Suchen

Überblick über IDS und IPS Intrusion-Detection und -Prevention-Systeme

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Ein Intrusion-Detection- oder Intrusion-Pre­ven­tion-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netz­werk­kom­po­nen­te wie einen Server oder einen Switch überwacht und versucht, Regel­ver­let­zung­en und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind.

Firma zum Thema

Intrusion Detection- und -Protection-Systeme für Netzwerke stellen IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastruktur zur Verfügung.
Intrusion Detection- und -Protection-Systeme für Netzwerke stellen IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastruktur zur Verfügung.
(Bild: Pixabay / CC0 )

Findet ein Intrusion Detection und Prevention System (IDPS) verdächtige Aktivitäten, meldet es diese unverzüglich an die zuständigen Mitarbeiter und nimmt sie zudem in ihre Datenbank auf. Üblicherweise arbeiten Intrusion Protection- und Intrusion Detection-Systeme auch mit Security Information and Event Management-Lösungen (SIEM) zusammen, die wir bereits genauer unter die Lupe genommen haben.

Der Unterschied zwischen einem Intrusion Protection- und einem Intrusion Detection-System liegt darin, dass das Intrusion Detection-System (IDS) sich damit zufrieden gibt, verdächtige Vorfälle zu erkennen und zu melden, während das Intrusion Protection-System (IPS) zusätzlich versucht, Gegenmaßnahmen zu ergreifen, um das Netz zu schützen. Das funktioniert beispielsweise bei IPS, die in UTM-Lösungen – auf die wir hier im Detail eingegangen sind – integriert wurden, durch das Ändern von Firewall-Regeln, die dann verdächtigen Netzwerkstationen den Zugriff auf die Unternehmensressourcen untersagen.

Bildergalerie

Es gibt eine große Zahl unterschiedlicher IDS/IPS-Lösungen, von Host-IDS-Produkten, die einzelne Rechner im Auge behalten bis hin zu hierarchisch aufgebauten Systemen, die große Netze überwachen können. In der Praxis unterscheidet man folglich zwischen "Host Based Intrusion Detection Systems" (HIPS) und "Network Intrusion Detection Systems" (NIPS). HIPS überprüfen typischerweise, ob jemand versucht, wichtige Betriebssystemdateien auf einem Rechner zu kompromittieren, während NIPS den Netzwerkverkehr analysieren. Dieser Beitrag konzentriert sich auf NIPS-Produkte.

IDS/IPS-Produkte arbeiten normalerweise entweder mit Signaturen, die ihnen dabei helfen, "schlechte" Muster, wie etwa Malware, in den Datenübertragungen zu erkennen, oder mit einer Erkennung von Anomalien. Bei dieser "anomaly-basierten Detection", legen die Verantwortlichen zuvor ein Modell für "guten" Verkehr an, wie er im täglichen Betrieb im Netz vorkommt und das IDS stellt dann fest, wenn sich das Muster der Datenübertragungen von diesem Idealmodell entfernt. Oft kommen zusätzlich auch noch Verhaltensanalysen, Threat Intelligence und ähnliches zum Einsatz, um Bedrohungen zu erkennen.

Mehr zu Network Intrusion Detection Systemen (NIPS)

NIPS arbeiten üblicherweise als Appliance und laufen an Stellen im Netz, an denen sie möglichst viele oder auch besonders wichtige Datenübertragungen im Auge behalten können. Erkennen sie einen Angriff – entweder über ihre Signaturen oder über Veränderungen im Muster der übertragenen Informationen – schicken sie eine Alarmmeldung an die zuständigen Mitarbeiter und ergreifen – je nach Angriffsart – Gegenmaßnahmen. Viele Hersteller, beispielsweise Alert Logic, NSFOCUS, Vectra Networks und McAfee, bieten ihre diesbezüglichen Produkte heutzutage auch als virtuelle Appliances an. McAfee hat sogar eine Lösung im Portfolio, die sich speziell an VMware NSX-Installationen wendet. Häufig werden IPS-Funktionalitäten auch in andere Security-Appliances integriert, neben Next Generation-Firewalls sind das üblicherweise die bereits genannten UTM-Produkte.

Es existieren aber durchaus Szenarien, in denen die Nutzung von Stand-Alone IPS-Appliances Sinn ergibt, beispielsweise als zusätzliche Verteidigungslinie nach der Firewall, in Umgebungen, in denen mehrere unterschiedliche Sicherheitsprodukte verschiedener Hersteller parallel zum Einsatz kommen sollen, in Netzen, in denen IT-Sicherheits-Teams unterschiedliche Aufgaben haben oder auch hinter Load-Balancern. In manchen Fällen sind sogar IPS-Installationen in Intranets sinnvoll, die nur den internen Verkehr im Auge behalten und dort nach verdächtigen Datenübertragungen suchen.

In den letzten Jahren sind zu den genannten Einsatzgebieten für NIPS-Lösungen auch noch Cloud-Umgebungen gekommen. In diesem Bereich spielen neben den Lösungen von McAfee auch die Produkte von Alert Logic eine besonders wichtige Rolle, die zudem sehr einfach zu bedienen sein sollen. Das gleiche gilt übrigens für die Lösungen von Trend Micro, die darüber hinaus auch noch einen hohen Durchsatz bieten.

NIPS-Arten

Es gibt zwei unterschiedliche NIPS-Arten. On-Line NIPS überwachen das Netzwerk in Echtzeit und müssen deswegen auch eine entsprechende Leistungsfähigkeit mitbringen. Off-Line NIPS analysieren gespeicherte Daten und stellen fest, ob es während ihrer Übertragung zu Problemen kam.

Während Signatur-basierte NIPS ähnlich wie Antivirus-Lösungen arbeiten und im Wesentlichen nur auf dem aktuellen Stand gehalten werden müssen, läuft die Konfiguration eines NIPS, das Anomalien erkennt, etwas aufwendiger ab. Ursprünglich wurden diese Produkte entwickelt, um noch unbekannte Angriffsmuster zu erkennen, was einer Signatur-basierten Lösung nicht möglich ist. Normalerweise installieren die Administratoren diese NIPS im Netz und lassen sie einige Zeit lang den Netzwerkverkehr beobachten, damit sie beispielsweise über Machine Learning-Funktionen (Machine Learning kommt unter anderem bei den Produkten von Vectra Networks zum Einsatz) erkennen können, welche Datenübertragungen normal sind. Sobald genug Informationen vorliegen, wird das System dann "scharf" geschaltet und erzeugt im Fall ungewöhnlicher Vorkommnisse Alarme beziehungsweise ergreift Gegenmaßnahmen.

Lösungen, die Anomalien erkennen, sind den Signatur-basierten Produkten dahingehend überlegen, dass sie eben auch bislang unbekannte Angriffe abwehren. Sie erkaufen diese Fähigkeit aber mit gewissen Nachteilen. So müssen die IT-Mitarbeiter das Netzmodell, mit dem ihr IPS arbeitet, bei jeder Netzwerkänderung, also beim Installieren neuer Anwendungen, beim Hinzufügen neuer Komponenten und manchmal sogar nach dem Einspielen von Updates auf den aktuellen Stand bringen, damit es zuverlässig funktioniert. Außerdem neigen solche Systeme zu False Positives, da sie in der Regel auch bislang unbekannte legitime Datenübertragungen als Angriff werden. Darüber hinaus besteht zusätzlich die Gefahr, dass die genannten Produkte, wenn sie in einem Netz neu zum Einsatz kommen, das bereits infiziert wurde, schädliche Aktionen als normal betrachten, wenn sie sie während ihrer Lernphase in ihr Standardmodell mit aufgenommen haben und das niemandem auffiel.

Verschiedene NIPS in der Praxis

Möchte sich ein Unternehmen für eine IPS-Lösung entscheiden, so muss es im Vorfeld genau klären, welche Ressourcen bereitstehen und welche Anforderungen erfüllt werden müssen. Die Produkte von Cisco beispielsweise sind sehr leistungsfähig und lassen sich sowohl als Analyse- als auch als Untersuchungswerkzeug nutzen. Darüber hinaus stehen weltweit viele zertifizierte Wartungstechniker zur Verfügung, so dass sich die Lösungen bei Ausfällen schnell wieder in Betrieb gehen können. Das alles hat allerdings seinen Preis. Auf der anderen Seite der Skala finden sich die Produkte von Hillstone Networks, die ein gutes Preis/Leistungsverhältnis aufweisen.

Die Produkte von FireEye sind besonders gut beim Erkennen bekannter und unbekannter Exploits. Sie werden bei der Arbeit von einem großen Forschungsteam unterstützt, das sie in die Lage versetzt, schnell auf neue Bedrohungen zu reagieren.

Eine ebenfalls sehr wichtige Funktion ist die Fähigkeit, die gesammelten Daten klar zu visualisieren und eine leistungsfähige Suchfunktion zur Verfügung zu stellen, über die die Administratoren schnell und einfach Informationen aus der Threat Intelligence-Datenbank herausziehen können. Bei diesem Feature machen unter anderem die Lösungen von NSFOCUS eine gute Figur.

Die wichtigsten Marktteilnehmer

Gartner stuft auf dem Markt für IDPS-Netzwerklösungen 2018 die Unternehmen Hillstone Networks und Venustech als „Niche Players“ ein. „Challengers“ sind Alert Logic, FireEye und NSFOCUS, während Vectra Networks der einzige „Visionary“ ist. Als „Leader“ gelten Cisco, McAfee und Trend Micro.

Fazit

Intrusion-Protection-Systeme für Netzwerke stellen den IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastrukturen zur Verfügung. Sie sorgen dafür, dass Angriffsversuche und unerwünschte Datenübertragungen schnell gemeldet und im Idealfall auch unterbunden werden. Welche Art von NIPS letztendlich zum Einsatz kommt, hängt aber von der Größe und der Architektur des betroffenen Netzes sowie den Anforderungen der IT-Abteilung und des Managements an die Funktionen des Produkts ab.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

(ID:45412208)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT