Trends bei Intrusion Detection / Intrusion Prevention:
Die Sicherheits-Evolution

von Toralv Dirro

Share
07.11.2007

Aktuelle IT-Sicherheitslösungen werden immer intelligenter und selbstständiger. Und ihre Weiterentwicklung schreitet rasant fort.

Netzwerk-basierte Intrusion-Detection-Systeme (IDS) und deren Weiterentwicklung als Intrusion-Prevention-Systeme (IPS) haben in der letzten Zeit eine rasante Entwicklung durchgemacht, die diese Systeme von einer für sich alleine stehenden Lösung zu einer integrierten Komponente des Netzwerkschutzes machen.

Hatte der Schritt vom rein passiven IDS zum aktiven IPS noch Jahre gedauert, so hat es in den letzten Monaten eine Reihe von neuen Entwicklungen gegeben.

Die Grundlage eines IPS ist genauso wie beim IDS eine sichere Erkennung von Angriffen, ohne dabei Fehlalarme auszulösen. Da als Folge eines erkannten Angriffs bei einem IPS Verbindungen geblockt werden beziehungsweise innerhalb einer Verbindung Daten geblockt werden, ist die Vermeidung von Fehlalarmen hier noch wichtiger als bei einem IDS, wo eine fälschliche Erkennung nur zu einem Eintrag in einem Log oder einem Report führt.

Protokoll-Know-how erforderlich

Eine Lösung für dieses Problem ist das Verstehen der verschiedenen Protokolle, um den Datenstrom genauer analysieren zu können. Nach einer Signatur wird dann nicht mehr nur irgendwo im Datenstrom gesucht, sondern innerhalb des jeweiligen Protokolls in genau dem Feld oder Request, in dem diese stehen muss, wenn es sich um einen bestimmten Angriff handelt. Damit ist die Wahrscheinlichkeit eines Fehlalarms erheblich geringer und die Erkennung zuverlässiger.

Außerdem bietet eine solche Analyse des Protokolls auch die Möglichkeit, neue Angriffe anhand von Abweichungen vom Protokoll zu erkennen und zu melden oder sogar blocken zu können.

Heutzutage erkennen und verstehen IPS viele Dutzend verschiedenster Protokolle und bieten außer der Möglichkeit, in diesen Angriffe zu erkennen und zu blocken, auch die Möglichkeit, unerwünschte Protokolle im Netzwerk wie P2P oder Instant-Messaging direkt zu blocken.

Ein weiterer wesentlicher Schritt zu heutigen IPS waren der Einsatz unterschiedlicher Policies für einen Sensor, also Regelwerke, was erkannt und was geblockt werden soll, basierend auf einer VLAN-Nummer oder nach Absender- oder Zieladresse einer Verbindung. Dies macht in vielen Fällen den Einsatz eines IPS im Herz des Netzwerkes überhaupt erst möglich.

Latenzzeiten extrem wichtig

Eine weitere notwendige Entwicklung war die Verbesserung der Performance und des Datendurchsatzes von IDS/IPS. Für ein rein passives System wie ein IDS, welches zum Beispiel am Span-Port eines Switches angehängt ist, ist der Datendurchsatz nur von minderer Bedeutung.

Für ein IPS, durch welches der Datenstrom durchgeleitet wird, sind niedrige Latenzzeiten und ein dem jeweiligen Netzwerk entsprechender Datendurchsatz extrem wichtig.

Mit herkömmlicher PC-Architektur als Hardware-Plattform ist man schnell an Grenzen gestoßen, weshalb die Sensoren heutiger, leistungsfähiger IPS auf speziellen Netzwerkprozessoren und für die Anforderungen entwickelter eigener Hardware basieren. Damit ist es möglich, selbst in Gigabit-Ethernet-Netzwerken, seit neuestem sogar in 10-Gigabit-Ethernet-Segmenten, Sensoren einzusetzen, die über einen entsprechenden Durchsatz verfügen.

Hochverfügbarkeit durch Kopplung von Sensoren

Die verschiedenen Sensoren bieten dazu unterschiedlich viele Ports, um mit nur einem Gerät mehrere Netzwerksegmente absichern zu können. Für die Verfügbarkeit des Netzwerkes unbedingt notwendige Features wie die Wahl zwischen Fail-Open und Fail-Close für den Fall eines Sensorausfalls sowie Hochverfügbarkeit durch Verbindung mehrerer Sensoren miteinander sind bei den meisten Lösungen heute Standard.

Typischerweise kommt heute in Unternehmen ein Mix verschiedener Sensoren, ausgesucht nach den Anforderungen des jeweiligen Einsatzortes, zum Einsatz, die über eine zentrale Konsole administriert werden.

Die Meldungen der einzelnen Sensoren über erkannte und geblockte Angriffe laufen ebenfalls bei der zentralen Konsole zusammen, können aber auch automatisch nach eigenen Kriterien an übergeordnete Sicherheitsmanagement-Systeme weitergeleitet werden. Unterstützung von Syslog, SNMP und E-Mail sind dabei Standard.

Diese Entwicklungen machten Intrusion-Prevention-Systeme zunehmend interessanter für den Einsatz im gesamten Netzwerk, nicht nur vor wenigen, besonders kritischen oder exponierten Systemen, wie es häufig in der Anfangszeit von IPS der Fall war. Mit der zunehmenden Akzeptanz von Intrusion-Prevention-Systemen in Unternehmen folgten schnell einige Weiterentwicklungen dieser Systeme.

Virtuelle Firewalls

Eine dieser Weiterentwicklungen ist die Ergänzung des IPS mit einer einfachen Firewall-Funktionalität. Mittels Access-Control-Lists (ACL) auf den Sensoren wird dabei die Möglichkeit gegeben, das IPS als virtuelle Firewall innerhalb des Netzwerkes zu verwenden, um unerwünschte Verbindungen zu unterbinden.

Ein häufiger Einsatz dieser virtuellen Firewalls ist es, beim Ausbruch eines Wurms oder Bots im Netzwerk die Verbreitung durch eine temporäre Anpassung der Firewall-Regeln auf dem IPS zu unterbinden.

Dies ist dann möglich, ohne dafür auf sämtlichen Routern im Netzwerk bestimmte Ports zu blocken. Dadurch kann schnell auf eine Bedrohung reagiert und erste Gegenmaßnahmen können getroffen werden, ohne tiefgreifende Änderungen an der Infrastruktur vorzunehmen.

Zusätzlich bieten diese ACL einen einfachen Weg, um Datenverkehr von bestimmten IP-Adressen generell von der Verarbeitung durch das IPS auszunehmen, zum Beispiel Systeme, von denen aus Security-Scanner die Systeme im Netzwerk auf Schwachstellen hin untersuchen.

Scannen von SSL-verschlüsseltem Datenverkehr

Der zunehmende Einsatz von Verschlüsselung zum Schutz von Verbindungen, gerade zu Webshops, Datenbanken und anderen kritischen Systemen im Internet oder auch intern, warf die Frage auf, wie trotz Verschlüsselung der Daten nach Angriffen auf diese Server gesucht werden kann.

Eine Lösung, bei der der SSL-Tunnel immer noch auf dem Server selbst und nicht schon am Gateway terminiert wird, bietet dabei die SSL-Decryption auf dem IPS-Sensor. Hierzu wird das Zertifikat des Servers auf den Sensor eingespielt und dieses wird dann dazu verwendet, um eine entschlüsselte Kopie des Datenverkehrs innerhalb des Sensors zu erzeugen.

In diesem wird dann nach Angriffen gesucht. Werden welche gefunden, so werden diese geblockt, ansonsten werden die verschlüsselten originalen Datenpakete weitergesendet. Diese Lösung ermöglicht eine einfache Implementation eines Schutzes von Webservern und anderen Systemen auf die von außen über eine SSL-gesicherte Verbindung zugegriffen werden soll.

Dies ist möglich, ohne in zusätzliche Speziallösungen zur SSL-Terminierung vor dem Server investieren oder Kompromisse bei der Sicherheit eingehen zu müssen.


Rate-Limiting

Rate-Limiting beziehungsweise Traffic-Shaping ist eine weitere Ergänzung der IPS-Funktionalität, auch wenn dieses mit der Grundfunktion eines IDS oder IPS nichts zu tun hat. Erneut wird hier die Platzierung der IPS-Sensoren mitten im Datenstrom genutzt, um ein hilfreiches Feature im Netzwerk auf einfache Weise zu implementieren, ohne hohe zusätzliche Kosten zu verursachen. Beim Rate-Limiting lassen sich unterschiedliche Protokolle in ihrer Bandbreite im Netzwerk limitieren.

So kann garantiert werden, dass bestimmten Protokollen bestimmte Bandbreiten zur Verfügung stehen. Gleichzeitig können im Netzwerk unerwünschte Protokolle geblockt werden. Bei der Implementation dieses Features gibt es zwei unterschiedliche Ansätze.

In der einfacheren Implementation wird nur anhand des verwendeten Ports entschieden, um welches Protokoll es sich handelt. Andere Lösungen identifizieren das tatsächlich verwendete Netzwerk-Protokoll und setzen basierend auf der exakten Identifikation des Protokolls die vorgegebenen Bandbreitenrestriktionen um.

DDoS-Angriffe

Für Intrusion-Prevention-Systeme, die zum Schutz des Internet-Gateways eines Unternehmens oder für den Schutz von Webservern eingesetzt werden, spielt die Erkennung und das Blocken von DDoS-Angriffen eine große Rolle.

Dafür stehen mittlerweile eine Reihe unterschiedlicher Technologien zur Verfügung. Zusätzlich zum Setzen von Höchstgrenzen für verschiedene Arten von Paketen werden heutzutage Methoden wie Syn-Cookies zur Erkennung und Abwehr eingesetzt.

Ein recht effektiver Schutz besteht im dynamischen Lernen von Profilen des normalen Netzwerkverkehrs. Gegen diese Profile wird der aktuelle Datenverkehr abgeglichen, bei gravierenden Abweichungen werden die nicht normalerweise vorkommenden Datenverkehrsanteile geblockt. Mit diesen Maßnahmen lässt sich ein guter Schutz vor DDoS-Angriffen erreichen.

Allerdings wird bei einigen Angriffen ein so hohes Datenvolumen erzeugt, dass nicht nur die Anbindung des Servers, sondern sogar die verfügbare Bandbreite des Providers weit überschritten wird. In so einem Fall kommen natürlich alle technischen Maßnahmen an ihre Grenzen.

HTTP-Response-Scanning

Beim HTTP-Response-Scanning wird nicht nur nach Angriffen in einer Anfrage gesucht, sondern auch in den Daten, die ein Webserver als Antwort zurück sendet. Diese Daten sind dann zum Beispiel Bilder oder andere Dateien, mit denen eine Sicherheitslücke in der Software auf dem Client, der die Anfrage an einen Webserver gestellt hat, ausgenutzt werden soll.

Nötig wurde so eine Erkennung, als vor wenigen Jahren Angriffe auf Systeme über Webserver, sogenannte Drive-by- oder auch Surf-by-Angriffe, populär wurden.

Seit den Tagen, als eine längere Zeit nicht mit einem Patch zu schließende Sicherheitslücke bei der Verarbeitung von JPEG Dateien massiv ausgenutzt wurde, um Systeme mit Trojanern zu infizieren, ist dies heute eine der wichtigsten Wege geworden, auf denen Systeme infiziert werden. Als Konsequenz versuchen auch Intrusion-Prevention-Systeme hier Schutz zu bieten.

Da es sich bei diesen Angriffen aber häufig um präparierte Dateien oder Scripte handelt, ist eine typische Content-Security-Lösung am Gateway mit eingebundenem Virenscanner besser geeignet, solche Angriffe zu erkennen und zu blocken. Ein IPS kommt nur auf einen Bruchteil der Erkennungsrate, die so eine Lösung beim Herunterladen von maliziösem Content bieten kann.

Zusammenspiel mit Vulnerability-Management

Eine der neuesten Entwicklung im Bereich IDS/IPS ist die Integration mit einem Vulnerability-Management-System (VM). Ein IDS oder IPS für sich alleine sieht nur den Angriff im Netzwerk, von wo er kommt und zu welcher IP-Adresse er gesendet wurde.

Über das hinter der IP-Adresse stehende System selbst weiß es nichts. Eine Evaluierung, ob ein Angriff überhaupt eine Gefährdung für das Zielsystem dargestellt hätte, ließ sich bisher nur mit einem übergeordneten Sicherheits-Management-System vornehmen.

Durch die direkte Integration mit einem VM-System lassen sich die aktuellen Kenntnisse über ein System und die vorhanden Sicherheitslücken in das Management des IDS/IPS importieren. Im Rahmen der Integration lässt sich auch die Überprüfung eines Systems durch einen Vulnerability-Scanner initiieren, um einen aktuellen Status über vorhandene Sicherheitslücken zu erhalten.

Danach kann das IPS beim Erkennen eines Angriffs im Report gleich eine Aussage zur Relevanz dieses Angriffs treffen. Gerade in größeren Netzwerken mit entsprechend vielen anfallenden Meldungen ein sehr hilfreiches Feature um die Meldungen priorisieren zu können.


Integration in das Management

Der neueste Entwicklungsschritt ist die Integration des IPS in das Management der Systemsicherheitssoftware und der Network-Access-Control (NAC). Das Ziel ist vergleichbar mit dem Ziel der Integration in ein VM-System, nur lassen sich hier noch viel detailliertere Informationen über die Systeme, ihrer Konfiguration, des Patch-Levels und vieles mehr gewinnen.

Damit lassen sich noch genauere Aussagen über die Relevanz von erkannten Angriffen und auch die Erforderlichkeit von Updates des Systems treffen. Mit der Integration in die NAC wird aus dem IPS ein aktives System um nichtkonforme Computer im Netzwerk zu beschränken oder auch um Computer, von denen Angriffe ausgingen, zum Beispiel bei deren Infektion mit einem Wurm oder Bot, vom Netzwerk zu isolieren, bis auf diesen vorhandene Probleme gelöst sind.


Fazit


Durch die jüngsten Entwicklungen bei Intrusion-Detection- und Intrusion-Prevention-Systemen bieten diese nicht nur einen besseren Schutz als ältere Systeme, sondern integrieren sich in andere Sicherheitslösungen im Unternehmensnetz.

Damit wird aus der Insellösung IDS/IPS zunehmend mehr ein weiterer wichtiger Bestandteil eines kompletten Konzeptes zum Schutz eines Netzwerkes, das auf Daten anderer Komponenten zurückgreifen kann und selbst wichtige Daten liefern kann.

Bei der derzeit rasanten Weiterentwicklung gibt es sicherlich bald weitere interessante Möglichkeiten für den Einsatz als Bestandteil einer unternehmensweiten Security-Risk-Management-Strategie.

Toralv Dirro,
EMEA Security Strategist, McAfee Avert Labs