Die minimalen Anforderungen an die Internet-Sicherheit können heute bekanntlich durch Firewalls abgedeckt werden. Diese haben den Zweck, Angriffe zu verhindern, indem Verbindungen auf diejenigen IP-Adressen und Ports beschränkt werden, die unbedingt offengehalten werden müssen.
Firewalls bieten demnach eine gewisse Kontrolle über die Zugangs-Ports, sind aber letztlich nicht ausreichend, da sie keinen Schutz bei den immer komplexer werdenden Angriffen durch Hybrid-Attacken, Denial-of-Service-Angriffen (DoS) oder Protokollabweichungen bieten. Das immer höher werdende Gefahrenpotential, das von professionellen Hackern oder weniger professionellen Skript-Kiddies und Viren im allgemeinen ausgeht, überfordert die heutigen Firewalls.
Wie schnell Attacken zum Beispiel auf einen Webserver durchgeführt werden können, zeigte der Kongress des Chaos Computer Clubs im Dezember 2004, auf dem in kürzester Zeit rund 18’000 Websites gehackt wurden.
IT-Sicherheit in Zukunft
Den immer komplexeren Gefahren kann nur mit intelligenteren Systemen als Firewalls begegnet werden. Deshalb wurde unlängst damit begonnen, Verfahren zu entwickeln, die auch bei einem offenen Port auf ein bestimmtes Angriffsmuster reagieren können. Intrusion Detection Systeme (IDS) bzw. Intrusion Prevention Systeme (IPS) sind in der Lage, auch bisher unbekannte Angriffe auf einen offenen Port zu erkennen.
Der grundsätzliche Unterschied zwischen IDS und IPS besteht darin, dass ein IPS Angriffe erkennen und blockieren kann, während ein IDS diese bewusst nur erkennt und entsprechende Alarme auslöst. IDS sind daher als Informationssysteme gedacht, die zwar Alarm schlagen, den Datenverkehr aber nicht blockieren. Dies aus der Überlegung heraus, dass es sich zwar um einen aussergewöhnlichen, aber vielleicht auch gewollten Datenverkehr handeln könnte. IDS werden eher in komplexeren Netzwerken eingesetzt.
IPS auch für KMU
Auch für den Einsatz in kleinen Netzwerken sind Intrusion Prevention Systeme gedacht. Und seit IPS auch direkt auf Firewalls verfügbar geworden sind, ist Intrusion Prevention nun auch für kleine und mittlere Unternehmen zugänglich. Damit setzen sich immer mehr sogenannte All-in-one-Security-Appliances mit Firewall, IPS, Gateway-Antivirus, VPN, Content Filter Service durch. Nicht zuletzt deshalb befinden sich IPS dadurch auf dem Weg, zum integralen Bestandteil der Sicherheits-Infrastruktur zu werden.
Nicht immer ist jedoch der Einsatz eines IPS direkt auf der Firewall sinnvoll. Je nach Datenmenge stösst die Performance einer All-in-one-Security-Appliance schnell an ihre Grenzen. Im Enterprise-Bereich wird ein IPS deshalb vorwiegend auf einer dedizierten Hardware-Plattform (Appliance oder Server-Hardware) implementiert, da damit meist ein höherer Datendurchsatz möglich ist. Zudem können mit dedizierten IPS verteilte Installationen vorgenommen werden, die individuell an die Unternehmensstruktur angepasst werden können.
IPS auch als Virenstopper
Es gibt zwei Arten von Intrusion Prevention Systemen: Network Intrusion Prevent Systems (NIPS) und Host Intrusion Prevention Systems (HIPS). Im Vergleich zum NIPS werden durch ein HIPS ausschliesslich das Host-System (Server, Workstation) bzw. dessen geschäftskritische Applikationen geschützt. Ein NIPS ist nicht in der Lage, den spezifischen Datenverkehr zu einem bestimmten Host bzw. zu einer Applikation im Detail zu analysieren. Ein Host-IPS hingegen hat ausschliesslich die Aufgabe, den Datenverkehr von und zu diesem Host zu überwachen.
So hätte mit einem Host-IPS beispielsweise der W32.Blaster-Wurm gestoppt werden können, und zwar unabhängig von der Antiviren-Software. Die höchstmögliche Sicherheit in einem Netzwerk erreicht man mit dem kombinierten Einsatz von NIPS und HIPS
Bedeutung für den Channel
Durch das laufend komplexer werdende Gefahrenpotential wird erkennbar, dass Intrusion-Prevention-Systeme immer mehr zum zentralen Kern eines IT-Sicherheitskonzeptes gehören. Reseller, die sich dieses Potentials bewusst werden, haben die Möglichkeit, sich bei den Kunden durch Know-how zu profilieren. Da es sich bei Intrusion Prevention um eine komplexe Materie handelt, wird der Dienstleistungsanteil für den Reseller im Bereich Konzeption, Customizing und vor allem Managed Security signifikant wachsen. Viele KMU werden nämlich nicht in der Lage sein, solch komplexe Systeme selber zu administrieren.
Ein Reseller sollte sich bei der Auswahl eines Intrusion Prevention Systems die eigenen Kunden vor Augen führen. Ist man bei kleineren Unternehmen mit relativ einfach strukturierten Netzwerken tätig, so drängt sich eher eine günstige All-in-one-Security-Appliance-Lösung mit integriertem NIPS auf. Liegt der Kundenkreis eher im Mittelstand oder gar im Enterprise Bereich – und müssen zudem geschäftskritische Applikationen geschützt werden –, so kommen in der Regel nur Intrusion Prevention Systeme (NIPS und HIPS) aus dem oberen Segment in Frage. Diese Lösungen lassen sich viel spezifischer auf die Unternehmensbedürfnisse konfigurieren, haben ein professionelleres Management und bieten vor allem detaillierte Reporting-Möglichkeiten, welche das «Fine Tuning» unterstützen.
Der Autor
David Martinez ist CEO der
Infinigate Gruppe, einem international tätigen Value Added Distributor, der sich auf das Geschäft mit IT-Security-Produkten und Web-Applikationen spezialisiert hat.
