Der Wandel von Intrusion Detection zu Intrusion Prevention

Transkript

1 Der Wandel von Intrusion Detection zu Intrusion Prevention Was steckt wirklich hinter dem Schlagwort IPS Jedes Jahr hat seine Schlagwörter und seine dazugehörigen Abkürzungen. Auch auf die IT- Sicherheitsbranche trifft dies zu. Eines dieser Schlagworte, das in 2003 besonders oft verwendet wird, ist sicherlich Intrusion Prevention als Nachfolge von Intrusion Detection. Dementsprechend spricht man von IPS oder auch IDP (Intrusion Detection Protection). Was sich genau hinter IPS verbirgt, sieht jedoch fast jeder Hersteller anders. Völlig unterschiedliche Technologien nehmen die Bezeichnung IPS für sich in Anspruch. Darunter sind klassische netzwerkbasierte Intrusion-Detection-Produkte, die bei einem erkannten Angriff automatisch versuchen, den Angriff zu blockieren ebenso wie Web-Applikations-Filter, die Angriffe auf Applikationsebene durch eine Analyse aller Web-Seiten, Formulare, Links und Benutzer-Eingaben in http-übertragungen verhindern wollen. Dieser Artikel versucht, die verschiedenen Technologien, die sich mit der Bezeichnung Intrusion Prevention schmükken, vorzustellen und einzuordnen. Nähert man sich dem Begriff Intrusion Prevention von der reinen wörtlichen Bedeutung, so handelt es sich um Produkte oder Technologien, die das Ziel haben, einen Angriff zu verhindern. Diese grundsätzliche Idee ist nicht unbedingt neu. Schon Firewall-Systeme haben ja den Zweck, Angriffe zu verhindern, indem Kommunikations-Verbindungen auf diejenigen IP-Adressen und Ports beschränkt sind, die unbedingt benötigt werden. Dennoch nennt derzeit keiner der großen Firewall-Hersteller seine Produkte Intrusion Prevention. Nach dem derzeit üblichen Verständnis im IT-Sicherheits-Markt sind Intrusion Prevention Systeme nämlich gerade keine Firewalls, sondern Produkte, die komplementär dazu Angriffe verhindern können. Eine sehr verbreitete Interpretation des IPS-Begriffs sind Intrusion Detection Systeme, die wie bisher auch schon Angriffe anhand von Mustern oder Protokoll-Abweichungen im Datenverkehr erkennen und als Reaktion auf den Angriff versuchen, diesen zu blockieren. Für diese Blockade kommen vor allem drei Techniken zum Einsatz: Beenden einer TCP-Session durch Reset-Pakete Blockade weiterer Kommunikation von der Quelladresse des Angriffs durch Einfügen temporärer Regeln in Firewall-Systeme Verwerfen der Pakete eines erkannten Angriffs in einem Inline-System, das den Datenverkehr als Gateway transportieren muss. Die folgende Grafik stellt alle drei Varianten schematisch dar:

2 Die Probleme dieser Interpretation von Intrusion Prevention sind vielfältig. Angriffe, die mit Hilfe von automatisierten Exploit-Werkzeugen durchgeführt werden, sind meist in wenigen IP-Paketen enthalten und wirken sehr schnell. Das IDS/IPS kann den Angriff erst erkennen, wenn das Angriffsmuster schon auf dem Weg zum Opfer ist. Ein Reset-Paket, das vom IDS- bzw. IPS-System verschickt wird, kommt daher in vielen Fällen erst dann beim Täter oder Opfer an, wenn die erkannte Phase des Angriffs bereits beendet ist. Darauf folgende Schritte des Angreifers werden häufig über eigene Verbindungen erfolgen, die vom IDS/IPS nicht dem ursprünglich erkannten Angriff zugeordnet werden können. Die Effektivität einer Angriffsverhinderung über das Versenden von Reset-Paketen ist daher bei musterbasierten Systemen fragwürdig. Auch das Einfügen temporärer Regeln in eine Firewall benötigt Zeit. Eine Sekunde oder auch zwei vergehen dabei je nach Firewall-Typ und Auslastung durchaus und in dieser Zeit kann ein automatisierter Angriff bereist abgeschlossen sein und als Ergebnis eine neue Verbindung mit interaktiver Eingabemöglichkeit zum Angreifer zurück aufgebaut haben. Ein weiteres Problem der gerade beschriebenen Art von IPS-Systemen ist die Anfälligkeit für Denial-of-Service-Angriffe. Dabei wird das Prinzip des IPS selbst für einen Angriff missbraucht. Ein Angreifer täuscht Angriffe von verschiedenen wichtigen Partnern des Opfers vor. Daraufhin fügt das IDS/IPS temporäre Regeln in die Firewall ein, die sämtliche Kommunikation von den Quelladressen der vermeintlichen Angreifer blockieren. Damit kann das Opfer nicht mehr mit seinen wichtigen Partnern oder Kunden kommunizieren. Die vom Intrusion Prevention System erkannten Angriffe sind dabei nur Mittel zum Zweck für den eigentlichen DoS-Angriff. Es wäre allerdings technisch möglich, diesem Problem zu begegnen. Wenn das IPS vor dem Eingriff in die Kommunikation sämtliche TCP- Verbindungen überwachen würde, könnte es anhand der ausgetauschten Sequenznummern erkennen, ob die Quelladresse eines Angriffs offensichtlich gespooft ist. Diese Methode funktioniert zwar nicht bei statusloser Kommunikation mit UDP, aber die meisten Angriffe werden ohnehin in TCP transportiert. In der Praxis unterstützen heute die wenigsten IDS- oder IPS-Systeme eine solche Verifikation der Quelladressen. Grund dafür sind vor allem die großen Datenmengen und der weitere Performance-Verlust eines ohnehin unter großer Belastung stehenden musterbasierten IDS/IPS. Aber auch im normalen Betrieb wird ein Intrusion Prevention System, das auf der Erkennung von Angriffs-Mustern basiert, Probleme bereiten. Grund dafür sind die unvermeidbaren Fehlalarme, die schon bei einem klassischen, netzwerkbasierten IDS viel Arbeit verursachen. Diese Fehlalarme, auch Falsch-Positiv-Alarme genannt, sind in einer reinen IDS-Umgebung nur lästige Hinweise, bei denen eines der Angriffsmuster in normalem

3 ungefährlichem Datenverkehr vorkommt und deshalb ein Alarm erzeugt wird, der überflüssig ist. In einer Intrusion Prevention Umgebung dagegen hat die Blockier-Reaktion des IPS auf einen Fehlalarm schlimme Folgen, da die Kommunikation unschuldiger Personen blokkiert wird, falls das IPS innerhalb der Kommunikation fälschlicherweise glaubt, einen Angriff zu erkennen. In der Praxis werden solche Systeme deshalb während einer Testphase meist sehr schnell wieder außer Betrieb genommen. Die Reaktion der Hersteller und Berater auf dieses Problem ist gelegentlich das Feintuning der Erkennungsmuster und Regeln. Dabei versucht ein Berater, die Empfindlichkeit der Erkennung optimal einzustellen. Die entscheidende Frage ist, wo dieses Optimum liegt. Bei einem reinen IDS wird man einen Mittelweg suchen, bei dem weniger Fehlalarme auftreten, aber dennoch kritische Angriffe erkannt werden. Eine gewisse Menge von Fehlalarmen wird dabei aber bleiben. Bei einem IPS mit automatischer Blockade kann man sich diese Fehlalarme aber nicht leisten. Ein IPS, das nur zehn Fehlalarme pro Tag erzeugt, bedeutet wahrscheinlich auch, dass sich zehnmal Anwender oder Manager beschweren, weil die Netzwerk-Infrastruktur nicht funktioniert. Um ein solches IPS dennoch betreiben zu können, muss sich das System auf die Erkennung der wenigen, eindeutig identifizierbaren Angriffe beschränken. Ganz andere Eigenschaften haben Intrusion Prevention Systeme, die nicht auf der Technologie klassischer, netzwerkbasierter Intrusion Detection Systeme aufbauen. Dazu gehören Systeme, die auf den Servern oder Arbeitsplätzen das Verhalten ablaufender Prozessen überwachen und anhand einer Policy beschränken oder aber netzwerkbasierte Systeme, die mit dem Angreifer interagieren, um seine Intention herauszufinden. Die Identifikation von Angreifern durch Nachweis ihrer Intention, ist eine Idee, die von der Firma ForeScout erstmalig in einem Produkt umgesetzt wurde. Der so genannte ActiveScout versucht erst gar nicht viele tausend Muster von potentiellen Angriffen zu erkennen, denn der musterbasierte Ansatz ist neben seinen Problemen mit Fehlalarmen auch ein dauerhafter Wettlauf gegen die Hacker, den man nie gewinnen kann. Jede neue Angriffsmethode muss zunächst bekannt werden, um dann in einem Muster abgebildet werden zu können. Da täglich neue Verwundbarkeiten von Systemen bekannt werden und Hacker ständig neue Werkzeuge entwickeln, um diese Verwundbarkeiten auszunutzen, muss ein musterbasiertes IDS ständig aktualisiert werden. Zwischen dem Erscheinen eines neuen Angriffs, der Verfügbarkeit eines Updates und dem tatsächlichen Einspielen der Updates auf allen Sensoren entsteht ein Zeitfenster, in dem man schutzlos ist. ForeScout geht deshalb einen anderen Weg. Nahezu alle tatsächlich durchgeführten Angriffe haben eine Gemeinsamkeit im Vorgehen des Angreifers. Dieses Vorgehen ist meist in mehrere Phasen gegliedert. Die erste Phase dient der Informationsgewinnung, die zweite dem Angriff über das Netz und weitere Phasen der Ausweitung seiner Rechte und dem Verwischen seiner Spuren. Zunächst wird ein Angreifer also nach Verwundbarkeiten suchen und erst wenn er weiß, wo er angreifen kann, wird er den ersten Angriffsversuch starten. Die Methoden, die in der ersten Phase des Angriffs zur Informationsgewinnung verwendet werden, sind überschaubar und relativ einfach zu erkennen. Im Gegensatz zu über verschiedenen Mustern, die ein klassisches, netzwerkbasiertes Intrusion Detection System kennt, um Angriffe zu identifizieren, ist es in der frühen Phase ausreichend, 15 bis 20 verschiedene Methoden der Informationsgewinnung zu erkennen. Selbstverständlich reicht das Sammeln von Informationen nicht aus, um auf einen tatsächlichen Angriff zu schließen. Forescout beantwortet deshalb diese Informations-Sammel-Zugriffe mit vorgetäuschten Schwachstellen auf vorgetäuschten Systemen. Mit geschickten dynamischen und lernfähigen Mechanismen wird der potentielle Angreifer in die Irre geführt. Er kann nicht zwischen möglicherweise tatsächlich vorhandenen Schwachstellen und vorgetäuschten Schwachstellen auf Servern, die es gar nicht gibt, unterscheiden. Sobald er jedoch versucht, eine vorgetäuschte Schwachstelle auszunutzen, ist er entlarvt. Es ist jetzt sicher,

4 dass er nicht nur Informationen sammelt oder nur zufällig auf eine falsche Adresse zugegriffen hat. Durch den Zusammenhang seines Verhaltens - dem gezielten Suchen nach Schwachstellen und dem darauf folgenden Angriffsversuch ist die Intention des Angreifers bekannt und er kann ausgesperrt werden. Dieses Prinzip erinnert in Teilen an bereits existierende Honey-Pot-Systeme. Im Gegensatz zu diesen wird ein Einbruch jedoch nicht zugelassen, sondern nur Schwachstellen vorgetäuscht. Sobald ein potentieller Angreifer tatsächlich versucht auf die Schwachstellen zuzugreifen, wird er blockiert. Diese Methode der Erkennung der Intention eines Angreifers impliziert einige interessante Aspekte: Durch die Erkennung der Intention eines potentiellen Angreifers kann er ausgesperrt werden, bevor er überhaupt gefährliche Daten an ein Opfer schicken kann. Die üblichen Methoden, wie das Einfügen temporärer Firewall-Regeln, können bei rechtzeitiger Reaktion noch funktionieren. Das IPS kann sich auf die Überwachung von Zugriffen auf vorgetäuschte Verwundbarkeiten beschränken. Es müssen nicht alle anderen Datenströme mitverfolgt werden. Deshalb ist die Performance weit weniger kritisch als bei einem musterbasierten IDS und die oben beschriebene Verifikation von Quelladressen lässt sich durchführen. Da das System nicht auf der Erkennung bekannter Muster basiert, müssen auch nicht ständig neue Muster aktualisiert werden. Die Intentions-Erkennung liefert keine falschen Alarme, da tatsächlich eine Interaktion zwischen dem Angreifer und dem IPS stattfindet, die sich nur mit sehr viel Phantasie als ungewollt oder zufällig begründen lässt. Da es keine falschen Alarme mehr gibt, können sinnvolle statistische Auswertungen aus den erkannten Angriffen erzeugt werden. Dieses Funktionsprinzip löst selbstverständlich auch nicht alle Sicherheitsprobleme der heutigen Zeit. Ein fiktiver Angreifer, der genau weiß, wohin er will und auf jedes Auskundschaften verzichtet, würde von dem oben beschriebenen System nicht erkannt. Gleiches gilt für Würmer wie den SQL-Slammer, die anstelle einer Informationsgewinnung in einem einzigen Paket schon den vollständigen Angriff an zufällige Adressen verschicken. Dennoch ist das Prinzip der Intentionserkennung von ForeScout, die als erster Hersteller dieses implementiert haben, ein sehr interessantes neues Feature. Es wird sicherlich in den nächsten Jahren von anderen Herstellern nachgebaut werden, denn es ergänzt andere Sicherheitssysteme um einen wichtigen Punkt: die Erkennung und Abwehr neuer Angriffstechniken, für die es bei klassischen Intrusion Detection Systemen noch keine Vergleichsmuster gibt. Dabei ist es unerheblich, ob der Angreifer eine reale Person oder ein Wurm-Programm ist. Außerdem sind die Betriebskosten einer solchen Lösung im Vergleich zu einer klassischen IDS-Lösung verschwindend gering. Im Bereich der Web-Applikationen gibt es ebenso wie bei hostbasierten Systemen den Begriff der Intrusion Prevention. Näheres dazu erfahren Sie im zweiten Teil dieses Artikels. Autor: Stefan Strobel, Geschäftsführer der Firma cirosec und Autor diverser Fachbücher, die in mehreren Sprachen erschienen sind.

5 Teil II des Artikels Der Wandel von Intrusion Detection zu Intrusion Prevention Im Bereich der Web-Applikationen gibt es ebenfalls den Begriff der Intrusion Prevention. Die Systeme, die sich auf Web-Applikations-IPS spezialisiert haben, arbeiten jedoch auf einer anderen Ebene. Sie lernen teilweise automatisch die benötigten URLs jeder Applikation, die erlaubten Wertebereiche, Zeichen und Längen von Eingabewerten und bauen daraus eine Policy auf, gegen die jeder http-request geprüft wird. Zusätzlich überwachen sie den Status der Benutzersessions. Die heute verfügbaren Produkte dieser Kategorie arbeiten vor allem als Reverse-Proxies, die vor den Webserver geschaltet werden und im Gegensatz zu klassischen Reverse-Proxies nicht nur die http-protokollebene betrachten, sondern die semantische Integrität jedes einzelnen Eingabefeldes in jeder Benutzermaske auf seine individuellen Beschränkungen hin prüfen. Moderne Angriffe wie SQL-Injection, Parameter Tampering, Hidden Manipulation und viele andere Angriffe auf Web Applikationen lassen sich damit ausschließen, bevor sie überhaupt zum Webserver gelangen. Da bei diesem Funktionsprinzip gefährliche Inhalte für jeden Request einzeln betrachtet werden, kann es nicht zu Denial-of-Service-Angriffen wie bei klassischen IDS- bzw. IPS- Lösungen kommen. Bei korrekter Konfiguration sind Blockaden von unschuldigen Anwendern nahezu ausgeschlossen. Die Produktbezeichnungen solcher Systeme variieren zwischen Web Application Filter bzw. kurz WAF und Web Application IPS. Als Hersteller sind vor allem KaVaDo, Sanctum und Teros zu nennen, die schon seit mehreren Jahren auf diesem Gebiet tätig sind. Stark verwandt mit den gerade beschriebenen aktiv in die Kommunikation eingreifenden Systemen sind Web-Applikations-IPS-Produkte, die nicht als Reverse-Proxies im Datenstrom eingeschaltet sind und filtern, sondern analytisch die Kommunikation der Applikations-Elemente auf Anwendungsebene betrachten und auf Angriffe reagieren. Solche Systeme zeigen daher nicht nur mit Web-Applikations-Filtern eine Ähnlichkeit, sondern auch mit klassischen Intrusion Detection Systemen. Im Gegensatz zu einem IDS arbeiten sie jedoch auf Anwendungsebene. Statt nach Mustern im Netzwerk-Traffic zu suchen, werden individuelle Angriffe in der Anwendungskommunikation erkannt, die von einem gelernten Profil der Applikation abweichen. Benutzereingaben, die außerhalb der vorgesehenen Wertebereiche liegen, können dadurch ebenso erkannt werden wie SQL Injection. Als Reaktion auf einen erkannten Angriff bietet ein solches System die klassischen Methoden der Blockade und zusätzliche noch das automatische Ausloggen und Sperren eines Benutzers in der Applikation. Der einzige Hersteller, der bisher ein solches System auf den Markt gebracht hat, ist die Firma WebCohort mit ihrem Produkt SecureSphere.

6 Ein völlig anderer Bereich der Intrusion Prevention Welt sind die hostbasierten Systeme. Sie laufen als Agenten auf allen zu sichernden Servern und Desktops und kontrollieren dort möglichst im Betriebssystemkern alle Ressourcen-Zugriffe der Applikationen. Bösartige Zugriffe wie beispielsweise ein schreibender Zugriff auf System-Bibliotheken oder Registry-Einträge, kann direkt verhindert werden. Die Entscheidungsgrundlage, ob ein Zugriff erlaubt oder verboten werden soll, bildet eine individuelle oder zentrale Policy, die entweder vom Hersteller für übliche Anwendungen mitgeliefert wird oder die in einem Lernmodus automatisiert erstellt werden kann. In der Praxis wird eine sehr aufwändige und detaillierte Policy nur selten verwendet, da schon eine relativ oberflächliche Policy viele gefährliche Aktionen verhindert. Mit wenigen Regeln kann beispielsweise verhindert werden, dass ein Netzwerkdienst wie der Webserver IIS unbekannte externe Programme startet, dass Betriebssystem-Komponenten manipuliert oder dass Hintertüren ins System eingebracht werden. Im Vergleich zu klassischen hostbasierten Intrusion Detection Systemen ist ein solches hostbasiertes IPS viel interessanter. In beiden Fällen müssen Agenten auf die zu schützenden Systeme installiert werden. Während das IDS aber nur aus sekundären Informationsquellen wie Logdateien Events erkennt und Alarm schlägt, kann das IPS direkt am Ort des Geschehens illegale Zugriffe auf System-Ressourcen verhindern. Die Alarmierung besteht in diesem Fall nur aus einer Information an den Administrator, dass ein illegaler Zugriff von einer bestimmten Applikation verhindert wurde. Eine schnelle Reaktion ist nicht mehr nötig, da der Schaden erst gar nicht entstanden ist. Hostbasierte Intrusion Prevention Systeme sind neben dem Schutz vor Hackern nebenbei auch ein Schutz vor Viren und Würmern. Dadurch, dass die Ressourcen-Zugriffe stark kon-

7 trolliert werden, wird ein Virus, der sich im System ausbreiten möchte, automatisch erkannt und blockiert, denn ein schreibender Zugriff auf andere Programme ist in der Regel verboten. Analog zu dem netzwerkbasierten Intrusion Prevention System von Forescout kann hier das Problem der Latenzzeiten zwischen dem Erscheinen eines neuen Virus oder Wurms und dem Muster-Update der Virenscanner gelöst werden, denn hostbasierte Intrusion Prevention Systeme benötigen keine Muster Neben der reinen Policy-basierten Kontrolle von Ressourcen-Zugriffen, versuchen einige Hersteller auch mit anderen Methoden das Verhalten der ablaufenden Programme zu erfassen. Falls sich ein Programm beispielsweise in die Verarbeitung von Tastendrücken einklinkt, so muss dies für sich alleine betrachtet kein gefährliches Verhalten sein. Ebenso ist die Kommunikation über das Internet zunächst kein gefährliches Verhalten. Die Kombination jedoch, wenn ein Programm jeden Tastendruck erfasst und die erfassten Daten über das Netz versendet, deutet darauf hin, dass es entweder ein bekanntes Fernwartungsprogramm ist oder ein Wurm, der die Tatstatur abhört und jeden Tastendruck an einen Angreifer übermittelt. Zusammenfassend kann man sagen, dass es sehr viele verschiedene Interpretationen des Intrusion Prevention Begriffs gibt. Fast jeder Hersteller hat hier seine eigene Vorstellung und die dahinter liegenden Technologien sind stark verschieden und schützen vor unterschiedlichen Gefahren. Das folgende Bild zeigt eine schematische Übersicht über die wichtigsten heute verfügbaren Arten von IPS: Autor: Stefan Strobel, Geschäftsführer der Firma cirosec und Autor diverser Fachbücher, die in mehreren Sprachen erschienen sind.