Besser vorbeugen

Inhaltsverzeichnis

Das neueste Schlagwort bei Firewall-Herstellern ist Intrusion Prevention - das Verhindern von Angriffen. Nicht ganz unbeabsichtigt klingt dabei im englischen "Prevention" eine beruhigende Assoziation von vorbeugendem Schutz mit. Intrusion Prevention Systeme (IPS) sollen Angriffe - bekannte und unbekannte - erkennen und den zugehörigen Datenstrom blockieren, bevor er sein Ziel erreicht. Check Point, Marktführer bei den Software-Firewalls, hat seine Firewall-1 NG dazu mit der so genannten Application Intelligence Technology ausgestattet, Appliance-Hersteller wie NetScreen, Symantec und ISS ziehen bereits nach.

Die Funktionsweise von Intrusion Prevention ist bei allen Systemen recht ähnlich: IPS sitzen als Firewall an zentraler Stelle zwischen zwei Netzwerkkarten und entscheiden, welche Pakete passieren dürfen und welche nicht. Das kann entweder vor einem Web-Server geschehen (unsichtbar im Bridge-Modus), oder als Firmen-Firewall zum Schutz eines ganzen LAN. Zusätzlich zu herkömmlichen Regelsätzen auf Basis von Verbindungszustand, Adressen und Ports arbeiten IPS auch mit Signaturen bekannter Angriffe. Ein

mail from|3a20227c|

in der Kommunikation mit einem Mail-Server ist ein deutlicher Hinweis, dass da jemand versucht, einen alten Sendmail-Angriff durchzuführen. Ein Paket mit diesem SMTP-Kommando verwirft das IPS-System und verhindert damit einen möglichen Einbruch auf einem nicht gepatchten Mail-Server.

Dabei sucht ein IPS nicht einfach dumm in den TCP-Nutzdaten nach der jeweiligen Zeichenkette. Um die Gefahr von Fehlalarmen zu reduzieren, interpretiert es den Internet-Verkehr und stellt beispielsweise fest, welcher Dienst gerade angesprochen wird und zu welchem Teil der Kommunikation die Daten gehören. So bedeutet die Eingabe von "root" auf dem Login-Prompt eines Telnet- oder FTP-Servers ziemlich sicher, dass da etwas passiert, was der Security-Policy widerspricht. Nach dem erfolgreichen Login ist diese Zeichenkette jedoch unter Umständen ein ganz normaler Bestandteil eines Dateinamens. Deshalb ist es essenziell, dass ein IPS die zu überwachenden Protokolle versteht.

Um auch präventiv unbekannte Angriffe zu erkennen, überwachen IPS auch die Einhaltung von Protokollspezifikationen. Das heißt, sie erkennen, dass es sich bei einer TCP-Verbindung um Kommunikation zwischen zwei Mail-Servern handelt (SMTP) und kontrollieren, ob die Daten tatsächlich RFC 2821 genügen. Folgt nach einem "RCPT To:" keine gültige Mail-Adresse, wird das Paket verworfen. So lassen sich beispielsweise Buffer-Overflow-Exploits abfangen, ohne dass man die konkrete Schwachstelle oder gar den Exploit kennt.

Natürlich gibt es durchaus Angriffe, vor denen ein IPS kaum Schutz bieten kann. Gelingt es beispielsweise via Code-Injection ein SQL-Statement wie "delete * from kunden" an ein schlampig programmiertes CGI-Skript und über dieses an die Datenbank zu übermitteln, hat das IPS kaum eine Chance zu erkennen, dass hier unter Umständen unberechtigt die gesamte Kundendatenbank gelöscht wird. Um erwünschte von unerwünschten SQL-Abfragen zu unterscheiden, müsste das IPS viel zu viel über die Logik der jeweiligen Applikation wissen.