Von Jörg Lamprecht, Geschäftsführer Internet Security Systems Deutschland (ISS)
Firewalls, Antivirensoftware und Patches sind ein hinreichender Schutz für IT-Systeme - diese Sichtweise hält sich hartnäckig. Entsprechend betrachteten IT-Verantwortliche bisher diese klassischen Schutzmechanismen oft als ausreichend. Da aber immer mehr Geschäftsprozesse über das Internet ablaufen, haben sich die Anforderungen an die Sicherheit signifikant erhöht.
Eine Studie des Computer Security Institutes in San Francisco aus dem Jahr 2004 fand heraus, dass jedes zweite Unternehmen von einer ernsthaften Sicherheitslücke betroffen war, obwohl 99 Prozent von ihnen sowohl Firewalls als auch Antivirensoftware einsetzten.
Kein Wunder, müssen doch Firewalls immer größere Mengen an geschäftskritischen Daten von außen akzeptieren - beispielsweise von E-Mails, Web-Services oder VPN-Daten von Partnern und mobilen Mitarbeitern. Alles in allem bieten Firewalls zwar eine gewisse Kontrolle über Protokolle und offene Ports, sie analysieren den eigentlichen Paketinhalt aber nur unzureichend.
Außerdem werden gefährliche Daten, die von legitimen Ports gesendet werden, von der Firewall nicht gestoppt. Auch gegen Angriffe von innen - etwa gegen Viren, die unabsichtlich oder gewollt durch Datenträger oder mobile Endgeräte wie Laptops eingeschleppt werden - ist die Firewall machtlos.
Patch-Management bietet keinen Ausweg
Selbst ständiges Patchen der Systeme bietet keinen umfassenden Schutz. Welchen Administrationsaufwand das Aufspielen eines Patches konkret bedeutet, zeigt ein Beispiel der US Air Force: Laut einem Artikel aus dem Forbes Magazine benötigen die dortigen IT-Verantwortlichen ganze 30 bis 60 Tage, um einen einzigen Patch auf die Systeme in den 110 Stützpunkten zu bringen.
Gleichzeitig haben sich die Zeitfenster vom Patch bis zum ersten Angriff dramatisch verkürzt: Verging beim Wurm Nimbda fast ein ganzes Jahr von der Ausgabe des Patches bis zum Angriff, erfolgte der Sasser-Angriff ganze 17 Tage, nachdem Microsoft einen Patch für die betroffene Windows-Systemdatei bereitgestellt hatte.
In Zukunft wird sich die Situation noch weiter verschärfen: Der Day-Zero-Angriff auf neue, unbekannte Sicherheitslücken ist bereits in Sichtweite.
Für die IT-Verantwortlichen in Unternehmen besteht dringend Handlungsbedarf. Firewalls, Antiviren-Software und reguläre Patch-Zyklen können die steigende Geschwindigkeit, mit der neue Bedrohungen aus dem Internet auftauchen, nicht mehr abdecken. Vielmehr erfordern die immer häufiger und schneller lancierten Angriffe gegen Schwachstellen in Betriebssystemen und Programmen integrierte Lösungsansätze. Die Systeme benötigen einen temporären Schutzschild, damit genügend Zeit bleibt, Patches auf die Systeme zu bringen.
Eine Lösung bieten Intrusion Prevention Systeme (IPS), die Gefahren blocken, bevor diese durch ein Unternehmensnetzwerk dringen.
Intrusion Prevention Systeme: Wirksamer Schutz gegen Angriffe
Nähert man sich dem Begriff Intrusion Prevention System von der rein wörtlichen Bedeutung, so handelt es sich um eine Lösung, die das Ziel hat, einen Angriff zu verhindern. IPS sitzen im LAN und untersuchen die Datenpakete, die die Firewall zuvor mit ihren beschränkten Analyseverfahren als legitimen Netzwerkverkehr eingestuft hat. Zu diesem Zweck kommen Hardware- oder Software-Agenten zum Einsatz, die den Netzwerk-Traffic überwachen und entscheiden, ob Datenpakete passieren dürfen. Dabei werden Angriffe nicht nur angezeigt, sondern auch geblockt.
Zwei IPS-Modelle
In der Praxis unterscheidet man zwei Arten von Intrusion Prevention Systemen: Netzwerk- und Host-IPS. Netzwerk-IPS sind in der Regel Appliances, die wie andere Komponenten innerhalb des Netzwerkes sitzen. Sie überwachen den gesamten Datenfluss zwischen einem bestimmten Segment, das sie schützen sollen, und dem übrigen Netzwerk.
Als harmlos eingestufte Datenpakete werden wie in einem Layer-2- oder Layer-3-System weitergeleitet. Sind die Datenpakete eindeutig als gefährlich identifiziert, verwirft das IPS das Paket.
Durch einen einzigen Kontrollpunkt sind damit alle nachfolgenden Bereiche geschützt. Mit solchen Tools lassen sich beispielsweise auch [D]DoS-Attacken ([Distributed] Denial of Service) abwehren, die das Netzwerk mit irrelevantem Traffic überfluten und lahm legen wollen.
Ein Host-IPS wiederum ist ein Software-Programm, das auf Server, Workstations oder Notebooks aufgespielt wird. Das Host-IPS verhindert zum einen die Ausführung schädlicher Programme auf dem Host und untersucht zum anderen den Traffic, der von einzelnen Systemen ausgeht oder diese erreicht.
Es wirkt in zwei Richtungen: Zum einen wird verdächtiger Traffic, der vom Host ausgeht, direkt an der Netzwerkschnittstelle geblockt. Dies ist zum Beispiel von Bedeutung, wenn ein Mitarbeiter auf seinem Desktop den infizierten Dateianhang einer E-Mail öffnet oder Viren per CD, Floppy oder Flash-Speicher einschleppt - ob unbedacht oder mit Absicht.
Zum anderen ist das IPS eine letzte Verteidigungslinie für den Host, falls andere Sicherheitstools versagen. Außerdem bietet es Schutz, falls ein Angriff zwischen Systemen innerhalb eines Netzsegmentes stattfindet. In diesem Fall würde der Datenstrom kein Netzwerk-IPS passieren, denn diese sitzen jeweils zwischen den einzelnen Netzwerksegmenten. Ein Host-IPS sorgt dafür, dass der Angriff trotzdem entdeckt wird. Daher ist die Kombination aus beiden Technologien der effektivste Schutz.
Der kleine Unterschied
Für die Auswahl eines IPS sollten IT-Verantwortliche folgendes beachten: Wirksame Intrusion Prevention umfasst alle relevanten Kommunikationsebenen ab Layer 2 und untersucht möglichst viele Protokolle. Angriffe müssen in Echtzeit geblockt werden. Das IPS sollte sich unabhängig von der Netzwerktopologie und innerhalb des LANs (inline) implementieren lassen, denn nur so lässt sich der Traffic wirklich umfassend überwachen.
Besonders kritisch für ein Inline-IPS ist das Thema Geschwindigkeit: Je nachdem, wo das System zum Einsatz kommt, muss es bestimmte Bandbreiten unterstützen - sonst wird die Intrusion Prevention schnell zum verstopften Flaschenhals. IPS dürfen die Ressourcen nicht schmälern, sondern müssen dafür sorgen, dass die Daten das Netz in ungebremster Performance passieren. Gleichzeitig sollte sich das IPS analog zum Netzwerk skalieren lassen.
Ein IPS sollte schadhafte Codes simultan analysieren, und zwar anhand von Signatur-basierten Algorithmen als auch von Policy-, Behaviour- und Anomalie-basierten Algorithmen. Gleichzeitig muss die Zahl der Fehlalarme auf ein Minimum begrenzt sein - wird legitimer Traffic aktiv geblockt, steigt die Gefahr eines hausgemachten Denial of Service.
Auch eine feine Justierung ist notwendig: Die Filter eines IPS sollten sich genau definieren lassen. Zudem ist es sinnvoll, wenn sich das System sowohl im Intrusion Detection- als auch im Intrusion Prevention-Modus betreiben lässt, so dass IT-Verantwortliche zwischen reiner Überwachung und aktivem Blocken wählen können.
Moderne Intrusion Prevention Systeme verfügen darüber hinaus über einen Simualationsmodus, der anzeigt, was das System geblockt hätte. Dieser Modus ist hilfreich, wenn es darum geht, das IPS an den tatsächlichen Datenverkehr anzupassen.
Ein zentrales Management aller eingesetzten IPS-Appliances ist ebenfalls wichtig. Damit einher geht die Korrelation der umfangreichen Analyse-Daten zu einem sinnvollen Reporting: Meldungen verschiedener Agenten zu ein und demselben Angriff beispielsweise sollten zu einem einzigen Bericht gebündelt beim Administrator eingehen.
Rundum geschützt
Alles in allem sind Intrusion Prevention Systeme wichtige Bestandteile einer jeden IT-Sicherheitsstrategie. Für Unternehmen, denen die ein Multi-Layer-Ansatz - also Firewall, Antivirus, IPS/IDS und andere Sicherheitsvorrichtungen von verschiedenen Herstellern - zu aufwändig und kostspielig ist, bieten einige Anbieter Multifunktions-Appliances.
Diese verfügen über ein "Best of Breed": VPN- kombiniert mit IDS/IPS-, Firewall- und Antiviren-Funktionen, Content-Filter und Anti-Spam. Solche All-in-One-Appliances sind weniger aufwändig zu administrieren und eignen sich für Unternehmen mit bis zu 2.500 Usern oder ähnlich große Niederlassungen von Konzernen.
Last but not least gilt: Ein Intrusion Prevention System, ob als Stand-alone oder Teil einer Multifunktions-Appliance betrieben, ist immer nur so gut wie das Wissen des Herstellers um Schwachstellen und schädliche Codes. Unablässige Suche nach Sicherheitslücken in Systemen ist daher unabdingbar. Das ISS-eigene Forschungszentrum mit über 150 Experten, das so genannte X-Force, findet beispielsweise acht bis neun neuen Sicherheitslücken pro Tag. Schon allein aufgrund dieser Statistik zeigt sich einmal mehr die Notwendigkeit für zusätzliche Schutzmaßnahmen.
Macht IPS Intrusion Detection Systeme überflüssig?
Intrusion Detection Systeme (IDS) spielen als Ergänzung zur Firewall schon seit längerem eine Rolle. IDS sind eine Art Alarmanlage für IT-Sicherheit, die den Datenverkehr überprüfen und Attacken melden. Die Analyse funktioniert in der Regel genau wie bei einem IPS. Bei einem Angriff informiert das System den Adminstrator und protokolliert alle Details zur späteren Analyse.
Außerdem lassen sich automatische Routinen als Schutzmaßnahmen voreinstellen - beispielsweise das Unterbrechen des Datenstroms oder das Umkonfigurieren von Firewall und Router, so dass weitere Angriffe von vorn herein unterbunden werden.
Obwohl IDS ebenfalls eine wertvolle Unterstützung für Firewalls darstellen, geht Kritikern der Systemschutz nicht weit genug. Sie stören sich an der passiven Arbeitsweise (Aufzeichnen, Melden und Auswerten) der IDS. Auch das Unterbrechen der Verbindung erfolgt zu spät, denn wenn die Meldung erfolgt, ist der Angriff manchmal schon geschehen.
Zwar werden Sinn und Zweck von IDS oft in Frage gestellt, dennoch nehmen sowohl Intrusion Prevention als auch Intrusion Detection eine wichtige Rolle in der IT-Sicherheit ein - und zwar beide auf ihre eigene Weise. Während IPS Gefahren im Vorfeld abblocken und der IT einen temporären Schutzschild bieten, dienen IDS der schrittweisen Verbesserung der IT-Sicherheit.
Unregelmäßigkeiten, die normalerweise unentdeckt bleiben - beispielsweise wenn sich ein User mehrmals hintereinander mit falschem Passwort als Administrator anmelden will - lassen sich mit Hilfe eines IDS-Systems aufdecken.
Darüber hinaus lassen sich IDS sinnvoll in Netzwerken einsetzen, in denen der Datentransport wichtiger ist als die Integrität der Systeme. Carrier wie T-Online sind beispielsweise dazu verpflichtet, die Daten ungefiltert an ihre Kunden weiterzuleiten. Sie nutzen die Informationen, die das IDS zur Verfügung stellt, um ihre Systeme kontinuierlich zu optimieren.
Alles in allem werden Intrusion Detection und Intrusion Prevention Systeme eine Firewall nicht ersetzen, wohl aber die bestehenden Sicherheitsmaßnahmen sinnvoll ergänzen. IPS ermöglichen adhoc-Schutz vor Angriffen und sind daher unverzichtbarer Bestandteil jeder Sicherheitsstrategie.
IDS wiederum können den IT-Verantwortlichen ergänzend helfen, das Unternehmensnetzwerk Stück für Stück zu optimieren. Das ermöglicht umfassenden Schutz für Netzwerk, Server und Desktop, senkt den Patchdruck auf kritische Systeme und damit das Risiko sowie die Kosten für den gesamten Betrieb. (rw)