Die Türsteher: Intrusion-Prevention-Systeme

• Home
• Magazin
• Know How
• Virus, Malware & Spamschutz

Was wären wir wohl ohne das Internet? Kaum noch vorstellbar, dass wir einst ohne das weltumspannende Netz auskamen. Doch ebenso wie auf andere Alltäglichkeiten verschwenden wir auf den für uns mittlerweile selbstverständlichen Bestandteil unseres privaten und beruflichen Lebens kaum noch einen Gedanken. Ein allzu sorgloser Umgang mit dem World Wide Web kann sich jedoch als folgenreich herausstellen. Denn Kriminelle haben die Möglichkeiten des Cyberspace schon längst für sich entdeckt. Wie einst steht bei den modernen Raubrittern gleichfalls die persönliche Bereicherung im Vordergrund. Um finanziellen Vorteil zu erlangen, ziehen die versierten Internetbetrüger alle Register. Sobald es sich darum handelt, gängige Sicherheitslösungen auszutricksen und sich Zugang zu fremden Systemen zu verschaffen, scheinen ihrem Erfindungsreichtum keine Grenzen mehr gesetzt zu sein. Ihren Vorhaben leisten schwachstellenbehaftete Anwendungen, unzureichend abgesicherte Rechner und mangelhaft geschützte Netzwerkkomponenten Vorschub. Hinzu kommt, dass die Forschungs- und Entwicklungsabteilungen der Hersteller von Security-Lösungen sowie unabhängige Organisationen täglich neue Sicherheitslücken aufspüren. So lässt sich die Aufgabe, bestehende Systemlandschaften per Update beständig auf dem neuesten Stand zu halten und mögliche Einfallstore rechtzeitig zu schließen, wahrlich als Sisyphosarbeit ansehen.

Recht so?

Aus all diesen Gründen kommt kein Unternehmen mehr umhin, sich eingehend mit dem Thema IT-Sicherheit zu befassen. Denn die Schäden, die durch erfolgreich geführte Anschläge auf Infrastrukturen entstehen können, sind enorm und nur zum Teil wirtschaftlicher Natur. Vielmehr können böswillige Übergriffe wie ein Rattenschwanz weitere erst mittel- bis langfristig sichtbare negative Auswirkungen nach sich ziehen, die von Marken- und Rufschädigung über verunsicherte Kunden bis hin zum Verlust von Aufträgen reichen. Insofern ist die Entwicklung einer übergreifenden IT-Sicherheitsstrategie, die technische und organisatorische Aspekte berücksichtigt, ein Muss. Um nicht in die Haftungsfalle zu geraten, gilt es bei der Umsetzung eine Vielfalt an gesetzlichen Auflagen zu beachten. Doch die sogenannten „Compliance“-Anforderungen sind eher allgemein gehalten und legen in erster Linie den verantwortungsvollen und rechtskonformen Umgang mit der im Unternehmen vorhandenen Informationstechnik fest. Somit sorgt ihre Einhaltung zwar für den notwendigen Grundschutz und die Einführung von Früherkennungssystemen zur rechtzeitigen Erkennung von Risiken, jedoch ist es damit leider nicht getan, in einer Zeit, in denen immer ausgeklügeltere Angriffstechniken zur Übernahme von Rechnern und dem Zugriff auf vertrauliche Informationen ersonnen werden.

Von Brandschutzmauern, Schädlingsbekämpfern und verdeckten Ermittlern

Seit langem bekannt, beliebt und bewährt ist der Einsatz von Firewalls und Anti-Viren-Software. Doch Brandschutzmauern zu überwinden oder Schädlingsbekämpfer auszuhebeln, ist für heutige Hacker oftmals ein leichtes Spiel. Denn Filtertechniken und signaturbasierte Lösungen stehen neuer Malware und den zahlreichen Varianten bösartiger Viren, Würmer, Trojaner und Backdoors meist machtlos gegenüber. Gleiches gilt für Intrusion-Detection-Systeme (IDS), die parallel zu Firewalls vor unliebsamen Angriffen schützen sollen. Doch der Begriff Intrusion Detection weist schon auf einen Nachteil dieser Technik hin: Dank der Überwachung von Rechnern und Infrastrukturen lassen sich zwar Einbrüche oder Systemmissbräuche rechtzeitig erkennen, jedoch ist die Voraussetzung hierfür stets, dass bereits eine Sicherheitsverletzung aufgetreten ist. Und damit ist das Kind im schlimmsten Fall schon in den Brunnen gefallen. Intrusion-Detection-Systemen wird zudem nachgesagt, dass sie nur bis zu einer bestimmten Netzlast „zuverlässig“ arbeiten und die Quote an Fehlalarmen hoch ist. Einen Schritt weiter gehen hingegen Intrusion-Prevention-Systeme (IPS). Ihre Aufgabe besteht nicht nur darin, den gesamten Datenverkehr beständig auf unzulässige Aktivitäten zu überprüfen. Vielmehr dienen sie dazu, Angriffe direkt abzublocken und dies, bevor Schaden entsteht. Prävention anstelle Reaktion heißt hier das Grundprinzip. Intrusion-Prevention-Systeme lassen sich somit mit Türstehern vergleichen, die ungebetene Gäste erst gar nicht passieren lassen.

Intrusion-Prevention-Systeme gibt es viele. Doch welches ist das richtige?

Um zu ermitteln, welches Intrusion-Prevention-System die eigenen Anforderungen am besten erfüllt, ist eine genaue Analyse der bestehenden Infrastruktur erforderlich. Hierzu zählt auch eine Bewertung, was als besonders schützenswert gilt. Denn davon hängt letztlich der Lösungsansatz einschließlich der Auswahl des passenden IPS ab. Generell wird heute zwischen Host-, Netzwerk- und Desktop-Intrusion-Prevention-Systemen – kurz HIPS, NIPS und DIPS - unterschieden. Bei hostbasierten Lösungen handelt es sich um Software, die auf dem zu schützenden System installiert wird. NIPS hingegen sind in der Regel Hardware-Komponenten wie Appliances, die für den Inline-Betrieb – das heißt, der Integration in das Netzwerk – vorgesehen sind. Dadurch muss der gesamte ein- und ausgehende Datenverkehr das Gerät passieren. Schadhafte Pakete werden automatisch ausgefiltert, als ungefährlich klassifizierte Informationen vermittelt. Damit dieser Prozess keine Leistungseinbußen nach sich zieht, sollten die Durchsatzraten der in Frage kommenden Produkte genau in Augenschein genommen werden. Bei der Evaluierung unterschiedlicher Lösungen sollte zudem darauf geachtet werden, dass sich das favorisierte Intrusion-Prevention-System problemlos in die vorhandene IT-Infrastruktur einfügt, an bestehende Abläufe anpassen lässt sowie die Abbildung interner Richtlinien unterstützt. Weitere anzulegende Kriterien bestehen darin, dass das IPS Angriffe auf den OSI-Layern 2 bis 7 sowie DoS-/DDoS-Übergriffe erkennt und abwehrt sowie zahlreiche Analyseverfahren kombiniert – angefangen von signaturbasierten Mechanismen bis hin zu Techniken, mit denen ungewöhnliche Verhaltensmuster sowie Anomalien im Netzwerkverkehr aufgespürt werden können. Dies stellt sicher, dass selbst bislang noch unbekannte Schädlinge keine Chance haben.

Erkennungs- und Analysetechniken sinnvoll kombinieren

Entscheidend für die Wirksamkeit des eingesetzten IPS ist eine minimale False-Positive-Rate. Hierunter wird irrtümlich blockierter, harmloser Traffic verstanden. Um solchen falschen Warnungen vorzubeugen, müssen verschiedene Analyse- und Ermittlungsverfahren optimal zusammenspielen. Hierzu zählen sowohl Techniken zur Protokollerkennung und –identifikation als auch verschiedene Methoden, mit denen sich der Datenverkehr genau analysieren lässt.

Protokollerkennung und –identifikation

• Portzuordnung: Zahlreiche Protokolle, wie beispielsweise das Hypertext Tranfer Protokoll (http), belegen nur einen bestimmten Port. Sobald ein anderes Protokoll diesen Port nutzt, erkennt das System die Abweichung sofort.
• Heuristische Methoden: Das Netzwerk wird beständig auf eindeutige Verhaltensmuster überprüft, die auf verwendete Protokolle schließen lassen oder charakteristisch für Schadprogramme sind.
• Port Following: Wird oft in Kombination mit heuristischen Methoden eingesetzt und dient dazu, bereits früher schon einmal identifizierte Verbindungen zu überwachen. Dies ist dahingehend von Vorteil, da einige Anwendungsprotokolle einen bestimmten Port zur Verbindungskontrolle nutzen, jedoch für die Datenübermittlung zwischen dem Client und dem Server zusätzlich einen sogenannten „Random Port“ öffnen. Die Port-Following-Technik fasst die für die Übertragung ausgehandelten Ports und zugehörigen Verbindungen zu einer Gruppe zusammen, so dass der gesamte Datenverkehr auf Schadcodes analysiert werden kann.
• Protocol Tunneling: Verfahren zur Erkennung von getunnelten Protokollen. Hierunter wird verstanden, dass Datenpakete eines Datenübertragungsverfahrens verpackt in Datenpakete eines anderen Datenübertragungsverfahrens übermittelt werden. Hacker nutzen diese Technik, um ihre Angriffe zu verschleiern. Daher ist es unerlässlich, dass Intrusion-Prevention-Systeme dieses Verfahren erkennen können.

Datenverkehrsanalyse

• Protokollanalyse: Überprüft Protokolle auf Abläufe, die vom Standardverhalten abweichen. Auf diese Weise lassen sich selbst Angriffe auf bislang nicht bekannte Schwachstellen im Vorfeld abwehren.
• RFC Compliance Check: Validierung, dass verwendete Protokolle den Vorgaben entsprechen, die in den von der Internet Enginieering Task Force (IETF) veröffentlichten „Requests for Comments“ oder kurz RFCs festgehalten sind.
• TCP Reassembly: Um Analysesysteme zu umgehen, fragmentieren Hacker häufig die von ihnen geschriebenen Schadprogramme und versenden sie verteilt auf mehrere Pakete. Dieser Technik lässt sich mit dem TCP-Reassembly-Verfahren begegnen, das diese wieder zusammensetzt und damit den „versteckten“ Angriffen Paroli bietet.
• Flow Assembly / Simulation: Vergleichbar mit dem TCP-Reassembly-Verfahren. Jedoch werden nicht nur einzelne Pakete, sondern der gesamte über eine Verbindung vermittelte Datenverkehr zusammengesetzt und einer genauen Analyse unterzogen.
• Statistische Schwellenwertanalyse: Um festzulegen, was als „normales“ Datenverkehrsaufkommen gilt, wird das Netzwerks über einen festgelegten Zeitraum hinweg überwacht. Darauf basierend wird eine sogenannte „Baseline“ definiert. Treten Abweichungen auf, deutet dies auf einen Angriff hin, der umgehend abgeblockt wird.
• Pattern Matching: Eine der populärsten Analysemethoden, bei der Pakete auf bestimmte Zeichenfolgen überprüft und mit den in einer Datenbank gespeicherten Mustern (Signaturen) verglichen werden. Bekannte Schadcodes lassen sich auf diese Weise erkennen, bislang noch nicht veröffentlichte Malware allerdings weder ermitteln noch abwehren.

Anomalieerkennung: Dank der Sammlung von Informationen zu dem über die Infrastrukturkomponenten übermittelten Datenverkehr und der gleichzeitigen Prüfung auf ungewöhnliche Verhaltensmuster, lässt sich der Netzstatus genau ermitteln. Potenziell gefährliche Verkehrsströme, möglicherweise auftretende bedrohliche Sicherheitsereignisse wie die unzulässige Verbreitung von Würmern über bereits infizierte Rechner oder regelwidrige Aktivitäten – hierzu zählen unter anderem Verstöße gegen unternehmensintern festgelegte Richtlinien - werden automatisch erkannt. Auch steht die Netzwerkleistung auf dem Prüfstand: Treten Abweichungen auf, erhalten Verantwortliche sofort Bescheid.

Den Sicherheitslücken auf der Spur
Die Auswahl der geeigneten Lösungen ist die eine Sache. Die Systeme jedoch beständig auf dem neuesten Stand zu halten, eine andere. Hierzu gehört beispielsweise das regelmäßige Aufspielen getesteter Updates, falls diese Leistung nicht Bestandteil des Wartungsvertrages mit dem Hersteller der Wahl ist und automatisch erfolgt. Ein solches Vorgehen stellt sicher, dass die Infrastruktur keine Angriffsfläche für unzulässige Zugriffe bietet. Um den böswilligen Aktivitäten von Hackern jedoch permanent einen Riegel vorzuschieben, ist die beständige Ermittlung neuer Schwachstellen und deren Analyse, sowie die Entwicklung darauf ausgelegter Gegenmaßnahmen unumgänglich. Einen bedeutenden Beitrag leistet hierbei die Forschungs- und Entwicklungsarbeit der Hersteller von Sicherheitslösungen. Besonderes Ansehen in diesem Sektor genießt unter anderem das X-Force-Team des IBM Unternehmens Internet Security Systems. Rund um die Uhr unterzieht die 120-köpfige Mannschaft Netzwerkkomponenten, Betriebssysteme, Datenbanken und weitere geschäftskritische Anwendungen umfassenden Tests, um potenzielle Schwachstellen und mögliche Angriffspunkte aufzuspüren. Ebenso decken die Sicherheitsspezialisten, die eng mit Regierungsbehörden, Brachenverbänden und Softwareentwicklern zusammenarbeiten, permanent mit dem Internet in Zusammenhang stehende Bedrohungspotenziale auf. Sämtliche ermittelte Informationen werden in eine Datenbank eingespeist, die mit mehr als 30.000 Einträgen das umfassendste Schwachstellenverzeichnis weltweit darstellt. Die in Kassel beheimatete C-Force - der Content-Security-Spezialist des Unternehmens - beschäftigt sich zudem fortwährend damit, neue Spam-Techniken sowie Verbreitungsmethoden ausfindig zu machen. Auf den von der X-Force und der C-Force gewonnenen Erkenntnissen aufbauend, werden Verteidigungsmechanismen entwickelt, umgehend in entsprechende Updates umgesetzt und automatisch auf die Kundensysteme aufgespielt. Darüber hinaus fließen die Forschungsergebnisse selbstverständlich in die Entwicklung neuer Technologien, Produkte und Services ein. Unternehmen, die mit IPS-Lösungen des Herstellers arbeiten, sind Angreifern somit stets den entscheidenden Schritt voraus und können sich darauf verlassen, dass ihr Geschäftsbetrieb unterbrechungsfrei verläuft.

Wachstumsmarkt Sicherheit

Das breite Spektrum heute am Markt verfügbarer Intrusion-Prevention-Systeme lässt kaum noch Wünsche offen. Die zu Grunde liegenden Techniken gelten inzwischen als weitestgehend ausgereift, lassen sich auf kundenspezifische Bedingungen abstimmen und halten vor allem das gegebene Versprechen, unternehmensweite Infrastrukturen umfassend sowie zuverlässig vor unliebsamen Übergriffen zu schützen. Mittlerweile ist der Einsatz von IPS-Produkten zudem nicht länger großen Firmen vorbehalten. Schon längst haben die Hersteller von Security-Lösungen die kleineren und mittelständischen Betriebe für sich entdeckt. Speziell auf die Anforderungen und das Portemonnaie dieser Zielgruppe zugeschnittene Systeme sind selbstverständlicher Bestandteil ihres Gesamtangebots. Und tragen nicht unerheblich dazu bei, dass sich die Anbieter von IPS- Produkten vermutlich auch künftig über steigende Umsätze freuen dürfen.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.