkeit vom Internet für Geschäftsabläufe allerdings die Anforderungen an die Sicherheit zusehends. Sicherheit in der IT-Infrastruktur ist nicht mehr nur ein Produkt, sondern eine Anforderung. Finanzielle Verluste aufgrund von Cyber-Kriminalität gehen meist in die Millionen, da der Geschäftsbetrieb beziehungsweise Transaktionen massiv unterbrochen werden. Firewalls bieten zwar eine gewisse Kontrolle über offene Ports, sind aber letztendlich nicht ausreichend, da sie keinen Schutz bei den immer weiter verbreiteten Angriffen durch Hybrid-Attacken, Denial-of-Service-Angriffen (DoS) oder Protokollabweichungen bieten.

Pattern-Matching nicht ausreichend

Als Ergänzung sind daher Intrusion-Detection-Lösungen im Anhang an die Firewall am weitesten verbreitet. Dieser Ansatz ist aber durch seinen Aufbau eher reaktiv als aktiv zu verstehen und sichert vor allem größere Unternehmen nicht ausreichend ab. Schädliche Datei-Anhänge oder externe Attacken können lediglich durch bereits bekannte, also vorgegebene Verhaltensmuster entdeckt werden. Diese Methode ist unter dem Begriff »Pattern-Matching« bekannt. Mit der Suche nach verdächtigen Zeichenketten entsteht häufig das Problem, dass sich zwischen restriktivem und zu laxem Pattern-Matching eine gefährliche Gratwanderung abspielt. Neue und daher unbekannte Bedrohungen werden manchmal nicht rechtzeitig vor einem Übergriff auf Daten-Server und Clients isoliert. Etwas besser funktioniert das Stateful-Matching durch intelligentere Signaturmustervergleiche gegenüber generischen Methoden. Dennoch ist bei allen Intrusion-Detection-Lösungen der Bearbeitungsaufwand für den Administrator enorm. Trotz Anpassung der Systeme über ein erweitertes Wissen werden weiterhin zu viele Fehlalarme produziert, die von Hand abgearbeitet werden müssen. Diese manuelle Analyse der Aktivitäten sprengt irgendwann das Zeitbudget der Sicherheitsverantwortlichen beziehungsweise ist bei höheren Geschwindigkeiten im Netzwerk nicht mehr durchführbar. Außerdem ist nach einem »False Positive« teilweise eine erneute Konfiguration der Server und des Netzwerks durchzuführen. Durch die jetzt erfolgte Weiterentwicklung der ersten Generation von Intrusion-Detection-Systemen gibt es mit Intrusion-Prevention-Lösungen neuere Erkenntnisse zur Abwehr von internen und externen Angriffen.

Unterschiedliche Arten von Attacken

Angriffe wie die HTTP-Würmer Nimda oder Code-Red konnten sich in kurzer Zeit zu einem Hauptproblem für Netzwerke entwickeln, ohne dass vorher bereits an Maßnahmen zu denken war. Künftig werden ähnliche Bedrohungen in noch kürzerer Zeit entstehen. Derzeit ist mit einer Reihe von Angriffsarten zu rechnen. Das Ausnutzen von Protokollen zur Kommunikation über das Internet bietet die häufigste Sicherheitslücke im Unternehmensnetz. Hier sind einerseits externe Personen am Werk, die einen einfachen Port-Scan zum Entdecken eines Schlupflochs für Login-Versuche oder IP-Spoofing durchführen. Andererseits gibt es auch Personen, die innerhalb des Unternehmens böswillige Attacken auslösen und somit große Schäden anrichten. Intrusion-Detection-Systeme erkennen diese Probleme, lösen aber beispielsweise bei einem Portscan bis zu 30 unterschiedliche Alarme aus, die dann wiederum einen ernsthaften Angriff überlagern.

Ebenfalls häufig sind HTTP-Attacken über das Hypertext-Transfer-Protokoll. Hier werden mit den so genannten Würmern speziell entwickelte Programme aktiv, die sich automatisch verbreiten und dabei sowohl Netzwerk-Kapazitäten blockieren, als auch Host-Server schädigen. Ein Wurm wie Nimda hat über ein gesamtes Jahr hinweg Tausende von Rechnern infiziert und sogar hinter der Unternehmens-Firewall bis hin zum Extranet nach vertraulichen Geschäftsinformationen gesucht.

Denial-of-Service-Attacken nehmen zu

Bei größeren Unternehmen treten zusätzlich auch Denial-of-Service-Attacken auf. Durch das »Flooding« von Servern mit einer sich wiederholenden Welle an Anfragen werden häufig frequentierte Internet-Seiten verlangsamt beziehungsweise zum völligen Absturz gebracht. Über das TCP/IP-Protokoll antwortet jeder Server auf den Verbindungsaufbau eines Computers. Durch endlose Zeichenketten unter Verwendung einer falschen Quelladresse werden dann ständig unvollständige Verbindungen aufgebaut, die dann die Ressourcen des Systems zum Erliegen bringen. Ebenfalls denkbar sind FTP-Attacken auf Fileserver im Internet. Mittels einer ihm bekannten User-IP-Adresse im Ziel-Netzwerk kann der Angreifer mit seinem eigenen FTP-Server eine scheinbar harmlose Verbindung aufbauen und dann mit gesendeten schädlichen Codes an der Firewall vorbei auf die Computer zugreifen. Für Netzwerkadministratoren sind auch so genannte ICMP-Attacken zu beachten. Durch das für die Netzwerk-Diagnose verwendete ICMP-Protokoll können Angreifer mit einem Ping-Request Antworten aus dem Zielnetzwerk erhalten und anschließend über sogenannte »Piggyback commands« Instruktionen einbetten.

Abschließend sind noch die Applikations-Attacken erwähnenswert, da Anwendungen auf Web-Servern immer einen Bug haben und somit ein Buffer-Overflow durch Überlasten des System-Speichers ausgelöst werden kann. Hacker setzen dabei »Trojanische Pferde« oder Würmer zwischen die Lücken auf Applikationsebene und erhalten dadurch Steuerungsmöglichkeiten im System.

Aktiv hören und abwehren

Seit geraumer Zeit steht bei Lösungs-Anbietern jetzt der Ansatz einer Intrusion-Prevention im Mittelpunkt. Diese Architektur geht einen Schritt weiter und sichert sowohl Netzwerk-Elemente nach dem Schichten-Modell als auch Hosts beziehungsweise Server ab. Zusätzlich wird das erkannte Problem nicht nur angezeigt, sondern sinnvoller Weise auch gleich aus dem (Daten-)Verkehr gezogen. Somit entfällt das langwierige Extrahieren eines identifizierten Vorfalls, um nachträglich einen Pattern-File für das Update zu kreieren. Intrusion-Prevention-Lösungen sitzen nicht wie Intrusion-Detection-Systeme außerhalb des Netzes, sondern sind »In-Line« mit allen Netzwerk-Komponenten verbunden und können daher den Traffic der aus- und eingehenden Datenpakete besser inspizieren. Komplexe Netzwerkzusammenhänge sind somit sichtbar und Transaktionen werden immer im Zusammenhang mit bereits erfolgten Aktionen und nicht nur ausschließlich auf Paket-Ebene gesehen. Vom System als unverdächtig eingestufte Pakete werden wie in einem bekannten Layer-2- oder Layer-3-System weitergeleitet. Ist der Datenverkehr hingegen fragwürdig, kann entweder eine Limitierung der betroffenen Bandbreite der Applikation über diese TCP-Verbindung initiiert oder das ganze Paket komplett verworfen werden.

Migrationsfragen Bei der Intrusion-Prevention werden im Gegensatz zur Intrusion-Detection über eine Zusammenarbeit mit dem Betriebssystem beziehungsweise dem Kernel alle Mechanismen für einen automatischen Programmstart durch Massen-Mailer oder Trojaner direkt unterbunden. Durch diese so genannten System-Calls wird von Dateizugriffen über die Speicher-Adressierung bis hin zur Rechenleistung alles koordiniert. Darüber hinaus werden unnötige Mechanismen und Möglichkeiten des Systems indirekt abgeschaltet. Je weniger Angriffsfläche ein Betriebssystem bietet, desto besser. Nachdem bei sämtlichen Angriffen Programme früher oder später beim Kernel »anklopfen« müssen, um Rechte für die Ausführung einzuholen, ist hier eine Absicherung auf einer sehr niedrigen Ebene möglich. Die zuvor beschriebenen Nachteile des Pattern-Matching können also wegfallen, weil Intrusion-Prevention durch die Schnittstelle zum Netzwerk-OS auch bisher nicht bekannte Aktivitäten selbst startender Dateien festhält. Diese Methode beschränkt sich nicht nur auf unerlaubte Schreibzugriffe durch bösartige Software, sondern auch auf die einzelnen Hardware-Komponenten im Netzwerk. Da auch Geräte mit dem Kernel des Betriebssystems kommunizieren, können an dieser Stelle ebenfalls feine Abstufungen bezüglich der Privilegien vorgenommen werden.

Durch die gleichfalls wegfallende Anzahl an Fehlalarmen kann der IT-Sicherheitsverantwortliche sich besser den Bedrohungen selbst widmen und dabei Konfigurations- und Betriebsaufwand einsparen. Nach den Analysten der Gartner Group wird langfristig Intrusion-Prevention bisherige Intrusion-Detection-Installationen ablösen. Eine Migration von Intrusion-Detection zu Intrusion-Prevention innerhalb von Unternehmensnetzen ist möglich und daher ein Investitionsschutz der bisherigen Intrusion-Detection-Produkte gegeben. Zur Verdeutlichung der Unterschiede zwischen beiden Ansätzen sind die drei Schlüsselkriterien für Intrusion-Prevention ein gutes Beispiel.

Angriffe in Echtzeit blockieren

Intrusion-Prevention-Systeme dürfen Ressourcen im Netzwerk nicht beeinflussen, damit sowohl Datenverkehr als auch auf Host basierende Abläufe mit der normalen Performance, also ohne Latenzzeit weiterlaufen. Blocking-Aktivitäten müssen nahezu in Echtzeit stattfinden und dürfen maximal zehn Millisekunden Latenzzeit beanspruchen. Erfolgt der Netzwerkbetrieb in Leitungsgeschwindigkeit, sind keine negativen Auswirkungen auf Verfügbarkeit und Leistung zu erwarten. Dafür sind leistungsfähige Sicherheits-, Netzwerk- und Daten-Prozessoren auf Seiten der Hardware nötig. Im Gegensatz zu meist auf Software basierenden Intrusion-Detection-Lösungen wird bei auf Netzwerk basierenden IPS-Lösungen häufig eine Appliance eingesetzt.

Weiterhin muss Intrusion-Prevention schädigende Aktivitäten mit Hilfe verschiedener Algorithmen blockieren. Zusätzlich zur Abwehr von Angriffen mit bekanntem Strickmuster über Signaturen, wie bei Intrusion-Detection-Systemen, sollen intelligentere Policy-, Behaviour- und auf Anomalie basierende Algorithmen auf Applikations-Level den Angriff zunichte machen.

Intrusion-Prevention sollte außerdem zwischen Angriffen und normalen Aktivitäten unterscheiden können. Daher werden weiterhin teilweise Intrusion-Detection-Lösungen quasi als erster Filter zur Anzeige von abnormen Aktivitäten eingesetzt, und Intrusion-Prevention übernimmt den weiteren Prozess der intelligenten Problembehandlung. Beispielsweise hat Network Associates mit »McAfee IntruShield« für auf Netzwerk basierende Intrusion-Prevention und »McAfee Entercept« für auf Host basierende Intrusion-Prevention für beide Schlüsselpunkte im Netzwerk eine Lösung entwickelt. Ein Intrusion-Prevention-System muss zusätzlich über ein umfangreiches Reporting-Tool verfügen. Alarm-Meldungen können beispielsweise über einen forensischen Port zur sofortigen Analyse in Kopie versendet werden. Zusätzlich ist das Flow-Mirroring des Datenverkehrs von Intrusion-Prevention-Lösungen zur Diagnose eine hilfreiche Anwendung.

Mit den beiden Produkten gemeinsam bietet Network Associates einen Multi-Layer-Ansatz für Schutz über mehrere Schichten hinweg. Die Intrushield-Appliances sichern die Netzwerk-Links sowohl an der Peripherie (Edge) als auch im Backbone (Core) ab. Damit wird auf den Layern 3 bis 7 eine komplette Intrusion-Abdeckung für über 70 Protokolle erreicht. Die Skalierbarkeit reicht dabei von mehreren hundert MBit/s bis zu 2 GBit/s. Für jeden physikalischen Sensor stehen mit Intrushield bis zu 1000 virtuelle Intrusion-Detection-Sensoren zur Verfügung. Eine Implementierung ist unabhängig von der vorhandenen Netzwerk-Topologie möglich und kann über mehrere Wege wie Inline, Tap, SPAN, Port-Clustering oder High-Availability (HA) vorgenommen werden. Die Entercept-Lösung hingegen wird an Host-Servern implementiert, um auf der Ebene von Betriebssystem, Applikationen und Datenbank für Schutz zu sorgen. Administratoren können den Grad der Sicherheit anpassen, sobald sich die geschäftlichen Anforderungen ändern. Die erweiterte Kommunikations-Funktionalität der Software ermöglicht eine abgestimmte Konfiguration, bei der die Anwender einen beliebigen Port zur SSL-Kommunikation auswählen können. Die verbesserten Signature-Groupings priorisieren bestmöglich zwischen sehr gefährlichen Bedrohungen (bekannte Angriffe) und Angriffen mit niedrigerer Wahrscheinlichkeit (über Verhaltensregeln). Dadurch sinkt die Zahl der Fehlalarme auf ein Minimum. Durch SNMP mit einer vorkompilierten MIB ist die nahtlose Integration einer solchen Lösung mit anderen Applikationen möglich.

Intrusion-Protection als neuer Oberbegriff

Um die sinnvolle Kombination beider Ansätze begrifflich zu untermauern, ist mittlerweile bereits der Oberbegriff der Intrusion-Protection definiert worden. Darunter können alte wie neue Produkte sowie die fortschreitende Migration von Intrusion-Detection zu Intrusion-Prevention zusammengefasst werden. Bis zum Jahr 2006 wird auch von den Analysten der Gartner Group eine Kombination beider Lösungen als bestmöglicher Ansatz erachtet. Danach wird der Marktanteil von Intrusion-Detection-Lösungen beständig kleiner. Derzeitiger Stand der Entwicklung sind aber mit Sicherheit Intrusion-Prevention-Lösungen, die jetzt ausgereift sind und im Sicherheitsmarkt seit Jahren von aktiven Anbietern in die Netzwerke integriert werden. Da meist auch die Konzeption in Sachen Sicherheitslösung fehlerhaft ist, müssen Unternehmen sinnvolle Lösungen an der richtigen Stelle einsetzen und nicht bisherige Produkte mit weiteren Funktionalitäten überfrachten. Je einfacher ein Sicherheitskonzept gestrickt ist, desto weniger störungsanfällig sind die einzelnen Komponenten im Netzwerk. Mit den richtigen Produkten am Netzwerk-Zugangspunkt sowie im Backbone können schädliche Daten bereits außerhalb des eigentlichen Unternehmensnetzwerks abgefangen und vernichtet werden. Die eigentliche Firewall wird mit dem Einsatz von Intrusion-Prevention-Lösungen dann zusätzlich entlastet und kann sich ausschließlich auf die ihr zugedachte Aufgabe konzentrieren. Auch auf diese Weise trägt Intrusion-Prevention zur Reduzierung der Betriebskosten von bisherigem CPE-Equipment bei. Gerald Pernack, Teamleader Sniffer System Engineering bei Network Associates