Kommerzielle Intrusion Prevention Systeme (IPS) gibt es nun seit rund zehn Jahren. Das wohl erste Produkt war BlackICE von NetworkICE. Nach nur zwei Jahren im Markt wurde die Firma im Jahr 2000 von Internet Security Systems (ISS) gekauft, welche nun wiederum von IBM geschluckt wurde. Vermehrt übernehmen heute führende Network-Security-Hersteller wie etwa Check Point, Cisco, Juniper Networks oder Fortinet spezialisierte Intrusion-Prevention-Anbieter oder integrieren selber IPS-Funktionen in ihre bestehenden Security-Geräte.
IPS werden häufig als logische Weiterentwicklung von passiven IDS angesehen, da sie im Gegensatz zu diesen Angriffe nicht nur protokollieren und gegebenenfalls alarmieren, sondern auch verhindern können. Generell gibt es mindestens zwei verschiedene Ansätze bei IPS-Systemen: «Signature-based» und «Rate-based». Häufig haben IPS-Produkte zwei oder sogar noch zusätzliche Ansätze implementiert wie «Protocol Anomaly» oder «Behavioral IPS». Doch meist haben sie einen Fokus auf eine Disziplin und bieten nur sekundär weitere dieser Ansätze.
Signaturen-basierte IPS sind sicher die dominanteste Form im Markt. Sie sollen primär das Ausnützen von bekannten Produkteschwachstellen und das Anwenden von so genannten «Exploits» verhindern. Rate-based IPS schützen vor Denial-of-Service-Attacken. Eingesetzt werden aber IPS-Funktionen nicht nur in dedizierten Netzwerkgeräten, sondern immer häufiger auch als Zusatzfunktionen von Unified-Threat-Management-Firewalls (UTM), Switches oder anderen Netzwerk-Devices. Dedizierte IPS hatten bis jetzt nur bedingt Erfolg. Der Grund: zu teuer und zu aufwendig in der Feineinstellung und im Management. Oft wurde auch der Nutzen nicht richtig verstanden. Doch dies ändert sich immer mehr. Häufig sind heute Firewalls im Einsatz, die auch IPS-Funktionen enthalten.
Dies hat vor allem mit dem Erfolg von UTM-Firewalls zu tun. Was noch vor ein paar Jahren mit halbherzigen IPS-Implementationen in Firewalls seinen Anfang nahm, wird heute zusehends ein Erfolg. Die IPS-Funktionen werden bei manchen UTM-Firewalls langsam aber sicher erwachsen und damit auch brauchbar. IT Manager schrecken weniger davon zurück, IPS-Funktionen zu benutzen, wenn diese nicht zusätzliche Umbauten im Netzwerk bedeuten. Ein klarer Trend in Richtung Konsolidierung ist absehbar.
Ein grosser Nutzen liegt meines Erachtens vor allem im Bereich des Patch Managements. Applikationen müssen heute ständig aktualisiert werden, um nicht gerade jedem halbwegs versierten Angreifer Tür und Tor zu öffnen. Doch der Patch-Management-Prozess bereitet häufig Kopfschmerzen. Kann der neue Patch wirklich eingespielt werden? Birgt dieser nicht das Risiko von neuen Instabilitäten? Sind genügend Zeit und Ressourcen vorhanden, um diesen zuerst zu testen? Bin ich mir überhaupt bewusst, dass ein Patch vorhanden ist? Oder soll der Patch komplett automatisiert installiert werden?
Gerade beim Patch Management kann ein IPS-System sehr hilfreich sein, indem es die Angriffe verhindern kann, bevor das System «gepatched» ist. Vorausgesetzt der Hersteller liefert genügend schnell akkurate Signaturen. Dies betrifft nicht nur Server-Applikationen, sondern auch die Anwendungen auf dem Client. Heute reicht ja schon ein simples Besuchen einer entsprechend präparierten Webseite, um sich mit Schadcode zu infizieren. Ein noch grösserer Nutzen kann erreicht werden, wenn Antiviren-Gateway- und Intrusion-Prevention-Systeme kombiniert werden. Somit wird nicht nur das ausnutzen von bekannten Schwachstellen verhindert, sondern auch die Infizierung über Viren, Würmer & Co. Hier sehe ich vor allem auch in internen Netzwerken Bedarf, denn so lassen sich infizierte Clients isolieren, ohne dass sich deren Schadprogramme weiter ausbreiten können. Es ist nur eine Frage der Zeit, bis sich wieder eine Wurm-Epidemie breit macht.