Impressum
Aktuelles
Unternehmensprofil
Sicherheitsloesungen
Dienstleistungen
Trainings
Presse
Startseite
Aktuelles
Pressemeldungen
Veröffentlichungen
Veranstaltungen
Newsletter

Teil II des Artikels „Der Wandel von Intrusion Detection zu Intrusion Prevention“

Im Bereich der Web-Applikationen gibt es ebenfalls den Begriff der Intrusion Prevention. Die Systeme, die sich auf Web-Applikations-IPS spezialisiert haben, arbeiten jedoch auf einer anderen Ebene. Sie lernen teilweise automatisch die benötigten URLs jeder Applikation, die erlaubten Wertebereiche, Zeichen und Längen von Eingabewerten und bauen daraus eine Policy auf, gegen die jeder http-Request geprüft wird. Zusätzlich überwachen sie den Status der Benutzersessions.
Die heute verfügbaren Produkte dieser Kategorie arbeiten vor allem als Reverse-Proxies, die vor den Webserver geschaltet werden und im Gegensatz zu klassischen Reverse-Proxies nicht nur die http-Protokollebene betrachten, sondern die semantische Integrität jedes einzelnen Eingabefeldes in jeder Benutzermaske auf seine individuellen Beschränkungen hin prüfen.
Moderne Angriffe wie SQL-Injection, Parameter Tampering, Hidden Manipulation und viele andere Angriffe auf Web Applikationen lassen sich damit ausschließen, bevor sie überhaupt zum Webserver gelangen.

 

Da bei diesem Funktionsprinzip gefährliche Inhalte für jeden Request einzeln betrachtet werden, kann es nicht zu Denial-of-Service-Angriffen wie bei klassischen IDS- bzw. IPS-Lösungen kommen. Bei korrekter Konfiguration sind Blockaden von unschuldigen Anwendern nahezu ausgeschlossen.
Die Produktbezeichnungen solcher Systeme variieren zwischen „Web Application Filter“ bzw. kurz WAF und Web Application IPS. Als Hersteller sind vor allem KaVaDo, Sanctum und Teros zu nennen, die schon seit mehreren Jahren auf diesem Gebiet tätig sind.

Stark verwandt mit den gerade beschriebenen aktiv in die Kommunikation eingreifenden Systemen sind Web-Applikations-IPS-Produkte, die nicht als Reverse-Proxies im Datenstrom eingeschaltet sind und filtern, sondern analytisch die Kommunikation der Applikations-Elemente auf Anwendungsebene betrachten und auf Angriffe reagieren. Solche Systeme zeigen daher nicht nur mit Web-Applikations-Filtern eine Ähnlichkeit, sondern auch mit klassischen Intrusion Detection Systemen. Im Gegensatz zu einem IDS arbeiten sie jedoch auf Anwendungsebene. Statt nach Mustern im Netzwerk-Traffic zu suchen, werden individuelle Angriffe in der Anwendungskommunikation erkannt, die von einem gelernten Profil der Applikation abweichen. Benutzereingaben, die außerhalb der vorgesehenen Wertebereiche liegen, können dadurch ebenso erkannt werden wie SQL Injection. Als Reaktion auf einen erkannten Angriff bietet ein solches System die klassischen Methoden der Blockade und zusätzliche noch das automatische Ausloggen und Sperren eines Benutzers in der Applikation. Der einzige Hersteller, der bisher ein solches System auf den Markt gebracht hat, ist die Firma WebCohort mit ihrem Produkt SecureSphere.

Ein völlig anderer Bereich der Intrusion Prevention Welt sind die hostbasierten Systeme. Sie laufen als Agenten auf allen zu sichernden Servern und Desktops und kontrollieren dort möglichst im Betriebssystemkern alle Ressourcen-Zugriffe der Applikationen. Bösartige Zugriffe wie beispielsweise ein schreibender Zugriff auf System-Bibliotheken oder Registry-Einträge, kann direkt verhindert werden. Die Entscheidungsgrundlage, ob ein Zugriff erlaubt oder verboten werden soll, bildet eine individuelle oder zentrale Policy, die entweder vom Hersteller für übliche Anwendungen mitgeliefert wird oder die in einem Lernmodus automatisiert erstellt werden kann. In der Praxis wird eine sehr aufwändige und detaillierte Policy nur selten verwendet, da schon eine relativ oberflächliche Policy viele gefährliche Aktionen verhindert. Mit wenigen Regeln kann beispielsweise verhindert werden, dass ein Netzwerkdienst wie der Webserver IIS unbekannte externe Programme startet, dass Betriebssystem-Komponenten manipuliert oder dass Hintertüren ins System eingebracht werden. Im Vergleich zu klassischen hostbasierten Intrusion Detection Systemen ist ein solches hostbasiertes IPS viel interessanter. In beiden Fällen müssen Agenten auf die zu schützenden Systeme installiert werden. Während das IDS aber nur aus sekundären Informationsquellen wie Logdateien Events erkennt und Alarm schlägt, kann das IPS direkt am Ort des Geschehens illegale Zugriffe auf System-Ressourcen verhindern. Die Alarmierung besteht in diesem Fall nur aus einer Information an den Administrator, dass ein illegaler Zugriff von einer bestimmten Applikation verhindert wurde. Eine schnelle Reaktion ist nicht mehr nötig, da der Schaden erst gar nicht entstanden ist.

Hostbasierte Intrusion Prevention Systeme sind neben dem Schutz vor Hackern nebenbei auch ein Schutz vor Viren und Würmern. Dadurch, dass die Ressourcen-Zugriffe stark kontrolliert werden, wird ein Virus, der sich im System ausbreiten möchte, automatisch erkannt und blockiert, denn ein schreibender Zugriff auf andere Programme ist in der Regel verboten. Analog zu dem netzwerkbasierten Intrusion Prevention System von Forescout kann hier das Problem der Latenzzeiten zwischen dem Erscheinen eines neuen Virus oder Wurms und dem Muster-Update der Virenscanner gelöst werden, denn hostbasierte Intrusion Prevention Systeme benötigen keine Muster.

Neben der reinen Policy-basierten Kontrolle von Ressourcen-Zugriffen, versuchen einige Hersteller auch mit anderen Methoden das Verhalten der ablaufenden Programme zu erfassen. Falls sich ein Programm beispielsweise in die Verarbeitung von Tastendrücken einklinkt, so muss dies für sich alleine betrachtet kein gefährliches Verhalten sein. Ebenso ist die Kommunikation über das Internet zunächst kein gefährliches Verhalten. Die Kombination jedoch, wenn ein Programm jeden Tastendruck erfasst und die erfassten Daten über das Netz versendet, deutet darauf hin, dass es entweder ein bekanntes Fernwartungsprogramm ist oder ein Wurm, der die Tatstatur abhört und jeden Tastendruck an einen Angreifer übermittelt.

Zusammenfassend kann man sagen, dass es sehr viele verschiedene Interpretationen des Intrusion Prevention Begriffs gibt. Fast jeder Hersteller hat hier seine eigene Vorstellung und die dahinter liegenden Technologien sind stark verschieden und schützen vor unterschiedlichen Gefahren.

Das folgende Bild zeigt eine schematische Übersicht über die wichtigsten heute verfügbaren Arten von IPS:

Autor:
Stefan Strobel, Geschäftsführer der Firma cirosec und Autor diverser Fachbücher, die in mehreren Sprachen erschienen sind.

pdf-Datei

zurück
Bild Veroeffentlichungen