schwerpunkt - Midrange Magazin
schwerpunkt - Midrange Magazin
schwerpunkt - Midrange Magazin
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
48<br />
MARKTüBERSICHT SECuRITy APPLIANCE<br />
werden heute in der Regel nicht mehr<br />
großflächig eingesetzt. Unter Intrusion<br />
Prevention hingegen versteht man das<br />
aktive Blockieren eines Angriffs und<br />
zwar ehe er sein Ziel erreicht. Hierbei<br />
unterscheidet man zwischen aktiven<br />
und passiven Angriffen. Ein aktiver<br />
Angriff besteht häufig aus dem Ausnutzen<br />
einer Schwachstelle, um Zugriff auf<br />
Systeme zu bekommen oder die Verfügbarkeit<br />
des Systems zu kompromittieren.<br />
Passive Angriffe haben in erster<br />
Linie die Aufgabe den Datenverkehr zu<br />
überwachen, um sensitive Informationen<br />
zu erlangen. In beiden Fällen handelt<br />
es sich um eine Intrusion – egal<br />
ob nur die Verfügbarkeit von Systemen<br />
beeinträchtigt wird oder Daten und Informationen<br />
ausgespäht werden.<br />
Intrusion Prevention-Systeme (IPS)<br />
sind meist eine Kombination aus sogenannten<br />
Netzwerksensoren und einem<br />
Managementsystem. Die Sensoren werden<br />
hierbei an neuralgischen Punkten<br />
im Netzwerk integriert. Diese Punkte<br />
sind von Unternehmen zu Unternehmen<br />
unterschiedlich. Viele Organisationen<br />
implementieren ein Intrusion<br />
Prevention-System hinter den VPN-Zugängen<br />
(Virtual Private Network) oder<br />
an Verbindungen zu anderen Standorten.<br />
VPN-Zugänge bilden hierbei häufig<br />
den Einfallspunkt für Angriffe, da die<br />
verbundenen Systeme oftmals ohne<br />
größere Schutzmechanismen mit dem<br />
Internet verbunden sind, aber eine vertrauenswürdige<br />
Kommunikation in das<br />
interne Netzwerk haben. Oft werden<br />
MIDRANGE MAgAZIN · 06/2012<br />
Intrusion Prevention-Systeme auch eingesetzt,<br />
um Verbindungen zu Zulieferern<br />
zu sichern oder Netzwerksegmente<br />
voneinander zu trennen. Viele IPS<br />
bieten im Netzwerk zusätzlich zur reinen<br />
Angriffserkennung auch Firewall-<br />
Funktionalitäten für die Kontrolle der<br />
erlaubten Kommunikation.<br />
Um den größtmöglichen Schutz<br />
zu ermöglichen, müssen IPS „inline“<br />
betrieben werden. Nur in dieser Betriebsart<br />
– bei der die Sensoren aktiv<br />
in einen Netzwerk-Link eingeschleift<br />
Eine Appliance-basierte Intrusion-Prevention-Lösung spielt ihre Vorteile im täglichen Betrieb aus.<br />
Quelle: McAfee<br />
werden – ist ein aktives Blocken von<br />
Angriffen möglich. Die Hersteller von<br />
Intrusion Prevention-Systemen bieten<br />
hierzu in der Regel verschiedene Möglichkeiten<br />
der Implementierung. Beim<br />
sogenannten „Inline Fail Close“-Betrieb<br />
wird die Netzwerkkommunikation unterbrochen,<br />
sollte es zu einem Totalausfall<br />
des Sensors kommen. Im häufiger<br />
genutzten „Inline Fail Open“-Modus<br />
werden in der Regel Bypass Units verwendet,<br />
die den Netzwerklink aufrecht<br />
erhalten, sollte es zu einem Ausfall des<br />
Sensors kommen.<br />
Vorteile einer Appliance-Lösung<br />
für die Intrusion Prevention<br />
Das ideale Netzwerk-IPS ist eine Appliance,<br />
die ohne hohen administrativen<br />
Aufwand Angriffe gegen das eigene<br />
Netzwerk aufzeigt, sie aktiv blockt und<br />
keinen Einfluss auf die Performance<br />
des Netzwerks hat. Zusätzlich sollten<br />
derartige Systeme nicht nur die Sicherheit<br />
im Netzwerk allgemein erhöhen,<br />
sondern auch Attacken aufzeigen beziehungsweise<br />
stoppen, nicht erwünschten<br />
Netzwerkverkehr unterbinden und das<br />
Netzwerk vor Zero Day Exploits schützen.<br />
Ferner müssen die Sensoren eines<br />
IPS in der Lage sein, Denial of Service-<br />
oder Distributed Denial of Service-Angriffe<br />
zu stoppen sowie Bot-Netze und<br />
Würmer zu erkennen. Herkömmliche<br />
IPS setzen hierzu mehrere Verfahren<br />
ein. Eine Mischung aus signaturbasierender<br />
und Anomalie-basierender<br />
Erkennung sorgt für hohe Erkennungsraten.<br />
Regelmäßige Signatur-Updates<br />
sind hierbei genauso wichtig wie bei einem<br />
Virenscanner. Nur so sind die Sensoren<br />
in der Lage, auch neue Angriffe<br />
zuverlässig zu erkennen. Zusätzlich<br />
verfügen viele Produkte über die Möglichkeit,<br />
Access Control Lists zu implementieren,<br />
um Port-basierend die Netzwerkkommunikation<br />
zu unterbinden<br />
oder die IP-Kommunikation zwischen<br />
verschiedenen Netzwerkbereichen einzuschränken.<br />
Klassische IPS konnten in der Vergangenheit<br />
eine gute Absicherung<br />
gewährleisten. Für die Zukunft sind<br />
jedoch intelligentere Mechanismen<br />
nötig. Dazu hat beispielsweise Gartner<br />
Research neue Anforderungen an<br />
IPS gestellt, und diese mit dem Zusatz<br />
„Next Generation“ versehen.<br />
Anforderungen an<br />
Next Generation IPS<br />
Um den Anforderungen an die aktuellen<br />
Bedrohungen gerecht zu werden,<br />
müssen Next Generation IPS um neue<br />
Mechanismen zur Angriffserkennung<br />
und zur Reputation erweitert werden.<br />
Eine dieser Funktionen ist die Application<br />
Awareness. Die Erkennung der<br />
Anwendung erfolgt hierbei auf Anwendungsschicht<br />
und nicht basierend auf<br />
dem Port und dem genutzten Protokoll.<br />
Dadurch können Angriffe auf Anwendungen<br />
zuverlässig erkannt und blockiert<br />
werden. Die Herausforderung an<br />
die Next Generation IPS ist zudem, den<br />
administrativen Aufwand trotz zusätzli-