Intrusion Prevention: mehr Sicherheit im Netz

• Home
• Magazin
• Know How
• IT-Security Themen & Trends

Nie zuvor konnten Informationen schneller ausgetauscht und Transaktionen einfacher getätigt werden als heute. Die Kehrseite dieser Entwicklung ist die nahezu vollständige Abhängigkeit von Netzwerken und den darin gespeicherten Informationen. Dabei nehmen die Bedrohungsszenarien für Unternehmensnetzwerke kontinuierlich zu: Viren, Würmer, und Trojaner ändern täglich ihr Gesicht. Hacker entdecken stän-dig neue Sicherheitslücken und nutzen diese für Datendiebstahl oder das Lahmlegen von Netzwerken. In der aktuellen Studie „CSI/FBI 2005 Computer Crime and Security Survey“ des amerikanischen Computer Security Institute (CSI) wird das Bedrohungspotenzial deutlich. Den 700 befragten Organisationen entstanden in den letzten zwölf Monaten durch Netzwerkangriffe Schäden in Höhe von 130 Millionen Dollar.

Andreas Gabelin, Geschäftsführer von Top Layer Networks, fasst die Herausforderung, vor der Unternehmen stehen zusammen: „IT-Verantwortliche müssen sich ständig die Frage stellen, ob ihr Netzwerk wirklich effizient gegen aktuelle Bedrohungen von außen und innen geschützt ist.“

Firewalls allein bieten keinen ausreichenden Schutz

Serverausfälle sind keine Lappalie, sondern bedeuten eine schwerwiegende Einschränkung der Geschäftsprozesse. Die Bandbreite der möglichen Schäden ist enorm: Datenverluste können ein Unternehmen zeitweise lahm legen und in Extremfällen sogar dessen Existenz bedrohen. Wer auf veraltete oder unzureichende Schutzsysteme setzt, geht ein hohes Risiko ein – für sich selbst durch haftungsrechtliche Konsequenzen (KonTraG; Sarbanes Oxley u.a.) und sein Unternehmen. Selbst wenn es nicht soweit kommt, entgangene Aufträge, nicht eingehaltene Fristen und unzufriedene Kunden sind schlimm genug.

Neben Antivirensoftware und dem regelmäßigen Patchen von Anwendungen sind Firewalls heute de fac-to-Standard in der Unternehmenswelt. Firewalls blocken über die Identifizierung von IP-Adressen Datenpakete unliebsamer oder unbekannter Absender und schützen so die TCP- und UDP-Ports des Netzwerks. Sie können jedoch nur Schadensbegrenzung betreiben, da sie nicht in der Lage sind, Angriffe auf das Netzwerk vollständig abzuwehren. Bei Denial-of-Service (DoS)-Angriffen oder Protokollabweichungen sind Firewalls beispielsweise überfordert. Diese Lücke schließen so genannte Network Intrusion Detection Systeme (NIDS), die den gesamten Netzwerkverkehr überwachen und die Ergebnisse an eine zentrale Stelle übermitteln. Leider verlangt dieses Vorgehen letztlich „manuelle" Maßnahmen, denn NIDS warnen nur, können Bedrohungen aber nicht automatisch eliminieren. Selbst eine Kombination aus VPN, Anti-Virus, Anti-Spam, Patch-Management, Firewall und NIDS ist nicht in der Lage, alle Angriffe zu erkennen bzw. abzuwehren. Sie alle setzen letztlich einen Schritt zu spät an, da zwischen Erkennen und Bekämpfen einer Bedrohung zu viel Zeit vergeht. Abhilfe schaffen erst Intrusion Prevention Systeme (IPS), mit denen sich die Schwachpunkte bisheriger Ansätze beheben lassen.

IPS - Vorbeugen statt reagieren

Ziel eines jeden Sicherheitssystems ist, das Zeitfenster von der Angriffserkennung bis zur Gegenmaßnahme so klein wie möglich zu halten, damit die Verbreitung einer Attacke minimiert oder ausgeschlossen wird. Ideal ist ein Zeitfenster von Null, bei dem ein Angriff sofort und ohne manuellen Eingriff geblockt wird. Möglich wird dies durch Intrusion Prevention Systeme (IPS). Ein IPS wird als „In-Line-Security“-Technologie direkt in das Netzwerk eingeklinkt und zwar dort, wo die Datenpakete transportiert werden – analysiert alle Datenpakete und eliminiert diese direkt bei Erkennen einer potenziellen Gefahr. IPS sind in der Lage, anhand eines umfangreichen Regelsatzes Datenpakete bis zur Protokollebene zu analysieren, Angriffe aller Art zu erkennen und abzuwehren, ohne dass spezielle Kenntnisse der verantwortlichen Anwendung erforderlich sind. Während andere Ansätze auf Reaktion ausgelegt sind, greifen IPS das Problem direkt an der Wurzel an und betreiben echte Prävention (daher der Namensbestandteil „Prevention“).

Das führende, unabhängige Security Testlabor, die NSS Group, unterscheidet bei der Klassifizierung und Zertifizierung von Intrusion Prevention Systemen zwischen Content- und Rate-based IPS. Content-based Systeme analysieren Protokolle und Paketinhalte durch Signaturen und Mustererkennung – modernere Systeme zusätzlich durch Protokollvalidierung - auf gefährliche Inhalte. Rate-based Systeme suchen nach Anomalien im Netzwerkverkehr und erkennen so Bedrohungen wie DoS-Angriffe, Scans und Stealth-Attacken zuverlässig. Nur die performante Integration beider Arten kombiniert mit einer transparenten Stateful Firewall zur Überwachung der Zugriffsrechte liefert optimale Resultate.

Gartner hat für die Auswahl eines Netzwerk Intrusion Prevention Systems eine Liste von sieben Schlüsselkriterien aufgestellt und dabei darauf hingewiesen, dass neben den Content basierenden IPS-Funktionen zum Schutz vor Würmern, Viren und Trojanern ebenso die Sicherheitsfunktionen einer Firewall sowie so genannte Rate-based IPS-Funktionen zum Schutz gegen DoS / DDoS Attacken vorhanden sein müssen. Ebenfalls in diesem Report weist Gartner auf die Wichtigkeit der tatsächlichen In-Line-Performance eines Systems, seiner Latenzzeiten sowie die Fähigkeit hin, auch in Extremumgebungen die Schutzfunktionen zu gewährleisten. Nur wenige IPS-Systeme wie der Top Layer Attack Mitigator IPS sind in der Lage, all diese Funktionen in den geforderten Leistungsbereichen abzubilden.

Dedizierte Hardware statt Softwarelösungen

„Viele Anbieter bieten unter dem Kürzel IPS eine PC-basierende Software an, die aber nicht geeignet ist, echtes IPS zu realisieren“, weiß Andreas Gabelin. „Durch ein IPS müssen in Mikrosekunden alle Datenpakete analysiert werden, ohne dass die Performance des Netzwerkes dadurch in die Knie geht.“ Um den Schwächen traditioneller IDS Technologien begegnen zu können, müssen spezielle Technologien, wie z.B. die vollständige Protokollvalidierung entwickelt und implementiert werden. Nur speziell entwickelte Hardware kann dies unter den Leistungsanforderungen moderner Netzwerk-Infrastrukturen gewährleisten.

Ein Muss für komplexe Umgebungen sind die Cluster- und Integrationsfähigkeit in alle bekannten Switching- und Routing-Umgebungen. Dabei sind moderne IPS-Lösungen so ausgelegt, dass sie die Verfügbarkeit der Netzwerke erhöhen anstatt sie negativ zu beeinträchtigen. So können sie auch beispielsweise unter einer intensiven DoS-Attacke weiterhin legitime Verbindungen und Transaktionen sicherstellen. TopLayer hat daher mit dem Attack Mitigator IPS eine dedizierte Hardware speziell für hohe Datendurchsätze entwickelt. Dem Intrusion Prevention-Produkt liegt dabei aus Sicherheitsgründen eine patentierte, ASIC-basierende Architektur zugrunde. Das Produkt zielt auf die Blockierung von DoS- und DDoS (Distri-buted DoS)-Angriffen, HTTP-Würmern, Anomalien im Netzwerkdatenverkehr und unbekannten Attacken.

Die Produktreihe bietet intelligente Block- und Kontrollfunktionen für alle gängigen Bedrohungsszenarien der IT-Infrastruktur. Kombinierte Angriffe wie beispielsweise HTTP-Würmer, DoS- oder DDoS-Angriffe, Protokoll- und Verkehrsanomalien, IP Spoofing, SYN Flood Attacken und andere werden akkurat erkannt und in Echtzeit blockiert. So erhält der Netzwerksicherheitsadministrator die vollständige Kontrolle über den Umgang mit erkannten Angriffen – von einfacher Beobachtung über Alarmierung und Limitierung bis zur automatischen Blockierung von bösartigen oder verdächtigen Paketen/Verbindungen. IPS-Lösungen lassen sich an allen wichtigen Netzwerkstellen wie dem Perimeter eines Netzes, in internen Netzsegmenten, in Niederlassungsstrukturen oder im Zentrum eines Unternehmensnetzwerks einsetzen.

Ideale Ergänzung für Sicherheits-Infrastrukturen

Grundsätzlich sollte der Einsatz von Intrusion Prevention Systemen immer dann in Betracht gezogen werden, wenn ein Systemausfall oder Netzwerkmissbrauch, egal ob von innen oder außen, drastische Auswirkungen haben könnte. Branchen- und größenunabhängig sollte jedes Unternehmen, das mit seiner Firewall bereits Probleme hatte oder in dem bestimmte Netzwerk-Sicherheitsthemen heute noch nicht adressiert sind, ernsthaft über den Einsatz eines modernen IPS wie den Top Layer Attack Mitigator IPS nachdenken. Andreas Gabelin kommentiert die Budgetproblematik wie folgt: „Die Frage für Unternehmen, die sich keine Ausfälle und Schäden durch Cyberkriminalität erlauben können, sollte nicht lauten „brauche ich ein IPS?“ sondern vielmehr „wo und in welcher Ausprägung ergänze ich meine bestehende Sicherheitsinfrastruktur durch ein IPS?“.

Nur mit IPS-Technologie lassen sich Angriffe quasi ohne Zeitverzögerung erkennen und automatisch abwehren. Immer häufiger und schneller lancierte Angriffe gegen Schwachstellen in Betriebssystemen und Programmen sowie der Wettlauf mit dem Einspielen von Patches erfordern komplexe Lösungsansätze. IPS stellen daher eine optimale Ergänzung der bestehenden Sicherheitsmechanismen dar. Immer mehr Unternehmen aus den unterschiedlichsten Branchen haben dies erkannt und setzen für die maximale Sicherheit ihrer IT auf Intrusion Prevention Systeme.

Prävention zahlt sich aus

Aus Sicht eines Unternehmens konkurrieren die IT-Budgets immer mit zahllosen anderen Aufgaben und Kostenstellen. Auch Investitionen in Sicherheit bedürfen daher einer Begründung oder Rechtfertigung und können kein Selbstzweck sein. Im Vordergrund steht aus Sicht des Controllings immer die Frage nach dem Return on Investment (RoI). Im Einzelfall muss daher immer geklärt werden, ob die Investition in eine neue Technologie unbedingt notwendig ist und sich lohnt.

Im Bereich der Sicherheit ist ein finanzieller Vorteil aber nur schwer messbar, da solche Lösungen nicht dazu dienen, Profit zu erwirtschaften, sondern Schäden abzuwenden. Beim Thema IPS erfordern Einstiegssysteme einen finanziellen Aufwand in Höhe von rund 15.000 Euro. Stellt man diesen einmaligen Kosten für die Implementierung Schäden wie entgangene Umsätze, Leerlaufzeiten und Supportaufwendungen gegenüber, wird das wirtschaftliche Risiko deutlich. Wie hoch sind allein die Umsatzausfälle, wenn die Website eines Online-Unternehmens auch nur für eine Stunde ausfällt? Welche Kosten entstehen, wenn Angreifer einen Transaktionsserver für mehrere Stunden lahm legen? Wie beziffert man Schäden durch Industriespionage, wenn etwa Daten über Neuentwicklungen gestohlen und an den internationalen Wettbewerb verkauft werden?

„Generell gilt: Sicherheit ist kein Zustand, der erreicht werden kann, sondern ein kontinuierlicher Prozess", fasst Andreas Gabelin zusammen. „Jedoch können die meisten Angreifer gestoppt werden bevor sie in ein Netzwerk eindringen und Schaden anrichten, wenn IPS an den neuralgischen Stellen eines Netzes implementiert werden."

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema