Andrea Danti - Fotolia
Grundlagen: Network Intrusion Prevention Systems
Dieser Artikel beschreibt, worauf Unternehmen beim Kauf, Einsatz und Management von Intrusion-Prevention-Systemen (IPS) für Netzwerke achten sollten.
Ein Intrusion Prevention System (IPS) überwacht den Netzwerkverkehr und analysiert die Paket-Header und Inhalte auf Anzeichen für schädliche Aktivitäten oder andere Verstöße gegen Richtlinien des Unternehmens. Werden schädliche Dateien oder Aktivitäten erkannt, wehrt ein IPS diese Angriffe mit verschiedenen Methoden ab. Dazu gehört beispielsweise die Unterbrechung der entsprechenden Netzwerkverbindungen oder die Neukonfiguration von anderen Sicherheitsmechanismen, um den Datenverkehr zu blockieren. IPS werden seit vielen Jahren in enger Verknüpfung mit Firewalls eingesetzt, um eine Vielzahl von netzwerkbasierten Angriffen zu erkennen, die andere Sicherheitstechnologien nicht aufdecken könnten.
Der Vorgänger von Intrusion Prevention Systemen sind Intrusion Detection Systeme (IDS). Sie bieten ähnliche Funktionen, können aber im Unterschied zu IPS bösartige Aktivitäten nicht stoppen. Die meisten frühen Network-Intrusion-Prevention-Systeme setzten auf signaturbasierte Techniken, die zum Beispiel Kommunikationswege und Inhalte eines bestimmten Wurms identifizieren konnten, indem sie bekannte Byte-Sequenzen analysierten, die für diesen Wurm einzigartig waren. Mittlerweile existieren Network Intrusion Prevention Systems mit einer Vielzahl ausgefeilterer Nachweistechniken. Damit verstehen sie die Feinheiten der Anwendungsprotokolle und -Kommunikation, so dass sie anwendungsbasierte Angriffe sowie Angriffe auf andere Schichten des Netzwerk-Stacks erkennen.
IPS-Produkte stehen derzeit in drei Formen zur Verfügung:
- Dedizierte Hardware und Software (Hardware Appliances oder virtuelle Appliances)
- Integriert in andere Security-Technologien. So kann ein Unternehmen beispielsweise ein IPS-Modul lizenzieren und auf einer Next-Generation Firewall (NGFW) aktivieren.
- Cloud-basierter Services
Dieser Artikel konzentriert sich auf IPS, die als dedizierte Hardware und Software direkt über Netzwerke von Unternehmen bereitgestellt werden, sowie auf virtuelle Appliances, die in virtuellen Netzwerken innerhalb von Servern betrieben werden.
Die Architektur von Netzwerk Intrusion Prevention Systemen
Im Zentrum eines Intrusion Prevention Systems stehen ein oder mehrere Sensoren. Jeder Sensor ist strategisch so positioniert, dass er den Datenverkehr in bestimmten Netzwerksegmenten überwacht. Früher setzten Unternehmen dazu einen Sensor pro Netzwerksegment ein, mittlerweile reicht ein Sensor, um mehrere Netzwerksegmente gleichzeitig zu überwachen. Für die Kontrolle der wichtigsten Teile ihres Netzwerks nutzen Unternehmen IPS-Sensoren besonders häufig an Nahtstellen, an denen sie Netzwerke mit unterschiedlichen Sicherheitsrichtlinien verbinden, zum Beispiel das interne Netzwerk mit dem Internet, oder interne Benutzernetzwerke mit internen Servernetzwerken.
Neben Sensoren für Hardware-Appliances bieten einige Hersteller auch Sensoren für virtuelle Appliances an. Diese besitzen die gleichen Kontroll- und Analyse-Funktionen wie die Sensoren für Hardware-Appliances; die virtuelle Appliance ist aber für den Einsatz auf einem Server ausgelegt, der virtuelle Maschinen (VMs) betreibt und die virtuellen Netzwerke zwischen den VMs überwacht. Bei einer derartigen Architektur ist eine virtuelle Appliance auf dem Server erforderlich, da der Netzwerkverkehr zwischen den VMs den Server nicht verlässt.
Management ist ein weiterer wichtiger Aspekt der IPS-Architektur. Die Hersteller von Netzwerk-Intrusion-Prevention-Systemen bieten in der Regel eine zentrale Management-Konsole für die Überwachung, Konfiguration und Pflege der IPS-Sensoren von virtuellen und Hardware Appliances. Viele Unternehmen konfigurieren ihre IPS-Produkte so, dass diese die Daten der IPS-Sensoren für die weitere Analyse an SIEM-Lösungen (Security Information and Event Management) oder andere Security-Produkte weiterleiten und für den Umgang mit Sicherheitsvorfällen einsetzen. In diesem Fall ist es nicht mehr notwendig, eine dedizierte Datenbank oder andere Mittel für das langfristige Speichern der IPS-Protokolle vorzuhalten.
Das größte Problem von IPS-Architekturen ist der Einsatz von Verschlüsselung zum Schutz des Netzwerkverkehrs. Diese Maßnahme schützt die Inhalte des Netzwerkverkehrs so gut, dass IPS-Sensoren die Daten nicht analysieren können und somit Angriffe innerhalb des verschlüsselten Datenverkehrs nicht erkennen. Unternehmen setzen IPS-Appliances zunehmend an Punkten im Netzwerk ein, an denen der Verkehr nicht verschlüsselt wird. Ein Beispiel ist der Ort, an dem ein VPN-Server (Virtual Private Network) den eingehenden Datenverkehr entschlüsselt.
Typische Umgebungen für Netzwerk Intrusion Prevention Systeme
Netzwerk-Intrusion-Prevention-Systeme sind grundsätzlich in fast jeder Umgebung nützlich, weil sie bestimmte Arten von Angriffen erkennen und stoppen können, bei denen andere Sicherheitsmechanismen an ihre Grenzen geraten. Da die meisten IPS beispielsweise Hunderte oder Tausende von Anwendungsprotokollen analysieren und interpretieren können, sind sie in der Lage, anwendungsbasierte Angriffe über E-Mails und Webdatenverkehr hinaus zu erkennen – diese beiden Anwendungen werden von den meisten anderen Sicherheitsmaßnahmen abgedeckt.
Die in diesem Artikel beschriebenen Intrusion Prevention Produkte (dedizierte Hardware und Software) eignen sich am besten für mittlere und große Unternehmen. Gründe dafür sind zum einen die höheren Kosten für dedizierte IPS-Hardware und -Software im Vergleich zu anderen IPS-Arten. Zum anderen lassen sich mit dedizierter Hardware und Software höhere Leistung und mehr Optionen für die Lastverteilung erreichen.
Der Hauptgrund für die geringe Verbreitung von dedizierter IPS-Hardware und -Software in kleinen Unternehmen sind IPS-Module für andere Sicherheitstechnologien wie Next-Generation Firewalls. Da für diese Module keine zusätzliche Hardware notwendig ist, sind die Beschaffungs- und Installationskosten niedriger; auch die langfristige Verwaltung und Wartung ist günstiger, weil Unternehmen IPS als Teil der NGFW verwalten. Ein kleines Unternehmen mit genügend Ressourcen kann sicherlich eine dedizierte IPS-Lösung einsetzen, um höhere Leistung, Redundanz oder andere Vorteile zu erzielen. Mittlerweile nutzen kleine Unternehmen zunehmend Cloud-basierte IPS-Services, in denen sie die Verwaltung und Überwachung ihres Netzwerkverkehrs auslagern.
Kosten für die Beschaffung, Implementierung und Verwaltung von IPS
Auch wenn Hardware Appliances und virtuelle Appliances für IPS über nahezu identische Funktionen verfügen, unterscheiden sie sich in den Kosten für Beschaffung, Implementierung und Verwaltung erheblich.
Die Kosten für Intrusion-Prevention-Produkte auf Basis von Hardware Appliances sind oft beträchtlich. Die meisten Unternehmen benötigen zahlreiche, mitunter teure Sensorgeräte für die Überwachung von Schlüsselstellen am Perimeter und in ihren internen Netzwerken. Die tatsächlichen Kosten für die IPS-Bereitstellung sind indessen nicht allzu hoch. Unternehmen müssen aber möglicherweise Netzwerkausfälle in Kauf nehmen, um die IPS-Sensoren physisch in die Netzwerkinfrastruktur zu integrieren und diese neu zu konfigurieren.
Die Kosten für den Kauf und die Bereitstellung von virtuellen Appliances sind im Vergleich zu Hardware Appliances erheblich niedriger, da keine zusätzliche spezielle Hardware erforderlich ist. Es fallen nur Ausgaben für Softwarelizenzen an, und die Software muss auf Servern des Unternehmens installiert werden, die Virtualisierungs-Technologien nutzen.
Unternehmen müssen beträchtliche Ressourcen für die Anpassung und Verbesserung jedes IPS-Sensors einkalkulieren, obwohl IPS-Technologien so entwickelt wurden, dass sie möglichst automatisiert arbeiten. IPS-Technologien kombinieren verschiedene Techniken für die Aufdeckung von Angriffen, die aber nicht absolut zuverlässig arbeiten. IPS sind berüchtigt für False Positives, sprich sie identifizieren eigentlich gutartige Aktivitäten fälschlicherweise als bösartig. Dies hat sich zwar über die Jahre deutlich verbessert. Da es aber immer noch geschieht, müssen IPS-Administratoren bei der Überprüfung der IPS-Warnungen und beim Optimieren der Erkennungsfunktionen sehr wachsam sein, um die Anzahl der Fehlalarme zu minimieren. Dies ist besonders wichtig, wenn ein Unternehmen die Abwehrfunktionen eines Intrusion Prevention Systems nutzt, da Fehlalarme dazu führen, dass gutartige Daten geblockt werden.
Andere Arten von Intrusion Prevention
Intrusion-Prevention-Systeme waren ursprünglich Standalone-Produkte mit dedizierter Hardware und Spezialsoftware, die ausschließlich IPS-Funktionalität zur Verfügung stellte. In den frühen Jahren hatten IPS aufgrund der Komplexität der Analyse und dem zu überwachenden Volumen des Netzwerkverkehrs häufig Leistungsprobleme. Es gab auch viele Angriffe auf die IPS-Technologien selbst. Diese reichten von Überflutung (Flooding) mit hohem Datenvolumen über das Auslösen von False Positives, damit echte Warnungen unbemerkt bleiben, bis hin zu Crafting-Paketen, deren Header und Inhalt das IPS falsch interpretiert. Daher war es sinnvoll, IPS-Funktionalität auf dedizierten Geräten zu isolieren, um andere Sicherheits- oder Netzwerkfunktionen nicht zu stören.
Intrusion-Prevention-Systeme haben sich seit diesen frühen Tagen stark verändert. IPS-Software arbeitet mittlerweile wesentlich effizienter und genauer bei der Erkennung von Angriffen. Auch die für die Überwachung des Netzwerkverkehrs eingesetzte Hardware wurde erheblich verbessert. Da zudem Techniken entwickelt wurden, die Angriffe auf das IPS selbst vermeiden oder ignorieren, ist es kaum mehr notwendig, IPS-Funktionen zu isolieren oder von anderen Sicherheitsanwendungen zu trennen.
Neben dedizierter Hardware und Software (Hardware Appliances oder virtuelle Appliances) können Unternehmen heute IPS-Funktionen als Cloud-basierte Services beziehen oder in andere Security-Technologien integrieren. So kann ein Unternehmen beispielsweise ein IPS-Modul lizenzieren und auf einer Next-Generation Firewall aktivieren.
Dieser Artikel und die nachfolgenden Artikel aus dieser Serie decken nur die erste Kategorie ab: dedizierte Hardware und Software. Viele Firmen, vor allem größere Unternehmen, verwenden diese speziellen Produkte aus Gründen wie überlegene Leistung, architektonischen Überlegungen (zum Beispiel Einsatz von Sensoren), Verteilung der Arbeitslast auf verschiedene Sicherheitsmechanismen und Interoperabilität mit anderen Sicherheitsmechanismen.
Die anderen IPS-Kategorien sind nicht Gegenstand dieser Artikelserie, da sie einige grundlegend andere Eigenschaften besitzen, die keinen direkten Vergleich mit dedizierten Hard- und Softwareprodukten erlauben. Zum Beispiel stellt die Sicherheit der Kommunikation bei Cloud-basierten IPS-Dienstleistungen eine viel kritischere Größe dar, da hier ein Drittanbieter den Netzwerkverkehr des Unternehmens überwacht. Leistung ist ein weiteres Thema: Wie kann man die Leistung verschiedener IPS-Produkte vergleichen, wenn IPS nur eine von vielen Funktionen einer Next-Generation Firewall ist?
Statt zu versuchen, all diese Unterschiede zwischen den IPS-Kategorien zu kompensieren, konzentriert sich diese Artikelserie auf dedizierte IPS-Hardware und -Software. Viele der beschriebenen Prinzipien gelten auch für andere IPS-Kategorien; es können aber Anpassungen notwendig sein.
Management von Netzwerk-Intrusion-Prevention-Systemen
Produkte für Network Intrusion Prevention identifizieren und stoppen bösartige Aktivitäten in Netzwerken eines Unternehmens. IPS auf Basis von Hardware Appliances oder virtuellen Appliances bieten fast identische Funktionen, unterscheiden sich aber erheblich in ihrer Architektur und in den Kosten für die Beschaffung und Implementierung. Obwohl fast jedes Unternehmen von Intrusion-Prevention-Produkten dieser Kategorie profitiert, kommen sie am häufigsten in mittleren und großen Unternehmen zum Einsatz. Kleinere Unternehmen ergänzen meist ihre Next-Generation Firewalls um IPS-Module oder nutzen Cloud-basierte IPS-Services.
Unternehmen, die bei IFS auf Hardware Appliances setzen wollen, sollten die voraussichtlichen Kosten für den Kauf, die Bereitstellung und vor allem das Management dieser Lösungen sorgfältig bewerten. Obwohl moderne IPS-Produkte hochgradig automatisiert arbeiten, ist durchaus hoher Aufwand erforderlich, um IPS-Warnungen zu überwachen und zu überprüfen, die Erkennungsfunktionen zu optimieren und sicherzustellen, dass das IPS auch die aktuellsten Bedrohungen einbezieht. Und je mehr Energie Unternehmen für das Management ihrer IPS-Sensoren aufwenden, desto größer wird der Mehrwert sein, den sie erhalten.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!