Benötigen Sie ein IDS, IPS oder beides?

IDS und IPS unterscheiden

Ein IPS ist nicht das Gleiche wie ein IDS. Allerdings ist die Technologie, die Sie für die Erkennung von Sicherheitsproblemen in einem IDS verwenden, jener sehr ähnlich, die man für die Vermeidung von Security-Problemen in einem IPS einsetzt.

Es ist sehr wichtig zu verstehen, dass IDS und IPS ganz verschiedene Tools sind. Auch wenn sie eine gemeinsame Basis teilen, kommen Sie in einem Netzwerk an verschiedenen Stellen zum Einsatz. Sie haben außerdem unterschiedliche Funktionen und lösen andere Probleme.

Was ist ein IPS?

Ein IPS lässt sich am besten mit einer Firewall vergleichen. In einer typischen Enterprise Firewall finden Sie eine Anzahl an Regeln. Das können Hunderte oder auch Tausende sein. Die meisten dieser Regeln sind sogenannte Durchlassen-Regeln (pass). Sie erlauben es bestimmtem Traffic zu passieren. 

Kommt ein Paket bei einer Firewall an, geht das System die Regeln durch und sucht nach einer, die lass dieses Paket passieren besagt. Kommt die Firewall am Ende der Liste an und kann für dieses Paket kein lass es passieren finden, gibt es eine finale Verweigern-Regel (deny). Diese steht für alles Weitere verweigern. Gibt es in der Firewall also keine explizite Regel, die ein Durchlassen erlaubt, wird das Paket verworfen.

Eine IPS funktioniert genau so, allerdings anders herum. Es gibt wiederum Regeln, möglicherweise hunderte, vielleicht auch tausende. Die meisten dieser Regeln haben den Auftrag verweigern oder blockiere dieses bekannte Security-Problem. 

Kommt ein Paket beim IPS an, geht die Security-Komponente seine Regelliste von oben nach unten durch und sucht nach Gründen, das Paket verwerfen zu können. Am Ende der Liste befindet sich eine automatische Passieren-Regel. Diese besagt lass das Paket passieren. Gibt es also keinen triftigen Grund, den jeweiligen Traffic zu verwerfen, wird er durchgelassen.

Firewalls und IPS sind Kontrollgeräte. Sie befinden sich zwischen zwei Netzwerken und kontrollieren den Traffic, der durch sie fließt. Das bedeutet, dass sich ein IPS auf der Policy-Seite Ihrer Security-Maßnahmen befindet. Es implementiert oder erzwingt eine bestimmte Richtlinie dazu, welcher Traffic erlaubt ist und welcher nicht.

Die offensichtliche Verwandtschaft von Firewall und IPS aus topologischer Sicht hat uns in das UTM-Zeitalter geführt. Dort ist ein IPS in eine Firewall integriert. Durch UTM (Unified Threat Management) können Sie beide Security-Services auf einem einzigen Gerät betreiben. So lassen sich Sicherheitsbedrohungen blockieren und als gut befundener Traffic durchlassen. Wir behandeln diese Verdichtung von Firewall und IPS – also UTM – zu einem späteren Zeitpunkt.

Der Hauptgrund für eine IPS ist, bekannte Angriffe in einem Netzwerk blockieren zu können. Gibt es ein Zeitfenster zwischen dem Bekanntwerden eines Exploits und der Bereitstellung eines Patches für ein System, dann ist ein IPS eine ideale Möglichkeit, die nun bekannte Bedrohung schnell zu blockieren. Das gilt vor allen Dingen für solche, die ein übliches oder gut bekanntes Exploit-Tool nutzen.

Natürlich können IPS auch noch andere Services zur Verfügung stellen. Die Produkthersteller versuchen logischerweise, sich voneinander zu differenzieren. Somit sind in IPS auch Ratenbegrenzungs-Tools für die Eindämmung von DoS (Denial of Service), Tools zur Durchsetzung von Richtlinien, Software zum Schutz vor Datenlecks und Programme zum Erkennen von Anomalien enthalten. So oder so ist der hauptsächlich Zweck einer IPS eine Kontrollfunktion.

Was ist ein IDS?

Wenn man ein IPS als Kontroll-Tool bezeichnet, dann ist IDS ein Sichtbarkeits-Tool. Intrusion-Detection-Systeme sitzen am Rande des Netzwerks. Sie überwachen dort Traffic an verschiedenen Punkten und stellen Sichtbarkeit hinsichtlich des Sicherheitszustands des Netzwerks zur Verfügung. 

Eine gute Analogie, um ein IDS zu vergleichen, ist ein Analyseprogramm für Protokolle. Dabei handelt es sich um ein Tool, das Netzwerktechniker einsetzen. Sie blicken damit tief in ein Netzwerk und sehen nach, was gerade passiert. Manchmal sind das tatsächlich alle Einzelheiten. Ein IDS ist für einen Security-Profi ein Protokoll-Analyseprogramm. Das IDS blickt tief in das Netzwerk und betrachtet aus Security-Sicht, was gerade passiert.

In den Händen eines IT-Sicherheitsanalysten wird das IDS zu einem Fenster in das Netzwerk. Die durch das IDS bereitgestellten Informationen helfen den Teams für Security- und Netzwerk-Management, unter anderem Folgendes aufzudecken:

Verletzungen der IT-Sicherheitsrichtlinien: Das ist zum Beispiel der Fall, wenn Mitarbeiter unerlaubte Anwendungen laufen lassen.

• Infizierungen durch Malware, beispielsweise Trojaner: Die Malware hat teilweise oder volle Kontrolle über interne Systeme und missbraucht diese wiederum, um andere Systeme anzugreifen oder zu infizieren.
• Informationslecks: Beispiele hierfür sind Spyware oder Keylogger, sowie Informationen, die aus Versehen von Anwendern exponiert werden.
• Konfigurationsfehler bei Anwendungen oder Systemen: Möglicherweise sind die Security-Einstellungen nicht korrekt oder die Performance leidet durch eine falsche Netzwerkkonfiguration. Auch schlecht konfigurierte Firewalls sind möglich, bei denen die Regeln nicht den vorgegebenen Richtlinien entsprechen.
• Nicht autorisierte Clients und Server: Dazu gehören auch Server-Applikationen, die das Netzwerk stören können. Mitunter sind das DHCP- oder DNS-Services. Auch nicht autorisierte Anwendungen wie Netzwerk-Scanning-Tools und nicht gesicherte Remote Desktops fallen in diesen Bereich.

Die erhöhte Sichtbarkeit des Security-Zustands in einem Netzwerk macht ein IDS aus. Durch die Sichtbarkeitsfunktion in einem IDS unterscheidet sich das System von der Kontrollfunktion in einem IPS.

Ihnen wird aufgefallen sein, dass sowohl IDS als auch IPS das Wort Intrusion beinhalten. Somit fragen Sie sich vielleicht, warum wir bisher Intrusion nicht als Teil der Funktion in einem IDS oder IPS erwähnt haben. 

Zum Teil liegt es daran, dass das Wort Intrusion sehr schwammig ist. Es ist schwierig zu definieren, was exakt mit Intrusion gemeint ist. Selbstverständlich ist jemand ein Eindringling (Intruder), der den Einbruch in ein Netzwerk versucht. Handelt es sich bei einem mit Viren infizierten PC auch um Intrusion? 

Ist jemand ein Eindringling, der das Netzwerk erkundet, oder stellt diese Person lediglich Untersuchungen an? Befindet sich ein böswilliger Mensch, zum Beispiel ein betrügerischer Angestellter, legitim in einem Netzwerk, sind die rechtmäßigen und rechtswidrigen Aktionen dann als Intrusion oder als etwas anderes zu bezeichnen?

Es gibt noch einen weiteren plausiblen Grund, das Wort Intrusion aus der Beschreibung für IDS und IPS außen vor zu lassen. Die beiden sind nicht wirklich gut darin, Eindringlinge zu schnappen. Ein IPS wird bekannte Angriffe sehr gut blockieren. Die meisten dieser Angriffe sind aber Netzwerkerkundungen oder automatisierte Scans, die sich nach infizierbaren Systemen umsehen. 

Das ist im klassischen Sinne nicht mit Intrusion oder Eindringling zu beschreiben. In diesem Fall ist das beste Intrusion Prevention System die Firewall, weil sie unangemessenen Traffic von vornherein nicht in das Netzwerk lässt.

Das Wort Intrusion wird für diese Sichtbarkeits- und Kontrolltechnologien eigentlich missbraucht. Genau aus diesem Grund gibt es so viel Verwirrung und nicht erfüllte Erwartungen in diesem Bereich, nachdem die Mitarbeiter im Unternehmen ein IDS oder IPS eingerichtet haben.

Natürlich wird ein IDS ein echtes Eindringen erkennen, und ein IPS wird reale Eindringlinge blockieren. Allerdings tun diese Produkte noch wesentlich mehr als das: Sie bieten mehr Kontrolle und verbesserte Sichtbarkeit. Genau darin liegt der echte Mehrwert.

Welches soll ich nun kaufen?

Wenn es sich bei allen Produkten entweder um ein IDS oder um ein IPS handeln würde, ließe sich die Frage „Welches soll ich denn nun kaufen?“ sehr einfach beantworten. Wollen Sie mehr Sichtbarkeit, dann kaufen Sie ein IDS. Möchten Sie mehr Kontrolle, entscheiden Sie sich für ein IPS. Die IDS- und IPS-Anbieter machen es uns allerdings nicht sehr leicht: Es gibt mittlerweile auch hybride Produkte, die IDS-Sichtbarkeit mit IPS-Kontrolle vereinen.

Für die meisten Unternehmen, die weder ein IPS noch ein IDS im Einsatz haben, lautet die korrekte Antwort: „Kaufen Sie ein IPS“. Ein Sichtbarkeits-Tool bringt nur dann etwas, wenn Sie die Zeit haben, die Ergebnisse unter die Lupe zu nehmen. Die Budgets sind allerdings knapp, und die Mitarbeiter haben sowieso mehr als genug zu tun. 

Wollen Sie wirklich einen Mehrwert von IDS erhalten, dann brauchen Sie einen erfahrenen Profi für IT-Sicherheit, und die sind bekanntlich rar. Kaufen Sie also ein Produkt, mit dem sich niemand im Detail beschäftigt, ist das nicht sehr sinnvoll. Nutzen Sie die Sichtbarkeitsaspekte eines IDS nicht regelmäßig und diszipliniert, dann haben Sie von der Aktion maximal eine erhöhte Stromrechnung.

Das bedeutet nun aber nicht, dass man ein IPS einrichten und dann vergessen kann. Wollen Sie einen Mehrwert aus einem IPS erzielen, müssen Sie es auf Ihr Netzwerk, die eingesetzten Applikationen und die verschiedene Systeme feineinstellen. Tun Sie das nicht, gibt es entweder sehr viele sogenannte False Positives, die den legitimen Traffic stören könnten, oder Sie übersehen jede Menge Angriffe. Somit hätte das IPS auf der einen Seite wenig Mehrwert zu bieten; auf der anderen Seite schützt ein IPS ohne jegliche False Positives Ihr Netzwerk nicht sehr gut.

Ein IPS bringt allerdings auch etwas, wenn Sie nicht übermäßig viel Zeit in Management, Feinabstimmung und Analysen der Erkenntnisse über das Netzwerk investieren können oder müssen. Der Grund ist ganz einfach die Anwesenheit des IPS als zusätzliche Schutzschicht. 

Außerdem hilft das System, vor häufigen Fehlern zu schützen. Da die meisten Security-Probleme eher auf menschliches Versagen und weniger auf gezielte Angriffe zurückzuführen sind, ist ein IPS eine hervorragende Möglichkeit, der Netzwerk-Security eine Defense-in-Depth-Strategie (gestaffelte Verteidigung) zu spendieren.

Die meisten IPS-Anbieter verkaufen Produkte, die IPS- und IDS-Funktionen an Bord haben. Das liegt daran, dass die meisten eine IDS-Vergangenheit vorweisen können. Sie sind sowieso schon im Besitz von leistungsfähigen Malware- und Angriffserkennungs-Engines. Man benötigt diese, um Angriffe identifizieren und blockieren zu können. Sie haben allerdings auch zusätzliche Richtlinien und Tools geschaffen, um die Sichtbarkeit im Netzwerk zu erhöhen.

Liebäugeln Sie mit IPS, IDS oder einer Kombination, dann lassen Sie dabei nie Ihre primären Anforderungen außer Acht. Wollen Sie zusätzliche Kontrollmechanismen implementieren, dann ist der wichtigste Teil in diesem Puzzle die Erkennungs-Engine des IPS. 

Die Systeme müssen Angriffe schnell erkennen und blockieren können. Deswegen ist hier Hochgeschwindigkeit angesagt, damit die Performance, der Durchsatz und die Latenz im Netzwerk nicht in Mitleidenschaft gezogen werden.

Suchen Sie nach erweiterter Sichtbarkeit, dann benötigen Sie Leistungsmerkmale in Richtung Netzwerk-Forensik und -Analyse. In diesem Fall ist der wichtigste Teil die IDS-Management-Konsole. Sie müssen die Informationen schnell und unkompliziert sichten können, die ein IDS liefert. 

Nur dann bekommen Sie die gewünschte Sichtbarkeit für das Netzwerk und die Sicherheit. Hier ist eine Einschränkung zu machen: Die Erkennungs-Engine ist zwar wichtig, aber das Management-System spielt eine weitaus größere Rolle. Können Sie die Informationen nicht effizient aus dem IDS holen, dann bietet das System auch keinen großen Mehrwert. An dieser Stelle spielt aber nicht nur das Management-System eine Rolle, sondern natürlich auch Ihre Erfahrung.

Was ist mit UTM IPS?

Die Kombination einer IPS mit einer Firewall zu einer Einheit in einem einzigen Management-System ist attraktiv. Leider sieht es so aus, dass die meisten UTM-Systeme für den Einsatz im SMB-Sektor gedacht sind, also in kleinen und mittelständischen Firmen. Es handelt sich dabei um Umgebungen, in denen ein einfaches Management-System sehr wichtig ist. Das Kombinieren des IPS-Managements mit dem Firewall-Management ist eine sehr diffizile Aufgabe.

Sie sollten nicht davon ausgehen, dass ein in einer UTM-Firewall integriertes IPS die gleichen Kontroll- und Schutzmechanismen bietet wie ein alleinstehendes IPS. Das heißt aber auch nicht, dass es keine hervorragenden UTM-Firewalls mit integriertem IPS gibt. Es bedeutet lediglich, dass das Management für den IPS-Teil dieser Produkte sich stark vom Firewall-Part unterscheidet. Oftmals handelt es sich eigentlich auch um zwei verschiedene Komponenten.

Nehmen wir an, dass der voraussichtliche UTM-Firewall-Anbieter alle IPS- und Firewall-Funktionalitäten in eine einzelne, homogene Webschnittstelle gepackt hat. Dann sehen Sie sich gerade ein Produkt an, das IPS-Management-Tools der zweiten Klasse bietet. Betreiben Sie eine Umgebung, bei der es in erster Linie um Kontrolle geht, ist das möglicherweise in Ordnung. Ein Beispiel dafür ist eine Zweigstelle, in der man nur einen kleinen Teil der Systeme schützen muss.

Um ein IPS der Enterprise-Klasse mit einer UTM-Firewall zu finden, sollten Sie sich nach Produkten umsehen, die weniger integriert sind – auch wenn dies paradox erscheint. Zum Beispiel wären das eine alleinstehende Firewall und ein separates IPS, die sich lediglich ein Gehäuse teilen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!