Überblick über IDS und IPS

Intrusion-Detection und -Prevention-Systeme

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Intrusion Detection- und -Protection-Systeme für Netzwerke stellen IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastruktur zur Verfügung.
Intrusion Detection- und -Protection-Systeme für Netzwerke stellen IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastruktur zur Verfügung. (Bild: Pixabay / CC0)

Ein Intrusion-Detection- oder Intrusion-Pre­ven­tion-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netz­werk­kom­po­nen­te wie einen Server oder einen Switch überwacht und versucht, Regel­ver­let­zung­en und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind.

Findet ein Intrusion Detection und Prevention System (IDPS) verdächtige Aktivitäten, meldet es diese unverzüglich an die zuständigen Mitarbeiter und nimmt sie zudem in ihre Datenbank auf. Üblicherweise arbeiten Intrusion Protection- und Intrusion Detection-Systeme auch mit Security Information and Event Management-Lösungen (SIEM) zusammen, die wir bereits genauer unter die Lupe genommen haben.

Der Unterschied zwischen einem Intrusion Protection- und einem Intrusion Detection-System liegt darin, dass das Intrusion Detection-System (IDS) sich damit zufrieden gibt, verdächtige Vorfälle zu erkennen und zu melden, während das Intrusion Protection-System (IPS) zusätzlich versucht, Gegenmaßnahmen zu ergreifen, um das Netz zu schützen. Das funktioniert beispielsweise bei IPS, die in UTM-Lösungen – auf die wir hier im Detail eingegangen sind – integriert wurden, durch das Ändern von Firewall-Regeln, die dann verdächtigen Netzwerkstationen den Zugriff auf die Unternehmensressourcen untersagen.

Es gibt eine große Zahl unterschiedlicher IDS/IPS-Lösungen, von Host-IDS-Produkten, die einzelne Rechner im Auge behalten bis hin zu hierarchisch aufgebauten Systemen, die große Netze überwachen können. In der Praxis unterscheidet man folglich zwischen "Host Based Intrusion Detection Systems" (HIPS) und "Network Intrusion Detection Systems" (NIPS). HIPS überprüfen typischerweise, ob jemand versucht, wichtige Betriebssystemdateien auf einem Rechner zu kompromittieren, während NIPS den Netzwerkverkehr analysieren. Dieser Beitrag konzentriert sich auf NIPS-Produkte.

IDS/IPS-Produkte arbeiten normalerweise entweder mit Signaturen, die ihnen dabei helfen, "schlechte" Muster, wie etwa Malware, in den Datenübertragungen zu erkennen, oder mit einer Erkennung von Anomalien. Bei dieser "anomaly-basierten Detection", legen die Verantwortlichen zuvor ein Modell für "guten" Verkehr an, wie er im täglichen Betrieb im Netz vorkommt und das IDS stellt dann fest, wenn sich das Muster der Datenübertragungen von diesem Idealmodell entfernt. Oft kommen zusätzlich auch noch Verhaltensanalysen, Threat Intelligence und ähnliches zum Einsatz, um Bedrohungen zu erkennen.

Grundlagen der SIEM-Systeme

Security-Alerting und -Reporting im Netzwerk

Grundlagen der SIEM-Systeme

12.06.18 - Security Information und Event Management-Systeme (SIEM) sind aus heutigen Unternehmensumgebungen nicht wegzudenken. Sie bieten eine Echtzeitanalyse der im Netz auftretenden Sicherheitsalarme, erstellen Berichte und helfen beim Einhalten behördlicher Vorschriften. Dieser Beitrag geht auf die wesentlichen Funktionen und die wichtigsten Anbieter von SIEM-Lösungen ein. lesen

Mehr zu Network Intrusion Detection Systemen (NIPS)

NIPS arbeiten üblicherweise als Appliance und laufen an Stellen im Netz, an denen sie möglichst viele oder auch besonders wichtige Datenübertragungen im Auge behalten können. Erkennen sie einen Angriff – entweder über ihre Signaturen oder über Veränderungen im Muster der übertragenen Informationen – schicken sie eine Alarmmeldung an die zuständigen Mitarbeiter und ergreifen – je nach Angriffsart – Gegenmaßnahmen. Viele Hersteller, beispielsweise Alert Logic, NSFOCUS, Vectra Networks und McAfee, bieten ihre diesbezüglichen Produkte heutzutage auch als virtuelle Appliances an. McAfee hat sogar eine Lösung im Portfolio, die sich speziell an VMware NSX-Installationen wendet. Häufig werden IPS-Funktionalitäten auch in andere Security-Appliances integriert, neben Next Generation-Firewalls sind das üblicherweise die bereits genannten UTM-Produkte.

Es existieren aber durchaus Szenarien, in denen die Nutzung von Stand-Alone IPS-Appliances Sinn ergibt, beispielsweise als zusätzliche Verteidigungslinie nach der Firewall, in Umgebungen, in denen mehrere unterschiedliche Sicherheitsprodukte verschiedener Hersteller parallel zum Einsatz kommen sollen, in Netzen, in denen IT-Sicherheits-Teams unterschiedliche Aufgaben haben oder auch hinter Load-Balancern. In manchen Fällen sind sogar IPS-Installationen in Intranets sinnvoll, die nur den internen Verkehr im Auge behalten und dort nach verdächtigen Datenübertragungen suchen.

In den letzten Jahren sind zu den genannten Einsatzgebieten für NIPS-Lösungen auch noch Cloud-Umgebungen gekommen. In diesem Bereich spielen neben den Lösungen von McAfee auch die Produkte von Alert Logic eine besonders wichtige Rolle, die zudem sehr einfach zu bedienen sein sollen. Das gleiche gilt übrigens für die Lösungen von Trend Micro, die darüber hinaus auch noch einen hohen Durchsatz bieten.

Grundlagen der Web Application Firewalls

Umfassender Schutz für Web-Anwendungen

Grundlagen der Web Application Firewalls

16.03.18 - Eine Web Application Firewall (WAF) überwacht und schützt Webanwendungen, die über das HTTP-Protokoll arbeiten. Eine WAF arbeitet regelbasiert, um Angriffsarten wie zum Beispiel Cross Site Scripting (XSS), Angriffe oder SSL-Injections abzuwehren oder aktuelle Applikationen vor neu entdeckten Sicherheitslücken mittels virtueller Patches zu schützen. lesen

NIPS-Arten

Es gibt zwei unterschiedliche NIPS-Arten. On-Line NIPS überwachen das Netzwerk in Echtzeit und müssen deswegen auch eine entsprechende Leistungsfähigkeit mitbringen. Off-Line NIPS analysieren gespeicherte Daten und stellen fest, ob es während ihrer Übertragung zu Problemen kam.

Während Signatur-basierte NIPS ähnlich wie Antivirus-Lösungen arbeiten und im Wesentlichen nur auf dem aktuellen Stand gehalten werden müssen, läuft die Konfiguration eines NIPS, das Anomalien erkennt, etwas aufwendiger ab. Ursprünglich wurden diese Produkte entwickelt, um noch unbekannte Angriffsmuster zu erkennen, was einer Signatur-basierten Lösung nicht möglich ist. Normalerweise installieren die Administratoren diese NIPS im Netz und lassen sie einige Zeit lang den Netzwerkverkehr beobachten, damit sie beispielsweise über Machine Learning-Funktionen (Machine Learning kommt unter anderem bei den Produkten von Vectra Networks zum Einsatz) erkennen können, welche Datenübertragungen normal sind. Sobald genug Informationen vorliegen, wird das System dann "scharf" geschaltet und erzeugt im Fall ungewöhnlicher Vorkommnisse Alarme beziehungsweise ergreift Gegenmaßnahmen.

Lösungen, die Anomalien erkennen, sind den Signatur-basierten Produkten dahingehend überlegen, dass sie eben auch bislang unbekannte Angriffe abwehren. Sie erkaufen diese Fähigkeit aber mit gewissen Nachteilen. So müssen die IT-Mitarbeiter das Netzmodell, mit dem ihr IPS arbeitet, bei jeder Netzwerkänderung, also beim Installieren neuer Anwendungen, beim Hinzufügen neuer Komponenten und manchmal sogar nach dem Einspielen von Updates auf den aktuellen Stand bringen, damit es zuverlässig funktioniert. Außerdem neigen solche Systeme zu False Positives, da sie in der Regel auch bislang unbekannte legitime Datenübertragungen als Angriff werden. Darüber hinaus besteht zusätzlich die Gefahr, dass die genannten Produkte, wenn sie in einem Netz neu zum Einsatz kommen, das bereits infiziert wurde, schädliche Aktionen als normal betrachten, wenn sie sie während ihrer Lernphase in ihr Standardmodell mit aufgenommen haben und das niemandem auffiel.

Grundlagen der Secure Web Gateways

Sicheres Internet im Unternehmen

Grundlagen der Secure Web Gateways

23.02.18 - Secure Web Gateways sind ein wesentlicher Bestandteil der Sicherheitsinfrastruktur moderner Unternehmensnetze. Sie verwenden Technologien wie Malware-Schutz, Advanced Threat Defence und URL-Filter, um die Anwender vor Gefahren aus dem Internet zu schützen und um die Internet-Policies der Unternehmen durchzusetzen. lesen

Verschiedene NIPS in der Praxis

Möchte sich ein Unternehmen für eine IPS-Lösung entscheiden, so muss es im Vorfeld genau klären, welche Ressourcen bereitstehen und welche Anforderungen erfüllt werden müssen. Die Produkte von Cisco beispielsweise sind sehr leistungsfähig und lassen sich sowohl als Analyse- als auch als Untersuchungswerkzeug nutzen. Darüber hinaus stehen weltweit viele zertifizierte Wartungstechniker zur Verfügung, so dass sich die Lösungen bei Ausfällen schnell wieder in Betrieb gehen können. Das alles hat allerdings seinen Preis. Auf der anderen Seite der Skala finden sich die Produkte von Hillstone Networks, die ein gutes Preis/Leistungsverhältnis aufweisen.

Die Produkte von FireEye sind besonders gut beim Erkennen bekannter und unbekannter Exploits. Sie werden bei der Arbeit von einem großen Forschungsteam unterstützt, das sie in die Lage versetzt, schnell auf neue Bedrohungen zu reagieren.

Eine ebenfalls sehr wichtige Funktion ist die Fähigkeit, die gesammelten Daten klar zu visualisieren und eine leistungsfähige Suchfunktion zur Verfügung zu stellen, über die die Administratoren schnell und einfach Informationen aus der Threat Intelligence-Datenbank herausziehen können. Bei diesem Feature machen unter anderem die Lösungen von NSFOCUS eine gute Figur.

Die wichtigsten Marktteilnehmer

Gartner stuft auf dem Markt für IDPS-Netzwerklösungen 2018 die Unternehmen Hillstone Networks und Venustech als „Niche Players“ ein. „Challengers“ sind Alert Logic, FireEye und NSFOCUS, während Vectra Networks der einzige „Visionary“ ist. Als „Leader“ gelten Cisco, McAfee und Trend Micro.

Fazit

Intrusion-Protection-Systeme für Netzwerke stellen den IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastrukturen zur Verfügung. Sie sorgen dafür, dass Angriffsversuche und unerwünschte Datenübertragungen schnell gemeldet und im Idealfall auch unterbunden werden. Welche Art von NIPS letztendlich zum Einsatz kommt, hängt aber von der Größe und der Architektur des betroffenen Netzes sowie den Anforderungen der IT-Abteilung und des Managements an die Funktionen des Produkts ab.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45412208 / Intrusion-Detection und -Prevention)