Montag, 1. März 2010


Topthema

Donnerstag, 30. März 2006 | Topthema

About Security #49: Intrusion Prevention

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/027721)

Intrusion-Prevention-Systeme sind eine Erweiterung der Intrusion-Detection-Systeme. Der Begriff "Intrusion Prevention" wurde erstmals vor 4-5 Jahren verwendet und wird von Hersteller zu Hersteller unterschiedlich interpretiert. Alle gemeinsam verstehen darunter Produkte oder Technologien, die einen erkannten Angriff verhindern sollen. Wird der Begriff für Marketingzwecke verwendet, kann darunter jedes Gerät vertrieben werden, das Angriffe abwehrt, also z.B. auch eine Firewall oder ein Antivirus-Gateway. Tatsächlich sind Intrusion-Prevention-Systeme (IPS) jedoch eine eigene Klasse von Produkten, und zwar eine Weiterentwicklung von Intrusion-Detection-Systemen (IDS): Während ein IDS 'nur' einen Alarm auslöst oder einen Angriff protokolliert, greift ein IPS aktiv ein und versucht, den erkannten Angriff zu stoppen. Dafür stehen prinzipiell zwei Wege zur Verfügung: Entweder das IPS befindet sich im Übertragungsweg ("Inline-IPS") und kann selbst den bösartigen Netzwerkverkehr unterbrechen oder ändern, oder es passt die Regeln von Paketfilter und/oder Application Level Gateway temporär so an, dass der bösartige Netzwerkverkehr darüber ausgefiltert wird.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Wie bei den Intrusion-Detection-Systemen gibt es auch bei den Intrusion-Prevention-Systemen host- und netzwerkbasierte Lösungen. Auch die Erkennung eines Angriffs erfolgt mit den gleichen Methoden: Signatur- und/oder Anomalieerkennung.

Schwachpunkte eines IPS

Ein Schwachpunkt ist die Reaktionsgeschwindigkeit: Da das IPS die überwachten Daten zwangsweise sehr tiefgehend analysieren muss, vergeht bis zur Erkennung eines Angriffs eine gewisse Zeit. Danach müssen passende Gegenmaßnahmen eingeleitet werden. Bis dann z.B. eine temporäre Regel in der Firewall konfiguriert oder die Verbindung durch Senden eines TCP-Resets oder einer ICMP-"Unreachable"-Nachricht an den angreifenden Rechner unterbrochen ist, kann der erkannte Angriff bereits erfolgreich gewesen sein. Nur wenn sich das IPS im Übertragungsweg befindet, hat es die Möglichkeit, bei einem erkannten Angriff das betreffende Paket sofort zu verwerfen statt es weiterzuleiten. Außerdem können danach alle weiteren Pakete der entsprechenden Verbindung ohne weitere Analyse verworfen werden.

Ein IPS kann also nur wirksam arbeiten, wenn es sich im Übertragungsweg befindet und vom gesamten Netzwerkverkehr passiert werden muss. Dabei treffen zwei Strategien für das Verhalten im Fehlerfall aufeinander: Ein IDS arbeitet nach der "Fail-Open-Strategie", d.h. wenn ein Fehler auftritt, wird die Kontrolle des Netzwerkverkehrs ganz oder teilweise eingestellt, der Netzwerkverkehr selbst aber nicht beeinträchtigt. Eine Firewall dagegen arbeitet meist nach der "Fail-Close-Strategie": Im Fehlerfall wird der Netzwerkverkehr unterbrochen. Beim Betrieb eines IPS muss man sich für eine von beiden Strategien entscheiden. Beim "Fail Open" sinkt die Sicherheit, da unter Umständen bösartiger Netzwerkverkehr ungeprüft passieren kann. Beim "Fail Close" besteht die Gefahr, dass das IPS selbst zum Angriffsziel wird, um einen Denial-of-Service auszulösen. Diese Gefahr besteht allerdings auch beim "Fail Open": Täuscht ein Angreifer einen Angriff von einem dritten System vor, wird der Netzwerkverkehr von und zu diesem System blockiert. Handelt sich sich dabei z.B. um den Router des Zugangsproviders, ist danach keine Verbindung in und aus dem Internet mehr möglich. Um derartige Angriffe zu verhindern, muss geprüft werden, ob die bei einem Angriff erkannten Quelladressen eventuell gefälscht sind. Bei einer lückenlosen Überwachung des Netzwerkverkehrs können dazu bei TCP-Verbindungen die ausgetauschten Sequenznummern herangezogen werden. Bei statuslosen Verbindungen über UDP ist dies nicht möglich.

About Security: Die komplette Serie

Ein weiteres Problem sind False-Positives: Während diese beim IDS 'nur' einen falschen Alarm auslösen, wird beim IPS erwünschter Netzwerkverkehr beeinträchtigt. Daher werden IPS meist so konfiguriert, dass sie nur bei absolut sicher erkannten Angriffen reagieren, während bei einem IDS eine gewisse Anzahl von Fehlalarmen toleriert wird.

Unterschied zwischen IPS und Firewall

Auch wenn es so scheint, als würden sich IPS und Firewall ähneln, verfolgen sie doch zwei gegensätzliche Ansätze. Während eine Firewall den erwünschten Netzwerkverkehr passieren lässt und alles andere blockiert, lässt ein IPS allen Netzwerkverkehr passieren und blockiert nur als unerwünscht definierte Daten. Und während eine Firewall nur den Netzwerkverkehr zwischen verschiedenen Teilnetzen kontrolliert, kann ein netzwerkbasiertes IPS auch den Netzwerkverkehr innerhalb des jeweiligen Teilnetzes überwachen und dadurch lokale Angriffe erkennen, die die Firewall nicht passieren. Ein hostbasiertes IPS schließlich kann alle Angriffe auf den jeweiligen Host erkennen, unabhängig vom Ausgangsort.

Nach Intrusion-Detection- und Prevention-Systemen wird in der nächsten Folge eine weitere Methode zur Erkennung von Angriffen vorgestellt: Honeypots.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Intrusion Detection und Prevention Systeme"

Kommentare

Folgende Links könnten Sie auch interessieren