:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Überblick über IDS und IPS Intrusion-Detection und -Prevention-Systeme
Ein Intrusion-Detection- oder Intrusion-Prevention-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netzwerkkomponente wie einen Server oder einen Switch überwacht und versucht, Regelverletzungen und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Findet ein Intrusion Detection und Prevention System (IDPS) verdächtige Aktivitäten, meldet es diese unverzüglich an die zuständigen Mitarbeiter und nimmt sie zudem in ihre Datenbank auf. Üblicherweise arbeiten Intrusion Protection- und Intrusion Detection-Systeme auch mit Security Information and Event Management-Lösungen (SIEM) zusammen, die wir bereits genauer unter die Lupe genommen haben.
Der Unterschied zwischen einem Intrusion Protection- und einem Intrusion Detection-System liegt darin, dass das Intrusion Detection-System (IDS) sich damit zufrieden gibt, verdächtige Vorfälle zu erkennen und zu melden, während das Intrusion Protection-System (IPS) zusätzlich versucht, Gegenmaßnahmen zu ergreifen, um das Netz zu schützen. Das funktioniert beispielsweise bei IPS, die in UTM-Lösungen – auf die wir hier im Detail eingegangen sind – integriert wurden, durch das Ändern von Firewall-Regeln, die dann verdächtigen Netzwerkstationen den Zugriff auf die Unternehmensressourcen untersagen.
:quality(80)/images.vogel.de/vogelonline/bdb/1429700/1429775/original.jpg "Das Dashboard des McAfee Network Security Managers.")
:quality(80)/images.vogel.de/vogelonline/bdb/1429700/1429776/original.jpg "Das TippingPoint Security Management-System von Trend Micro.")
:quality(80)/images.vogel.de/vogelonline/bdb/1429700/1429777/original.jpg "as Cognito-Dashboard von Vectra Networks.")
:quality(80)/images.vogel.de/vogelonline/bdb/1429700/1429774/original.jpg "Geräte der NX-Familie von FireEye.")
Es gibt eine große Zahl unterschiedlicher IDS/IPS-Lösungen, von Host-IDS-Produkten, die einzelne Rechner im Auge behalten bis hin zu hierarchisch aufgebauten Systemen, die große Netze überwachen können. In der Praxis unterscheidet man folglich zwischen "Host Based Intrusion Detection Systems" (HIPS) und "Network Intrusion Detection Systems" (NIPS). HIPS überprüfen typischerweise, ob jemand versucht, wichtige Betriebssystemdateien auf einem Rechner zu kompromittieren, während NIPS den Netzwerkverkehr analysieren. Dieser Beitrag konzentriert sich auf NIPS-Produkte.
IDS/IPS-Produkte arbeiten normalerweise entweder mit Signaturen, die ihnen dabei helfen, "schlechte" Muster, wie etwa Malware, in den Datenübertragungen zu erkennen, oder mit einer Erkennung von Anomalien. Bei dieser "anomaly-basierten Detection", legen die Verantwortlichen zuvor ein Modell für "guten" Verkehr an, wie er im täglichen Betrieb im Netz vorkommt und das IDS stellt dann fest, wenn sich das Muster der Datenübertragungen von diesem Idealmodell entfernt. Oft kommen zusätzlich auch noch Verhaltensanalysen, Threat Intelligence und ähnliches zum Einsatz, um Bedrohungen zu erkennen.
:quality(80)/images.vogel.de/vogelonline/bdb/1402000/1402046/original.jpg "SIEM-Lösungen sorgen dafür, dass Administratoren schnell über ungewöhnliche IT-Ereignisse in ihren Netzen informiert werden und so schneller auf Angriffe reagieren können. (Petrovich12 - stock.adobe.com)")
Security-Alerting und -Reporting im Netzwerk
Grundlagen der SIEM-Systeme
Mehr zu Network Intrusion Detection Systemen (NIPS)
NIPS arbeiten üblicherweise als Appliance und laufen an Stellen im Netz, an denen sie möglichst viele oder auch besonders wichtige Datenübertragungen im Auge behalten können. Erkennen sie einen Angriff – entweder über ihre Signaturen oder über Veränderungen im Muster der übertragenen Informationen – schicken sie eine Alarmmeldung an die zuständigen Mitarbeiter und ergreifen – je nach Angriffsart – Gegenmaßnahmen. Viele Hersteller, beispielsweise Alert Logic, NSFOCUS, Vectra Networks und McAfee, bieten ihre diesbezüglichen Produkte heutzutage auch als virtuelle Appliances an. McAfee hat sogar eine Lösung im Portfolio, die sich speziell an VMware NSX-Installationen wendet. Häufig werden IPS-Funktionalitäten auch in andere Security-Appliances integriert, neben Next Generation-Firewalls sind das üblicherweise die bereits genannten UTM-Produkte.
Es existieren aber durchaus Szenarien, in denen die Nutzung von Stand-Alone IPS-Appliances Sinn ergibt, beispielsweise als zusätzliche Verteidigungslinie nach der Firewall, in Umgebungen, in denen mehrere unterschiedliche Sicherheitsprodukte verschiedener Hersteller parallel zum Einsatz kommen sollen, in Netzen, in denen IT-Sicherheits-Teams unterschiedliche Aufgaben haben oder auch hinter Load-Balancern. In manchen Fällen sind sogar IPS-Installationen in Intranets sinnvoll, die nur den internen Verkehr im Auge behalten und dort nach verdächtigen Datenübertragungen suchen.
In den letzten Jahren sind zu den genannten Einsatzgebieten für NIPS-Lösungen auch noch Cloud-Umgebungen gekommen. In diesem Bereich spielen neben den Lösungen von McAfee auch die Produkte von Alert Logic eine besonders wichtige Rolle, die zudem sehr einfach zu bedienen sein sollen. Das gleiche gilt übrigens für die Lösungen von Trend Micro, die darüber hinaus auch noch einen hohen Durchsatz bieten.
:quality(80)/images.vogel.de/vogelonline/bdb/1366600/1366630/original.jpg "WAFs arbeiten vor den zu schützenden Web-Anwendungen (also zwischen Client und Server) und analysieren den Datenverkehr in beide Richtungen. (mrhighsky - stock.adobe.com)")
Umfassender Schutz für Web-Anwendungen
Grundlagen der Web Application Firewalls
NIPS-Arten
Es gibt zwei unterschiedliche NIPS-Arten. On-Line NIPS überwachen das Netzwerk in Echtzeit und müssen deswegen auch eine entsprechende Leistungsfähigkeit mitbringen. Off-Line NIPS analysieren gespeicherte Daten und stellen fest, ob es während ihrer Übertragung zu Problemen kam.
Während Signatur-basierte NIPS ähnlich wie Antivirus-Lösungen arbeiten und im Wesentlichen nur auf dem aktuellen Stand gehalten werden müssen, läuft die Konfiguration eines NIPS, das Anomalien erkennt, etwas aufwendiger ab. Ursprünglich wurden diese Produkte entwickelt, um noch unbekannte Angriffsmuster zu erkennen, was einer Signatur-basierten Lösung nicht möglich ist. Normalerweise installieren die Administratoren diese NIPS im Netz und lassen sie einige Zeit lang den Netzwerkverkehr beobachten, damit sie beispielsweise über Machine Learning-Funktionen (Machine Learning kommt unter anderem bei den Produkten von Vectra Networks zum Einsatz) erkennen können, welche Datenübertragungen normal sind. Sobald genug Informationen vorliegen, wird das System dann "scharf" geschaltet und erzeugt im Fall ungewöhnlicher Vorkommnisse Alarme beziehungsweise ergreift Gegenmaßnahmen.
Lösungen, die Anomalien erkennen, sind den Signatur-basierten Produkten dahingehend überlegen, dass sie eben auch bislang unbekannte Angriffe abwehren. Sie erkaufen diese Fähigkeit aber mit gewissen Nachteilen. So müssen die IT-Mitarbeiter das Netzmodell, mit dem ihr IPS arbeitet, bei jeder Netzwerkänderung, also beim Installieren neuer Anwendungen, beim Hinzufügen neuer Komponenten und manchmal sogar nach dem Einspielen von Updates auf den aktuellen Stand bringen, damit es zuverlässig funktioniert. Außerdem neigen solche Systeme zu False Positives, da sie in der Regel auch bislang unbekannte legitime Datenübertragungen als Angriff werden. Darüber hinaus besteht zusätzlich die Gefahr, dass die genannten Produkte, wenn sie in einem Netz neu zum Einsatz kommen, das bereits infiziert wurde, schädliche Aktionen als normal betrachten, wenn sie sie während ihrer Lernphase in ihr Standardmodell mit aufgenommen haben und das niemandem auffiel.
:quality(80)/images.vogel.de/vogelonline/bdb/1356600/1356699/original.jpg "Eine der wichtigsten Komponenten eines Secure Web Gateway (SWG) ist der Web-Filter, obwohl dieser heute oft um weitere Sicherheitsfunktionen ergänzt wird. (Peterfactors - stock.adobe.com)")
Sicheres Internet im Unternehmen
Grundlagen der Secure Web Gateways
Verschiedene NIPS in der Praxis
Möchte sich ein Unternehmen für eine IPS-Lösung entscheiden, so muss es im Vorfeld genau klären, welche Ressourcen bereitstehen und welche Anforderungen erfüllt werden müssen. Die Produkte von Cisco beispielsweise sind sehr leistungsfähig und lassen sich sowohl als Analyse- als auch als Untersuchungswerkzeug nutzen. Darüber hinaus stehen weltweit viele zertifizierte Wartungstechniker zur Verfügung, so dass sich die Lösungen bei Ausfällen schnell wieder in Betrieb gehen können. Das alles hat allerdings seinen Preis. Auf der anderen Seite der Skala finden sich die Produkte von Hillstone Networks, die ein gutes Preis/Leistungsverhältnis aufweisen.
Die Produkte von FireEye sind besonders gut beim Erkennen bekannter und unbekannter Exploits. Sie werden bei der Arbeit von einem großen Forschungsteam unterstützt, das sie in die Lage versetzt, schnell auf neue Bedrohungen zu reagieren.
Eine ebenfalls sehr wichtige Funktion ist die Fähigkeit, die gesammelten Daten klar zu visualisieren und eine leistungsfähige Suchfunktion zur Verfügung zu stellen, über die die Administratoren schnell und einfach Informationen aus der Threat Intelligence-Datenbank herausziehen können. Bei diesem Feature machen unter anderem die Lösungen von NSFOCUS eine gute Figur.
Die wichtigsten Marktteilnehmer
Gartner stuft auf dem Markt für IDPS-Netzwerklösungen 2018 die Unternehmen Hillstone Networks und Venustech als „Niche Players“ ein. „Challengers“ sind Alert Logic, FireEye und NSFOCUS, während Vectra Networks der einzige „Visionary“ ist. Als „Leader“ gelten Cisco, McAfee und Trend Micro.
Fazit
Intrusion-Protection-Systeme für Netzwerke stellen den IT-Verantwortlichen eine zusätzliche Schutzschicht für ihre Infrastrukturen zur Verfügung. Sie sorgen dafür, dass Angriffsversuche und unerwünschte Datenübertragungen schnell gemeldet und im Idealfall auch unterbunden werden. Welche Art von NIPS letztendlich zum Einsatz kommt, hängt aber von der Größe und der Architektur des betroffenen Netzes sowie den Anforderungen der IT-Abteilung und des Managements an die Funktionen des Produkts ab.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:45412208)
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/6a/5f6aea5963a796b6dafbd9be8a0991bd/0115165753.jpeg "Das Funktionsprinzip von EDR-Lösungen beruht auf der kontinuierlichen Überwachung des Verhaltens aller Endgeräte im gesamten Unternehmen und gegebenenfalls auch darüber hinaus. (Bild: Blue Planet Studio - stock.adobe.com)")