Host und Network Intrusion Prevention

Transkript

1 White Paper Oktober 2004 McAfee Protection-in-Depth Strategie Host und Network Intrusion Prevention

2 Seite 2 Inhalt Einführung 3 Die Notwendigkeit von IPS 3 Intrustion Prevention im Überblick 3 Der Vorteil von ineinandergreifenden und integrierten 5 Technologien McAfee IPS Entercept Host IPS 5 IntruShield Network IPS 7 Schlüsselkriterien für die Produktauswahl 9 Fazit 10 McAfee PrimeSupport 10 0

3 Seite 3 Einführung Intrusion Prevention-Systeme wurden entwickelt, um Informationssysteme vor unautorisierten Zugriffen, Schäden und Störungen zu schützen. Verschiedene Anbieter haben IPS entwickelt, um Schutz gegen die schnell wachsenden Bedrohungen durch die jüngste Generation von Würmern und die neuesten Sicherheitslücken durch Angriffe auf Softwareanwendungen und Netzwerke zu bieten. Da die Zahl der Bedrohungen gestiegen ist und die Netzwerkumgebungen zugleich immer komplexer werden, ist die Eindämmung dieser Bedrohungen schwieriger geworden. Moderne Netzwerke wurden entwickelt, um wichtige Informationen und Dienste an eine stetig wachsende Gruppe von Benutzern zu verteilen. Der Bedarf Zugang zu diesen wichtigen Diensten hat zur Entwicklung redundanter Kommunikationsverbindungen, drahtloser Netzwerke, mobiler Notebook-Computer, digitaler Handheld-Geräte und sogar internetfähige Mobiltelefone geführt. Diese neuen Zugangstechnologien und Verbindungen steigern den Wert der von ihnen unterstützten Informationssysteme, aber gleichzeitig ebnen sie Angreifern und Hackern neue Wege. In diesem White Paper wird erläutert, warum Intrusion Prevention-Systeme notwendig sind. Darüberhinaus werden die zwei bekanntesten IPS-Aufbaustrukturen und hilfreiche Auswahlkriterien zu diesen Systemen vorgestellt. Außerdem wird ein Einblick in ihre Verwendungsmöglichkeiten gegeben. Die Notwendigkeit von IPS Als Ende der 90er Jahre die ersten Hackerangriffe und Netzwerkwürmer aufkamen, wurden Intrusion Detection- Systeme entwickelt, um Angriffe zu identifizieren und sie den IT-Sicherheitsbeauftragten von Unternehmen zu melden, damit diese entsprechende Gegenmaßnahmen ergreifen konnten. Herkömmliche Intrusion Detection- Technologien stoppen Angriffe nicht sie erkennen lediglich feindlichen Datenverkehr und geben Warnmeldungen aus. Als die Bedrohung wuchs und damit die Zahl der IDS-Implementierungen anstieg, wurde festgestellt, dass es viel zu zeitaufwändig war, die Meldungen der IDS-Systeme zu analysieren und auf sie zu reagieren. Die Entwicklung neuer hybrider Angriffe, die mithilfe zahlreicher Vektoren in die Sicherheitsinfrastruktur eindringen, verdeutlicht die Notwendigkeit für das Unternehmen, sich gegen eine ständig wechselnde Gefahr zu verteidigen. Durch die zunehmende Bösartigkeit der Angriffe hat die Vertrauenswürdigkeit, Integrität und Erreichbarkeit vieler Unternehmen katastrophalen Schaden genommen. Innerhalb weniger Minuten erlitten Weltkonzerne Verluste in Millionenhöhe, weil infolge von Angriffen durch Sasser, SQL Slammer oder Nimda plötzlich Produktionsanlagen ausfielen und die Annahme und Bearbeitung von Bestellungen nicht mehr möglich war. Herkömmliche Firewall- und Virenschutz-Lösungen sind zwar nützlich und sinnvoll, doch der neuen Generation von Gefahren sind sie nicht gewachsen. Es musste eine Lösung gefunden werden, die einen rechtzeitigen vorbeugenden Schutz von wichtigen Daten bietet, ohne dass Benutzer auf die Erstellung und Verfügbarkeit neuer Signaturen warten müssen. Intrusion Prevention im Überblick Demnach verstehen wir unter Intrusion Prevention- System ein System, das Folgendes schützt: Vertraulichkeit Vertrauliche Informationen, die in einem elektronischen Format auf einem Computersystem gespeichert sind, werden davor geschützt, von nicht autorisierten Benutzern gelesen und kopiert zu werden. Bedrohungen haben zum Ziel Back-Door-Programme, Keyboard-Logging-Programme usw. einzuschleusen, die nicht autorisierten Benutzern Zugriff auf Informationen ermöglichen Integrität Informationen, die in einem elektronischen Format auf einem Computersystem gespeichert sind, bleiben unversehrt und werden davor geschützt, von nicht autorisierten Benutzern geändert oder modifiziert zu werden. Zu den Bedrohungen zählen Back-Door- Programme, Netzwerkwürmer usw., die in der Lage sind, Daten zu ändern oder zu löschen Verfügbarkeit Verfügbare Computerressourcen, Netzwerke, Systeme oder Informationen, die in einem elektronischem Format auf einem solchen System oder Netzwerk gespeichert sind, werden davor geschützt, von nicht autorisierten Benutzern verwendet zu werden. Zu den Bedrohungen zählen DoS-Angriffe oder Back-Door-Programme, die nicht autorisierten Benutzern ermöglichen, Ressourcen für nicht zugelassene Zwecke zu nutzen Derzeit gibt es zwei grundlegende Lösungsansätze, mit denen die oben aufgeführten Ziele erreicht werden können: Host Intrusion Prevention Softwaresystem, das direkt auf das zu schützende Computersystem geladen wird Network Intrusion Prevention Softwaresystem oder spezielles Hardwaresystem, das direkt mit einem Netzwerksegment verbunden ist und alle Systeme schützt, die an dieses Netzwerksegment oder nachgeschaltete Netzwerksegmente angeschlossen sind Beide Ansätze haben ihre Vor- und Nachteile, doch sie bieten besseren Schutz vor bestimmten Bedrohungen als andere Lösungen. Darüber hinaus sind beide Ansätze so aufgebaut, dass sie die oben beschriebenen Schutzfunktionen in verschiedenen Abstufungen bieten. Angesichts der Dynamik heutiger Netzwerkbedrohungen ermöglicht eine Mischung aus beiden Technologien den größten Schutz für unternehmenswichtige Daten.

4 Seite 4 Host IPS Host IPS ist ein Softwareprogramm, das sich auf einzelnen Systemen wie Servern, Workstations oder Notebooks befindet. Der Datenverkehr in dieses oder aus diesem System wird kontrolliert. Zudem kann das Verhalten der Anwendungen und des Betriebssystems bei dem geringsten Anzeichen für einen Angriff überprüft werden. Diese auf Host-Systeme spezifizierten Programme oder Agenten können sowohl das Betriebssystem als auch Anwendungen schützen, die auf dem Host laufen (wie beispielsweise Webserver). Sobald ein Angriff entdeckt wird, kann die Host-IPS-Software diese Attacke entweder auf Netzwerkschnittstellen- Ebene blockieren oder Befehle an die Anwendung oder das Betriebssystem erteilen, um das durch die Attacke ausgelöste Verhalten zu stoppen. So können beispielsweise Buffer Overflow-Angriffe abgewehrt werden, indem die Ausführung des bösartigen Programms, das beim Angriff in den missbrauchten Speicherbereich eingefügt wurde, untersagt wird. Versuche, Back-Door-Programme über Anwendungen wie Internet Explorer zu installieren, werden geblockt, indem der von IE ausgegebene Befehl die Datei zu schreiben, abgefangen und abgelehnt wird. Vorteile von Host IPS Software, die direkt auf das System installiert wird, schützt nicht nur gegen Angriffe, sondern auch gegen deren Folgen, indem z.b. ein Programm daran gehindert wird, eine Datei zu schreiben, oder indem eine Berechtigungseskalation geblockt wird Schützt mobile Systeme vor Angriffen, wenn das System außerhalb des geschützten Netzwerks angeschlossen ist. Mobile Laptop-Computer werden häufig dazu missbraucht, Würmer in ein geschütztes Netzwerk einzuschleusen. Die Anwendung von Network IPS auf mobilen System ist nicht zu empfehlen Schützt vor lokalen Angriffen Benutzer mit physischem Zugang zu einem System können lokale Angriffe lancieren, indem sie Programme ausführen, die sie über CD, Diskette etc. einschleusen. Diese Angriffe konzentrieren sich meist darauf, mithilfe von Berechtigungseskalationen eine Root- oder Administrator-Berechtigung zu erlangen, um so andere Systeme im Netzwerk leichter schädigen zu können Last Line of Defense Bietet eine letzte Verteidigungslinie gegen Angriffe, die andere Sicherheits-Tools umgegangen haben. Genau das System, das Ziel von Angriffen sein könnte, ist der letzte Verteidigungspunkt, der Sicherheitsbeauftragten zur Verfügung steht, um Angriffe abzuwehren Verhindert interne Angriffe oder Missbrauch von Geräten, die sich in demselben Netzwerksegment befinden, während Network IPS nur Schutz für solche Daten bietet, die zwischen verschiedenen Segmenten hin- und herfließen. Angriffe, die zwischen Systemen erfolgen, die sich in demselben Segment befinden, können nur mit Host IPS abgewehrt werden Schutz vor verschlüsselten Angriffen Der verschlüsselte Datenfluss wird vor dem zu schützenden System angehalten. Host IPS überprüft Daten und/oder Verhalten, nachdem verschlüsselte Daten auf dem Host-System entschlüsselt wurden Unabhängig von der Netzwerkarchitektur Schützt Systeme, die sich in veralteten oder unüblichen Netzwerkstrukturen wie Token Ring, FDDI usw. befinden Network IPS Network IPS-Systeme werden in dem zu schützenden Netzwerksegment installiert. Sämtliche Daten, die zwischen dem geschützten Segment und restlichen Netzwerk hin- und herfließen, müssen das Network IPS-System passieren. Während die Daten das IPS-System durchlaufen, werden sie beim geringsten Anzeichen für einen Angriff überprüft. Die Angriffserkennungsmechanismen sind von System zu System verschieden, jedoch kombinieren die präzisesten Network IPS-Systeme verschiedene Techniken, um einen sehr hohen Grad von Verlässlichkeit bei der Erkennung von Angriffen und Missbrauch zu erreichen. Extreme Genauigkeit und hohe Leistungsfähigkeit sind für die Effizienz eines IPS-Systems entscheidend, da die Fehlerkennung eines Angriffs zur Blockierung von zulässigem Datenverkehr führen kann, also quasi zu einer selbst herbeigeführten DoS-Attacke. Zudem ist hohe Leistungsfähigkeit notwendig, um sicherzustellen, dass zulässiger Datenverkehr nicht verzögert oder unterbrochen wird, während er das IPS- System passiert. Sobald ein Angriff identifiziert wird, blockiert das Network IPS-System ihn, indem es die böswilligen Daten löscht oder sie daran hindert, das System zu durchlaufen und das Angriffsziel zu erreichen. Vorteile von Network IPS Ein einziger Kontrollpunkt für Datenverkehr kann Tausende von Systemen schützen, die dem IPS- System nachgeschaltet sind. Dies ermöglicht einem Unternehmen, seine Lösung schnell zu skalieren und flexibel auf die Anforderungen zu reagieren, die mit einer sich ständig ändernden Netzwerkstruktur einhergehen Einfache Installation ein einziger Sensor kann Hunderte von Systemen schützen. Die Installation von nur einigen wenigen, maximal einigen Dutzend Sensoren ist bedeutend weniger zeit- und arbeitsintensiv als die Verteilung von Software auf Hunderte oder Tausende von Systemen

5 Seite 5 Ermöglicht einen größeren Überblick über die Angriffssituation, einschließlich der Informationen über Scans, Ausspähungen und Angriffe gegen nichtsystembasierte Ressourcen. Network IPS bietet einen größeren Überblick über die Angriffssituation als ein Host-basiertes Produkt, da es auf Netzwerkebene arbeitet. Die Verfügbarkeit einer strategischen Übersicht über die Bedrohungslage ermöglicht es den Sicherheitsbeauftragten, vorbeugend Anpassungen an der sich ständig ändernden Sicherheitslandschaft vorzunehmen Schützt nicht-computerbasierte Netzwerkgeräte. Nicht alle Angriffe richten sich gegen Systeme, die sich mittels Host-basierten IPS-Systeme schützen lassen; so sind z.b. Router, Firewalls, VPN-Konzentratoren, Druckserver usw. alle angriffsgefährdet und müssen geschützt werden Plattformunabhängig Schützt veraltete und unübliche Betriebssysteme und Anwendungen. Host IPS-Systeme sind nicht für alle Systeme verfügbar, die in einem Unternehmen vorhanden sein könnten. Network IPS bietet umfassenden Schutz für alle Geräte, unabhängig von Betriebssystemen oder Anwendungen Schützt vor DoS- und DDos-Attacken, bandbreitenorientierten Angriffen, SYN-Flood usw. Eine übliche Angriffsform besteht darin, ein Netzwerk mit irrelevanten Daten zu überfluten und so zu erreichen, dass das Netzwerk von autorisierten Benutzern nicht mehr oder nur noch unzureichend genutzt werden kann. Durch den Einsatz auf Netzwerkebene kann ein Network IPS- System Schutz vor diesen Angriffstypen bieten Zusammenfassend lässt sich sagen, dass eine Intrusion Prevention-Technologie die einzige Methode darstellt, Netzwerkumgebungen vor den hochentwickelten Bedrohungen, denen sie heutzutage ausgesetzt sind, effektiv zu schützen. Kein Unternehmen kann es sich heutzutage leisten, seine Netzwerke und Systeme ohne Peripherie- Schutz und Desktop Firewalls zu betreiben. Intrusion Prevention-Technologie ist der logische Nachfolger und die Ergänzung zu herkömmlichen Firewalls für Hosts und Netzwerke und wurde entwickelt, um den Schutz zu bieten, den einfache Firewalls nicht mehr gewährleisten können. Unternehmen, die für ihre Sicherheit sorgen wollen, greifen schnell zu diesem neuesten Tool, um mit den rasanten Veränderungen Schritt zu halten. Der Vorteil von überlappenden und integrierten Technologien McAfee Intrusion Prevention Im Gegensatz zur Anwendung von nur einer einzigen Technologie führt die Kombination von Best-of-breed Host- und Network IPS-Technologien zu einem umfassenderen und stabileren Schutz: erfolgreiche Angriffe können minimiert, knappe Sicherheitsressourcen effizienter genutzt und Betriebskosten gesenkt werden. Ein Einbruch oder Angriff besteht aus mehreren Phasen: Ausspähen, Scannen, Zugriff erlangen, Zugriff aufrechterhalten und Spuren verwischen. Obgleich sowohl Host und Network IPS fähig sind, die Ausführung jeder Phase zu verhindern, sind die beiden Technologien bei der Erkennung und Blockierung der einzelnen Phasen nicht gleichermaßen effizient. Die Integration der Stärken beider Technologien führt zu einer Lösung, deren Umfang größer ist als die Summe der Einzelkomponenten. Durch die Implementierung von sich ergänzenden, integrierten Protection-in-Depth -Technologien wie McAfee Network und Host IPS können Unternehmen sich hochentwickelten Schutz zu einem vernünftigen Preis sichern. McAfee Entercept Host IPS McAfee Entercept liefert patentierte Host Intrusion Prevention-Technologie für unternehmenskritische Server, Desktops, Datenbankserver und Webserver. Es schützt unternehmenskritische Systeme vor den ständig neu aufkommenden Bedrohungen, denen Unternehmen heute ausgesetzt sind, in dem bekannte als auch unbekannte Angriffe mit einer mehrfach ausgezeichneten Technologie blockiert werden. Zentral gesteuerte Agenten befinden sich auf jedem Host und stellen sicher, dass standardmäßige oder benutzerdefinierte Richtlinien aktiv durchgesetzt werden und die Integrität und Vertraulichkeit der Systeme und der auf diesen Systeme befindlichen Daten gegen bösartige Aktionen geschützt werden. Agenten Es gibt drei Arten von McAfee Entercept-Agenten: Standard Edition Für unternehmenskritische Server und Desktops Database Edition Für Datenbankserver Web Server Edition Für Webserver Jeder Agent verwendet eine individuelle Kombination aus Verhaltensregeln, Signaturen und Prozess-Firewall, um Angriffe mit unübertroffener Präzision zu erkennen und zu blockieren. Verhaltensregeln Überprüfen Anfragen an das Betriebsystem oder an Anwendungen, bevor sie vom Host verarbeitet werden. So werden Systeme gegen unbekannte Angriffe oder sog. Zero-Day Attacken (Angriffe auf eine neue, bisher unbekannte Sicherheitslücke) geschützt Signaturen Fangen bekannte feindliche Inhalte in Daten ab, löschen gefährliche Inhalte, bevor sie vom Host verarbeitet werden und stellen so den Schutz der Systeme sicher

6 Seite 6 Prozess-Firewall Blockiert Anforderungen von Anwendungen und Diensten vom oder zum Host; blockiert spezifische Attacken auf Netzwerkebene, bevor sie vom Host verarbeitet werden; blockiert die IP-Adresse eines Angreifers innerhalb oder außerhalb der Peripherie Die McAfee Entercept Database und Web Server Agenten stellen die einzigen Host Intrusion Prevention- Lösungen dar, die eine anwendungsspezifische Content Interception Engines enthält. Diese Engines können die bösartige Aktionen erkennen und stoppen, bevor diese Betriebssysteme, Anwendungen oder Daten schädigen. Management-System Das McAfee Entercept Management System kann bis zu Standard-, Database- oder Web Server-Agenten pro Management-Server zentral verwalten. Das Management- System ermöglicht Unternehmen, Konfigurationen über mehrere Management-Server zu importieren und zu exportieren, Sicherheitskonfigurationen und richtlinien über Anwendungen, Benutzergruppen und Agenten durchzusetzen und die Kosten für die Installation und Verwaltung aufwändiger Implementierungen bedeutend zu senken. McAfee Entercept erlaubt die Implementierung eines einzigen Richtliniensatzes über Windows, Solaris und HP-UX Plattformen und gewährleistet so dauerhafte und zuverlässige Host-Sicherheit für die heterogenen Serverumgebungen von heute. Das Entercept Alert Management System ist mit dem McAfee IntruShield Management-Server integriert und gibt Warnungen an IntruShield heraus, um sämtliche Sicherheitsvorfälle, die von den Entercept-Agenten gemeldet werden, zentral zu sammeln und zueinander in Beziehung zu setzen. Die Integration dieser zwei leistungsstarken Systeme erhöht die Produktivität des Sicherheits-Teams und bietet unübertroffenen Angriffsschutz bei minimalem Einsatz von wichtigen Mitarbeitern und Ressourcen. Stärken von Entercept Host IPS Anwendungsabschirmung Die McAfee Entercept Web Server Edition und Database Edition bieten Schutzschilde für spezifische Anwendungen wie IIS, Apache und MS SQL Durch maßgeschneiderte Lösungen für die spezielle Anwendung wird der umfassendste Schutz gewährleistet, der derzeit verfügbar ist Strukturunabhängig Nicht alle Netzwerkstrukturen erlauben die leichte Überwachung aller Verbindungen von und zu wichtigen Systemen. McAfee Entercept befindet sich auf den wichtigen Hosts und kann so Bedrohungen analysieren, die sich gegen den jeweiligen Rechner richten, unabhängig von der Netzwerkarchitektur oder Angriffsroute Lokale Angriffe Host IPS kann einen Angreifer stoppen, der physischen Zugriff auf einen Server hat und versucht, eine Berechtigungseskalation oder eine andere Art von Angriff auf dem Rechner durchzuführen. Ein Network IPS-System würde diese Art von Angriff nicht erkennen Schützt vor verschlüsselten Angriffen Entercept verteidigt kritische Systeme, wenn die Angriffsbefehle in verschlüsselten Protokollen enthalten sind, die beim Host enden. Entercept überprüft Daten und Verhalten nach der Entschlüsselung auf dem System und schützt so vor allen Arten von verschlüsselten Angriffen Schutz mobiler Rechner Entercept schützt mobile Benutzer, wenn sie über ein Netzwerk kommunizieren, das nicht über einen Network IPS-Sensor oder eine Firewall verfügt. Angesichts der steigenden Anzahl von Mitarbeitern, die mobil sind oder von Zuhause aus arbeiten, muss der Schutzbereich über die physischen Netzwerke an den Hauptstandorten der Unternehmen hinausgehen Optimiert für individuelle Umgebungen Da Entercept auf spezifische Plattformen und Anwendungen zugeschnitten ist, können leistungsstärkere und feiner abgestufte Sicherheitsrichtlinien zum Einsatz kommen, die die für jedes System speziell konfiguriert und durchgesetzt werden können Leistungsstarker Buffer Overflow-Schutz Der leistungsfähige und bewährte Buffer Overflow-Schutz von Entercept bietet unübertroffene Erkennung und Blockierung von unbekannten Angriffen oder den sog. Zero-Day Attacken Last Line of Defense Da Entercept sich vor Ort befindet, eignet sich dieses Tool ideal dafür, Anwendungen auf der letzten Verteidigungslinie zu schützen und zu verhindern, dass sie unzulässige Aktionen durchführen. Die Datenbankabschirmung schafft eine Art Schutzschild, das ein Eindringen von aussen und einen Missbrauch des Systems unmöglich macht. So wird verhindert, dass jene Angriffsbefehle, die andere Sicherheits-Tools umgehen konnten, erfolgreich ausgeführt werden Beispiele für Angriffe, die nur mit Host IPS erkannt und gestoppt werden können: Berechtigungseskalationen Client-Side-Angriffe opswatch.xml

7 Seite 7 IntruShield Network IPS McAfee IntruShield liefert Best-of-breed Network Intrusion Prevention für alle in einem Netzwerk befindlichen Ressourcen. Es schützt unternehmenskritische Systeme vor den ständig neu aufkommenden Bedrohungen, denen Unternehmen heute ausgesetzt sind, in dem bekannte als auch unbekannte Angriffe mit einer mehrfach ausgezeichneten Technologie blockiert werden. Zentral verwaltete Hardwaresensoren werden im Netzwerk installiert und stellen aktiv sicher, dass standardmäßige oder benutzerdefinierte Richtlinien durchgesetzt werden und die Vertraulichkeit, Integrität und Verfügbarkeit des Netzwerkes vor bösartigen Angriffen geschützt werden. Der IntruShield-Sensor ist in vier Versionen erhältlich: I4000 Bietet Schutz für den Netzwerkkern des Unternehmens mit einem Datendurchsatz von 2Gb/s bei Aktivierung aller Schutzfunktionen. Der Sensor schützt zwei Gigabit-Netzwerksegmente I2600 Bietet Schutz für die Netzwerkperipherie des Unternehmens mit einem Datendurchsatz von 600Mb/s bei Aktivierung aller Schutzfunktionen. Schützt drei 100 BaseT-Segmente oder ein Gigabit- Netzwerksegement mit geringem Datenvolumen I1200 Schützt die Peripherie einer externen Niederlassung oder eines kleinen Unternehmens mit 100Mb/s Datendurchsatz und Schutz für ein 100 BaseT-Segment I1400 Schützt die Peripherie einer externen Niederlassung oder eines kleinen Unternehmens mit 100Mb/s Datendurchsatz ein Schutz für zwei 100 BaseT-Segmente IntruShield-Sensoren sind von Grund auf so konzipiert, dass sie äußerst präzise und leistungsstarke Network IPS-Funktionen bieten. Der Sensor enthält zahlreiche hochleistungsstarke Prozessor-Elemente und programmierbare Gate-Arrays, die in Kombination eine unerreichte Präzision mit hohen Übertragungsgeschwindigkeiten von bis zu 2Gb/s bieten. IntruShield kombiniert hochentwickelte Protokoll-Normalisierung und Anomalie-Erkennung, mehrstufige genaue Signatur-Überprüfung und dynamische statistische Anomalie-Erkennungsverfahren und erreicht so höchste Präzision. Protokoll-Normalisierung und Anomalie-Erkennung Gewährleistet die Erkennung potenzieller Angriffe, ohne dass eine Signaturdatenbank erforderlich ist. Alle Datenpakete, die den Sensor passieren, werden normalisiert oder gesäubert, damit der Sensor die Datenpakete so sehen kann, wie das Zielsystem sie sehen würde. Dieser Prozess ist der Schlüssel zur Fähigkeit von IntruShield, Angriffe zu erkennen, die speziell konzipiert wurden, um ein Netzwerk-IPS zu umgehen. Nach dem Normalisierungsprozess wird das Protokoll vollständig dekodiert und mit den Regeln verglichen, die zu diesem speziellen Protokoll gehören. Jede Abweichung von der Norm in der Paketstruktur wird als Protokoll-Anomalie gekennzeichnet und an die Detection Correlation-Engine weitergeleitet. Dort werden die Daten mit den Ergebnissen anderer Erkennungs-Engines verglichen, bevor endgültig festgelegt wird, um welchen Angriff es sich handelt Die Signaturerkennungs-Engine IntruShield gewährleistet eine detaillierte und präzise Erkennung von Angriffsbefehlen, die durch den Sensor laufen und für die eine Signatur verfügbar ist. Signauren werden geschrieben, um sowohl spezifische Angriffe als auch unbekannte Angriffe zu identifizieren, die Sicherheitslücken in Betriebssystemen oder Anwendungen ausnützen. IntruShield-Signaturen sind dazu in der Lage, zahlreiche verschiedene Datenwerte in einem Paket oder Strom gleichzeitig zu analysieren. Der Sensor überprüft die Validität der TCP/IP-Sitzung und verfolgt den Status jeder Sitzung in seiner Statustabelle. Die Verfolgung des Status von allen Datenflüssen durch den Sensor ermöglicht eine genaue Statusanalyse über die Signatur-Engine. Durch Verfolgung des Verbindungsstatus kann IntruShield sich auf die Pakete konzentrieren, die ein System schädigen könnten und Teil einer zulässigen Verbindung sind. Durch die Analyse des Verbindungsstatus minimiert IntruShield die Möglichkeit der fehlerhaften Angriffserkennung. Die Korrelation von Signatur-Engine und Protokoll-Anomalie-Engine trägt zu erhöhter Präzision bei. Denn es wird sichergestellt, dass ein Datenwert in einem Paket, der einem Signaturelement entspricht, im dazugehörigen Protokoll enthalten ist und sich an der Stelle im Datenstrom befindet, die durch das spezifische Protokoll definiert wurde Ein Beispiel Zwei Sicherheitsanalysten kommunizieren wegen eines bestimmten Angriffs über Instant Messaging innerhalb eines Netzwerks miteinander und fügen ihrem Austausch den Teil einer HTTP-Attacke bei. Die meisten IPS-Systeme würden in diesem Fall eine Warnmeldung bezüglich des HTTP-Angreifer-Code ausgeben. IntruShield wird erkennen, dass trotz der Tatsache, dass die den Sensor passierenden Instant Messaging-Pakete Angriffsdaten enthalten, kein wirksamer Angriff vorliegt, da eine HTTP-Attacke einen Instant Messaging-Prozess nicht gefährden kann. Um diese Präzisionsstufe zu gewährleisten, ist nicht nur eine vollständige Analyse der Daten erforderlich, welche die Angriffsbefehle enthalten, sondern auch eine Analyse des Kontextes, in dessen Rahmen die Angriffsdaten erkannt wurden. IntruShield ist das bis dato einzige auf dem Markt erhältliche System, das diese hochentwickelten Korrelationsfunktionen ausführt und genau diese Prozesse sind der Schlüssel zur Präzision von IntruShield.

8 Seite 8 Konkurrenzsysteme basieren auf Universal- Computerplattformen oder Layer-Two Traffic-Switches, die adapiert wurden, um Simple-String-Matching zwischen Datenmustern innerhalb einer Signatur und Datenmustern innerhalb eines Paketes durchzuführen Die statistische Anomalie-Erkennungs-Engine Als Bestandteil von IntruShield gewährleistet diese Engine die Erkennung von und den Schutz vor DoS- und DDoS-Angriffen. Diese Engine überprüft den gesamten Datenverkehr in und aus einem geschützten Segment und zeichnet Informationen darüber auf. Ein dynamisches Profil mit über 100 verschiedenen Werten wird vom System für jedes Segment angelegt und verwaltet. Das System verfolgt beispielsweise die Nummern und Arten von Datenpaketen, die zwischen Adressen auf beiden Seiten des Sensors hin-und hergehen, die häufigsten Adressen und Adressbereiche im Datenstrom, den Prozentsatz der verschiedenen Datenstromtypen usw. Dieses Profil bildet so eine Art Baseline für die typischen Aktivitäten innerhalb eines Segmentes. DoS und DDoS-Angriffe werden als schnelle Aktivitätsvarianten erkannt, die außerhalb der Baseline liegen, die der Sensor für ein Segment vorsieht. Sobald ein Angriff erkannt wird, kann das System bestimmen, welche Pakete zum Angriff gehören und welche Pakete Teil des zulässigen Datenverkehrs sind. Pakete, die als Teil eines Angriffs identifiziert worden sind, werden aus dem Verkehr gezogen, während Pakete, die Teil des zulässigen Datenstroms sind, zum Bestimmungsort weitergeleitet werden. Im Gegensatz dazu erfordern Systeme anderer Hersteller in der Regel, dass der Netzwerk-administrator manuell einen Wert festsetzt, der allein auf der Anzahl von Datenpaketen basiert, die pro Sekunde auf dem Segment zugelassen werden sollen. Wird dieser Wert überschritten, ziehen diese Systeme wahllos Pakete aus dem Verkehr, ohne bestimmen zu können, ob sie Teil eines Angriffs oder Teil des zulässigen Datenstroms sind Mit der Produktversion 2.1 bietet IntruShield jetzt auch Schutz gegen SSL-verschlüsselte Angriffe für kritische E-Commerce-Infrastrukturen. Die Sensoren I4000 und I2600 entschlüsseln eingehende SSL-Pakete, gewährleisten eine vollständige Überprüfung der Daten, die sich innerhalb des verschlüsselten Datenstroms befinden und bieten Schutz vor diesen Daten. Dies wird dadurch erreicht, dass eine Kopie vom verschlüsselten Private-Key des SSL-Servers auf dem Sensor zwischengespeichert wird. Diese einzigartige Funktion ist kennzeichnend für das hochentwickelte Design des Systems und für die Fähigkeit des IntruShield Design- Teams, Produkte vorausschauend zu konzipieren. IntruShield Manager Das McAfee IntruShield Management System verwaltet alle in einem Unternehmen installierten IntruShield- Sensoren zentral. Dieses Management-System ermöglicht Unternehmen, Konfigurationen über mehrere Sensoren zu importieren und zu exportieren und die Kosten für Installation und Verwaltung aufwendiger Implementierungen erheblich zu senken. Das System bietet zentrale Warnmeldungen und eine unternehmensweite Übersicht über alle Vorfälle, die sowohl von den IntruShield-Sensoren als auch von den im gesamten Netzwerk verstreuten Entercept-Agenten registriert werden. Leistungsstarke forensische Analyseund Reporting-Funktionen ermöglichen eine gründliche Analyse und ein ausführliches Reporting zur Bestimmung des globalen Sicherheitsstatus im Unternehmen. Stärken von IntruShield Network IPS Präzision und Leistungsstärke Mit seiner einzigartigen, speziell entwickelten Hardwareanwendung und integrierten Erkennungstechnologie kann IntruShield bekannte und unbekannte Angriffe, ob unverschlüsselt oder mit SSL verschlüsselt, genauestens erkennen und wirksam stoppen. Dank seiner Multi-Gigabit- Leistungsfähigkeit wird es selbst den anspruchsvollsten Schutzanforderungen eines Netzwerkkerns in Unternehmen gerecht Umfassender Schutz Der Schutz von IntruShield erstreckt sich auf alle Geräte, die an das geschützte Netzwerksegment angeschlossen sind, einschließlich Router, Switches, Druckerserver und andere Bestandteile der Netzwerkinfrastruktur. Host IPS kann nicht auf allen Versionen jedes Betriebssystems laufen, so dass IntruShield Umgebungen schützt, die nicht unter Windows, Solaris oder HP-UX-Plattformen laufen und von McAfee Entercept geschützt werden. Eine einzige, strategisch platzierte IntruShield- Anwendung kann Hunderte von verschiedenen Systemen und Geräten gleichzeitig schützen, wodurch Installations- und Wartungskosten minimiert und die Mitarbeiterproduktivität maximiert werden Virtuelle Firewall-Funktion IntruShield bietet die vollen Schutzfunktionen einer leistungsstarken Firewall mit fortschrittlicher Zugangskontrollfunktion zwischen physischen oder virtuellen Segmenten, die vom Sensor geschützt werden. Mit dieser Funktion kann IntruShield als interne Firewall fungieren und die Verbreitung von Angriffen in andere Teile des Netzwerks verhindern. So könnte z.b. ein McAfee IntruShield-Produkt, das auf oder nahe einer WAN- Schnittstelle installiert ist, verhindern, dass bösartige Daten sich in anderen Netzwerkregionen verteilen.

9 Seite 9 Ebenso könnte es einen Buffer Overflow erkennen, für den es eine Angriffssignatur oder Sicherheitslücke gibt, bevor er den Ziel-Host erreicht und so die erfolgreiche Durchführung des Angriffs verhindern Umfassende Forensik- und Reporting-Funktionen Die Integration von Entercept Host und IntruShield Network Warnmeldungen macht es möglich, Angriffe netzwerkweit zu korrelieren und zu integrieren. Hochentwickelte forensische Analyse- und Reporting- Funktionen gewährleisten eine leistungsstarke zentrale Übersicht über die gesamte Sicherheitsumgebung Leichte Verwaltung und Implementierung Ein IntruShield-Netzwerksensor kann in weniger als einer Stunde in einem Netzwerk implementiert werden. Mit der IntruShield-Management-Konsole können sämtliche Software- und Hardware-Features der installierten Netzwerksensoren zentral gesteuert werden. Zahlreiche Sicherheitsvorlagen stehen zur Verfügung, mit deren Hilfe das System schnell konfiguriert und an die Kundenumgebung angepasst werden kann Erkennen von Netzwerkspionage Aufgrund seiner Fähigkeit, netzwerkweite Übersichten zu liefern und alle Pakete abzufangen, kann IntruShield netzwerkweite Spionageaktionen wie Port Scans und Pings erkennen. Bei der Sammlung von forensischen Daten ist es ideal, wenn detaillierte Angaben über den Herkunfts- und Zielort eines Angriffs gemacht werden. Ein Beispiel für eine Spionagetechnik ist das sogenannte SNMP Harvesting, bei dem es möglich ist, durch die Ausspähung von SNMP- MIBs an eine vollständige Benutzerdatenbank oder sogar an Konfigurationsdetails eines Routers zu kommen. Diese Art von Ausspähungstechniken ist mit einer ganz bestimmten Art von Datenaustausch im Netzwerk verbunden, der von IntruShield erkannt wird. Ein Host-basiertes IPS-System würde diese Aktivität nicht erkennen Beispiele für Angriffe, die nur mit Network IPS erkannt und gestoppt werden können: ARP-Poisoning Protokoll-Überflutung exploits/5jp0r0k4aw.html Routing-Protokoll-Angriffe Schlüsselkriterien für die Produktauswahl Wenn man bestimmen will, wo und wann man geeignete IPS-Technologie einsetzen kann, muss man die Vor- und Nachteile aller Produkte kennen. Die nachfolgende Zusammenfassung listet die wichtigsten Punkte auf, die beachtet werden sollten, und liefert eine Kurzbeschreibung zu den einzelnen Technologien und ihrem Leistungsvolumen. Effiziente Angriffsabwehr Blockierung von Zero-Day Attacken Entercept verwendet zum Schutz von Anwendungen Verhaltensregeln, um Angriffe zu verhindern, die unbekannte Sicherheitslücken ausnützen (z.b. WebDAV mit Nutzung eines anderen Angriffsvektors als HTTP). IntruShield dagegen verwendet Protokoll- Anomalie-Erkennung und allgemeine Angriffssignaturen, um neuartige Attacken zu verhindern (z.b. ASN.1 Codierungsfehler in SNMP und Kerberos). IntruShield kann die Verbreitung von Würmern dank seiner statistischen Analysefunktion durch die Feststellung von Veränderungen in der Datenstromverteilung im Netzwerk erkennen. Entercept kann die Verbreitung von Würmern mithilfe seiner Firewall-Technologie blockieren Reduzierte Abhängigkeit von Patches Beide Systeme tragen dazu bei, dass die Implementierung von Patches weniger dringlich wird. IntruShield kann Systeme ohne Patches schützen, wenn ein anomaliebasierter Schutz für das betreffende Protokoll implementiert wurde (z.b. MS RPC DCOM Buffer Overflow). Entercept verwendet seine einzigartige Schutzfunktion, um Buffer Overflow-Angriffe zu stoppen. Mithilfe dieser Schutzfunktion können Kunden kritische Patches testen und deren Implementierung kontrolliert planen Sicherstellung der Systemverfügbarkeit Die Kombination von Entercept und IntruShield gewährleistet die effiziente Minimierung von DOS- und DDos-Attacken. Die hochentwickelte statistische Anomalie-Erkennung von IntruShield schützt vor Angriffen auf den Datenstrom, während die erstklassige Entercept-Technologie mit Buffer Overflow-Schutz und Prozess-Firewall sicherstellt, dass Hosts rund um die Uhr für verfügbar sind Überlegungen zur Implementierung Geschützte Geräte IntruShield schützt verschiedene Arten von Computersystemen ebenso wie Geräte der Netzwerkinfrastruktur wie Router und Switches, sofern es sich auf dem Pfad zwischen Ziel und Angreifer befindet (z.b. Cisco IOS Sicherheitslücken). Entercept schützt Server und Desktops vor lokalen Angriffen und böswilligen Operationen, selbst wenn diese ohne Netzwerkzugriff oder verkehr erfolgen Installation Entercept funktioniert unabhängig davon, wie Exploits auf einen Rechner gelangen. Es muß nur sichergestellt sein, dass die Software auf jedem Rechner installiert ist, der geschützt werden soll. IntruShield erfodert lediglich einige wenige Geräte für eine Vielzahl von Servern und Desktops. Es muss nur sichergestellt sein, dass alle Pfade abgedeckt sind, die zu Daten und Informationen führen, um effizienten Schutz zu bieten

10 Seite 10 Fazit Für den Sicherheitsadministrator oder IT-Leiter ist die Entscheidung, ob Host und Netzwerk-IPS zusammen installiert werden sollen, aufgrund einer besonderen Fragestellung problematisch: Wenn eine Lösung so effizient ist, warum soll ich dann in beide Lösungen investieren? Es gibt in der Tat viele Überschneidungen zwischen Network und Host IPS. Dieses Argument ist jedoch eher theoretischer als praktischer Natur. Mit Ausnahme von lokalen Angriffen, bei denen ein Hacker physischen Zugriff auf das Zielsystem hat, werden bei allen Angriffen Daten ins Netz geschickt, so dass es theoretisch möglich ist, eine Erkennungsfunktion einzurichten und den Datenverkehr zu blockieren. In der Praxis sieht es anders aus. In vielen Fällen ist ein Host IPS besser dazu geeignet, die Absicht einer bestimmten Aktion zu überprüfen, die im Netz harmlos erscheinen mag. Ein Sicherheitskonzept, das auf einer einzigen Technologie oder auf Verfahren basiert, die nur bestimmte Risiken abdecken, wird gegen die steigende Anzahl von komplexen Angriffe weiterhin keinen ausreichenden Schutz bieten können. Defense-in-Depth und Protection-in-Depth sind Konzepte, die auf einem umfassenden Schutz basieren. Zudem entwickeln Sicherheitsprofis, die sich nach diesen Konzepten richten, Lösungen unter der Prämisse, dass jede einzeln angewendete Sicherheitsmaßnahme ihre Grenzen hat und irgendwann wirkungslos bleibt. Wenn der Einzeltechnologie-Ansatz richtig wäre, hätte dieses Argument schon vor langer Zeit an Überzeugungskraft eingebüßt, nämlich mit dem Erscheinen der Firewalls, die ursprünglich als Technologie eingeführt wurden. Technologien scheitern oft an mangelhafter Konfiguration. So können beispielsweise Intrusion Detection- und Intrusion Prevention-Technologien auch dazu verwendet werden, kritische Systeme und Netzwerke durch die Erkennungsfunktion einfach nur transparenter zu machen, statt in erster Linie Angriffe abzuwehren. Die Effizienz einer Firewall ist nur so gut wie ihre Richtlinien. Ein Virenschutz-Programm erkennt bekannte Viren nur dann, wenn es auf dem aktuellsten Stand ist. Diese Liste ließe sich fortsetzen. Wenn es keinen bösartigen Code und keine Hacker mehr gäbe, wäre es vielleicht schwieriger, redundante Sicherheitstechnologien zu rationalisieren. Dies ist jedoch nicht der Fall. Wir können niemals alle Sicherheitslücken vorhersagen, die noch entdeckt werden, und ebensowenig können wir die Angriffe vorhersagen, die unausweichlich folgen werden. Host und Network Intrusion Prevention-Systeme verfolgen beide dasselbe Ziel, nämlich den Schutz unternehmenswichtiger Daten und Ressourcen vor äußerst hochentwickelten Bedrohungen. Zwei verschiedene Konzepte zur Erreichung dieses Ziels sind leistungsstärker und effektiver, als es ein einzelnes Konzept jemals sein könnte. McAfee PrimeSupport McAfee verfolgt die Strategie, Best-of-breed Technologien für jede Art von Sicherheits- und Performance- Management-Applikationen zur Verfügung zu stellen. Die McAfee Protection-in-Depth-Strategie ist allerdings mehr als nur der Einsatz und Implementierung von Best-ofbreed Lösungen. Vorbeugung ist zweifellos unsere oberste Priorität, es ist jedoch unvermeidlich, dass es in Ihrer Verantwortung liegt, auf Probleme zu reagieren. Das McAfee PrimeSupport -Programm ist unerlässlich, um das Beste aus Ihren Investitionen in McAfee System und Network Protection-Lösungen herauszuholen. McAfee s PrimeSupport-Team ist mit den entsprechenden Ressourcen ausgestattet und steht für Sie bereit, um Ihnen die benötigten Servicelösungen zur Verfügung zu stellen. PrimeSupport-Ressourcen beinhalten: Zugang zu allen verfügbaren Produkt-Updates sowie -Upgrades, Zugang zu einer übergreifenden Datenbank mit zusätzlichen online selbstunterstützende Leistungen, telefonischer Support 24/7/365, dedizierte Support Account Manager sowie eine breite Palette von Software und Hardware Support- Lösungen, zugeschnitten auf Ihre Bedürfnisse. McAfee GmbH Ohmstraße 1, D Unterschleißheim, Telefon: Luisenweg 40, D Hamburg, Telefon: Regus Center Twin Tower, Wienerbergstraße 11/12 A, A-1100 Wien, Telefon: +43-(0) Die Produkte von McAfee zeichnen sich durch jahrelange Erfahrung und Engagement im Bereich Kundenzufriedenheit aus. Das PrimeSupport -Team besteht aus hoch qualifizierten Support-Technikern, die Ihnen mit maßgeschneiderten Lösungen und detaillierter technischer Unterstützung bei der Verwaltung geschäftskritischer Projekte zum Erfolg verhelfen. Das Service-Level wird dabei jeweils an die Bedürfnisse des einzelnen Unternehmens angepasst. McAfee Research, marktführend in der Informationssysteme- und Sicherheits-Forschung, führt die bahnbrechenden Innovationen bei der Entwicklung und Verbesserung unserer Technologien fort. McAfee, Entercept, IntruShield, Protection-in-Depth, und PrimeSupport sind eingetragene Marken oder Marken von McAfee, Inc. und/oder seinen Niederlassungen in den USA und/oder anderen Ländern. Die Farbe Rot in Verbindung mit Sicherheit steht unverkennbar für alle McAfee Markenprodukte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind Eigentum ihrer jeweiligen Besitzer Networks Associates Technology, Inc. Alle Rechte vorbehalten. 6-nps-nip