Intrusion Prevention-Systeme (IPS) kontrollieren den Datenstrom im Netzwerk und schützen vor bereits bekannten Schwachstellen in der Software. Sourcefire, der Erfinder des wohl bekanntesten quelloffenen IPS Snort, will mit seinen Appliances Netzwerke jeder Größe und Komplexität schützen. Auch für kleinere Unternehmen gibt es jetzt eine spezielle Variante mit leicht reduziertem Funktionsumfang.Netzwerkbasierende Intrusion Prevention-Systeme (IPS) kommen hauptsächlich als Appliance inline, also im Datenübertragungsweg zum Einsatz, wo sie auf der Grundlage von Signaturen, Regeln und Policies Angriffe aufdecken und durch Unterbrechen oder Veränderungen des Datenstroms diese auch verhindern sollen. Damit stellen sie neben der bewährten Firewall einen der wichtigsten Schutzmechanismen gegen Angriffe von außen dar. Mittlerweile haben viele Anbieter auch ihre Firewalls weiterentwickelt und mit IPS-Fähigkeiten ausgestattet und vermarkten sie unter der Bezeichnung Next Generation Firewalls. Die Analysten von Gartner gehen davon aus, dass 2015 bereits 50 Prozent der IPS-Installationen Teil einer Firewalls sein werden.

Magic Quadrant von Gartner

Zu den im Magic Quadrant von Gartner als Leader geführten IPS-Anbietern gehört neben McAfee und HP noch Sourcefire. Der Gründer, Martin Roesch, ist der Erfinder der bekannten quelloffenen IPS-Technik Snort, die auch die Grundlage für die Enterprise-Lösungen bildet – eine Tatsache, die Gartner als Wettbewerbsvorteil hervorhebt. Mit unterschiedlichen Varianten seiner Appliances will sich der Hersteller auf die Anforderungen verschieden großer und komplexer Netzwerke und Sicherheitsteams einstellen.

War Sourcefire bislang in Unternehmen mit großen Netzwerken und hohem Datenverkehr zu finden, wo eigene Sicherheits-Teams die Lösung verwalteten, hat der Anbieter nun mit IPSx eine abgespeckte Variante für kleinere Unternehmen angekündigt. Sie soll die gleiche Erkennungsrate wie die „große“ Lösung liefern, doch die Implementierung und das Management des IPS sei auf Organisationen zugeschnitten, so der Hersteller, die möglicherweise über kein eigenes Sicherheitsteam verfügen. Das IPS umfasst ein reduziertes Regelwerk und ein übersichtliches GUI mit vereinfachter Event-Diagnostik und weniger detaillierten Ansichten.

Ebenfalls seit Mai gibt es die Version 4.10 der IPS-Lösung. Sie umfasst Erweiterungen, die das Highend-NGIPS (Next Generation IPS) betreffen, sowie Verbesserungen für das „klassische“ Intrusion-Prevention-System. Zu diesen gehört ein Inline-Testmodus, der Anwender bei einer neuen Installation eine Hilfestellung bietet, die festgelegten Regeln zu testen. In diesem Modus überwacht das System die Datenkommunikation zwar, doch statt verdächtige Kommunikation zu unterbinden, erfolgt nur eine Markierung. Damit lässt sich aufzuzeigen, wie sich das vorhandene Regelwerk im aktiven Modus verhalten hätte. Zudem hat der Hersteller die Integration mit Datenbanken anderer Sicherheitshersteller verbessert, aus denen Anwender Informationen über Schwachstellen erhalten können. Auch unterstützt die Version nun SNMP-Polling.

NGIPS-Appliances

Für große, dynamische Netzwerke mit komplexen Sicherheitsanforderungen sind die NGIPS-Appliances gedacht. Es handelt sich dabei um die Erweiterung des klassischen IPS um Funktionen für die Erkennung (Awareness) von Netzwerken, Anwendungen sowie Identitäten und Verhalten. Die Lösung nutzt dazu ein passives Erkennungsverfahren, das so genannte RNA (Realtime Network Awareness), das den Netzwerkverkehr in Echtzeit überwacht und Informationen über die Netzwerkkomponenten erfasst.

Diese passive Technik verursacht laut Anbieter keinen Datenverkehr, der Bandbreite beanspruchen oder die Netzwerkinfrastruktur beeinträchtigen kann. Weiterhin zeichnet das Verfahren Änderungen in der Host-Konfiguration sowie das Netzwerkverhalten der Hosts auf. Auf der Basis dieser Daten wird dann ein Netzwerkplan mit allen Host-Geräten inklusive Betriebssystem, Anwendungen und potenziellen Schwachstellen erstellt. RNA liefert eine Echtzeitansicht des Netzwerks, die laufend aktualisiert wird, wenn Geräte Daten durch das Netzwerk schicken. Die Technik ist nicht von auf Endgeräten installierten Agenten abhängig, die betreut werden müssen – unbekannte oder nicht autorisierte Geräte sind immer sichtbar.

Das IPS kann dann diese Daten für eine Auswirkungsanalyse (Impact Assessment) verwenden, bei der jeder Vorfall mit dem tatsächlichen Bedrohungspotenzial in der individuellen Umgebung verglichen wird. Sicherheitsexperten könnten auf dieser Basis entscheiden, ob ein Event wirklich näher zu untersuchen ist.

Automatische Anpassung des Regelwerks

Die gleiche Technik lässt sich auch dafür heranziehen, um das Regelwerk automatisch anzupassen, etwa wenn sich Komponenten im Netzwerk ändern oder neue hinzukommen. Aufgrund der im RNA vorhandenen Informationen darüber, welche Betriebssysteme, Anwendungen und Dienste im Netzwerk arbeiten, kann die Software empfehlen, welche jeweilig relevanten Snort-Regeln anzuwenden sind. Regelempfehlungen lassen sich mit oder ohne Benutzereingriff implementieren.

In der neuen Version nutzt Sourcefire ein Update von Nmap, einem quelloffenen Portscanners, der bis zu 2.500 Betriebssysteme erkennt. Im Bereich der Anwendungserkennung und -überwachung sind zudem Applikationen wie Facebook, Windows Media Player, Google Toolbar und mobile Apple?, Android- und Blackberry-Geräte für das Monitoring hinzugekommen. Eine wichtige Rolle spielt auch hier die erweiterte RNA-Technik, mit deren Hilfe sich Protokolle, Ports und weitere Informationen so korrelieren lassen, dass die dort laufende Anwendung erkannt wird. Mit der erweiterten Funktionalität in der Anwendungserkennung will Sourcefire einen Schritt in Richtung einer Next Generation Firewall gehen. Das Unternehmen hat ein solches Produkt noch für dieses Jahr avisiert.

Sourcefire 8000

Für die beiden Highend-IPS kündigte der Hersteller schließlich die Appliances der Serie Sourcefire 8000 an. Ein zentrales Element der Serie ist die Beschleunigungstechnik Firepower. Diese spezialisierte Netzwerkprozessoren-Plattform unterstützt bis zu zehn IPS-Sensoren pro DC und soll den Anwendern einen Durchsatz von bis zu 40 GBit/s und einen Netto-IPS-Schutz von 20 GBit/s zur Verfügung stellen.

Dank der skalierbaren Auslegung der Serie 8000 wird sich die neue Hardware überdies auf einen Durchsatz von 80 GBit/s und einen Schutz von über 50 GBit/s aufstocken lassen, so Sourcefire. Die Schnittstellen der Appliances sind modular ausgelegt, sodass der Anwender die Art und Anzahl der Ports frei wählen kann. Die 8000-Serie soll auch als Grundlage für die kommende Next Generation Firewall dienen.

Auch die kleine Variante enthält ein übersichtliches GUI, wenn auch mit vereinfachter Event-Diagnostik und weniger detaillierten Ansichten.

Durch spezielle Netzwerkprozessoren liefern die Soucefire-Appliances der 8000-Serie einen Durchsatz bis zu 40 MBits/s.

LANline.