Intrusion Prevention: Erkennen und vorbeugen

Intrusion Prevention heisst das jüngste Schlagwort im Sicherheitsbereich. Die Technologie basiert auf der bekannten Intrusion Detection und wird manchenorts fälschlicherweise auch damit gleichgesetzt. Falsch ist dies insbesondere, weil Intrusion Prevention auf Intrusion Detection aufsetzt und eine weitergehende Funktionalität besitzt, gleichzeitig aber Intrusion Detection weder ersetzen kann noch will. Um den bestmöglichen Schutz für IT-Systeme zu erreichen, muss man deshalb verstehen, wie sich die beiden Technologien unterscheiden und wo sie sich ergänzen.

Passive Überwachung

Ein Intrusion-Detection-System (IDS) tut grundsätzlich nichts anderes, als den Datenverkehr im Netzwerk zu überwachen. Dazu wird versucht, im Datenverkehr Muster zu erkennen, die wiederum mit bekannten Attacken verglichen werden - ähnlich einem Virenscanner, der Daten mit Virensignaturen vergleicht. Wird ein Muster erkannt, löst das IDS einen Alarm aus. Damit das IDS seine Arbeit akkurat erledigen kann, ist es wichtig, dass die Vergleichsmuster aktuell sind; die Signaturen müssen auch hier regelmässig erneuert werden.

Intrusion-Detection-Systeme gibt es in zwei Varianten. Einerseits als Softwarelösung, die auf einem Server installiert wird, oder als sogenannte "Sensoren" - Hardwareboxen, die direkt ins Netzwerk gehängt werden. Primär kommen IDS an strategischen Schnittstellen im Netz zum Einsatz, etwa zwischen dem geschützten internen Netz und dem Internet oder als zusätzliche Sicherheitsstufe vor wirklich wichtigen Servern.

Die beschriebene Funktionsmethode von IDS hat in modernen Netzen allerdings einige Nachteile. So werden heute einerseits immer mehr Daten verschlüsselt übertragen; da ein IDS aber keine verschlüsselten Informationen analysieren kann, wird es in diesem Fall nutzlos. Andererseits können einzelne IDS in grossen, geswitchten Netzen heute nur noch einen Bruchteil des Datenverkehrs überwachen; für eine mehr oder weniger lückenlose Überwachung müssen zahlreiche Geräte eingesetzt werden, was wiederum die Kosten und den Aufwand unverhältnismässig in die Höhe treibt. Schliesslich sind Intrusion-Detection-Systeme alles andere als unfehlbar - Fehlalarme sind bei gewissen Installationen schon fast an der Tagesordnung und führen zu zusätzlichem Arbeitsaufwand.

Aktiver Schutz

Intrusion-Prevention-Systeme (IPS) arbeiten anders. Typischerweise werden sie direkt auf dem System installiert, das sie schützen sollen, und analysieren darauf die Aktionen, die vom Anwender (lokal oder übers Netz) verlangt werden.

Anfragen werden so bereits interpretiert, bevor der entsprechende Code ausgeführt wird. Je nach System wird dabei auf ein Regelset zugegriffen, das definiert, welche Aktionen von welchem Anwender durchgeführt werden dürfen und welche nicht. Ist eine Anfrage autorisiert, wird die Aktion ausgeführt, ansonsten wird die Verbindung abgebrochen. In einer Variante davon wird die Checksumme der anfragenden Anwendung berechnet und mit einer Liste von zugelassenen Werten verglichen.

Die systemimmanenten Probleme von Intrusion-Detection-Systemen werden so elegant umgangen: Eine allfällige Verschlüsselung spielt genausowenig eine Rolle wie die Grösse des Netzwerks, und Fehlalarme kann es kaum geben, weil das Intrusion-Prevention-System missliebige Anfragen einfach abweist.

Haben Intrusion-Detection-Systeme damit ausgedient? Natürlich nicht, im Gegenteil: Während IPS möglicherweise einen besseren Schutz für bestimmte Umgebungen oder Server bilden, sind IDS besser dazu geeignet, um Attacken zu erkennen und zurückzuverfolgen. Allerdings ist dazu ein hoher Aufwand nötig: Damit die Angriffsmuster erkannt und von Fehlalarmen unterschieden werden können, müssen die Logfiles von IDS permanent überwacht und die Systeme selber trainiert werden.

Tatsächlich werden mit IDS und IPS unterschiedliche Ziele verfolgt: Während IDS primär der Überwachung und Erkennung von Attacken dient, bietet IPS tatsächlich einen Schutz, indem es Attacken verhindert.

Vor diesem Hintergrund lässt es sich nun entscheiden, welches System für das eigene Netzwerk sinnvoll ist: Benötigt man einen hohen Schutz für seine Daten und will man Attacken zurückverfolgen können, steht eine Kombination beider Systeme im Vordergrund, fehlen dagegen die Ressourcen für die Betreuung eines IDS, macht dessen Einsatz wenig Sinn.

Nicht zuletzt sollte man folgendes im Auge behalten: Der Einsatz sowohl eines IDS als auch eines IPS muss auf den allgemeinen Sicherheitslevel der Firma und die üblichen Geschäftsrisiken abgestimmt sein. Es macht auch in diesem Bereich wenig Sinn, mit Kanonen auf Spatzen zu schiessen und Türen zu schliessen, während gleich um die Ecke ganze Tore weit offen stehen.

Grafik: Die Unterschiede zwischen IDS und IPS