Marktübersicht IDS/IPS
Ordnungsmerkmale
erschienen in: <kes> 2005#4, Seite 57
Rubrik: Systeme und ihr Umfeld
Schlagwort: Intrusion Detection / Prevention Systems
Zusammenfassung: 25 Anbieter von Intrusion Detection / Prevention Systems haben der <kes> auf Nachfrage Auskunft über 32 Lösungen zur Angriffserkennung und -abwehr gegeben.
Der Markt von Intrusion Detection (IDS) und Prevention Systems (IPS) ist in den letzten Jahren deutlich gewachsen. Naturgemäß kann eine vergleichende Übersicht in Tabellenform nicht jedem Detail eines Produktes gerecht werden; eine beschreibende Darstellung würde hingegen die Übersicht deutlich erschweren. Wir haben daher die gedruckte Tabelle auf wesentliche Vergleichskriterien beschränkt – in der Internet-Fassung, die in das Java-Recherche-Tool InfoZoom eingebettet ist, finden Sie noch einige zusätzliche Informationen der Anbieter als "Freitexte" (siehe www.kes.info/IDS/).
Erläuterungen zur Tabelle
- Produkt verfügbar als: Mit Komplettsystem ist handelsübliche Hardware mit vorinstallierter Software gemeint. Im Unterschied dazu bezeichnet Appliance ein System mit proprietärer Hardware.
- Analyse: Missbrauchserkennung ist Angriffsmustererkennung durch Signaturen und Pattern Matching. Bei der Anomalie-Erkennung versucht ein IDS hingegen, auf verschiedene Art und Weise, eine Attacke zu erkennen: Entweder logisch durch eine Protokollanalyse oder statistisch, indem Abweichungen vom vorher festgelegten "Normalverhalten" im Netzwerk gemeldet werden; fortlaufende Justierung bedeutet in diesem Fall, dass die Normal-Parameter ständig angeglichen werden. Die Angabe KI kennzeichnet die Auswertung durch ein Expertensystem mit "künstlicher Intelligenz" (KI), Falle das Vorhandensein eines so genannten Honeypot-Systems, bei dem man versucht, Angreifer in eine künstliche, besonders beobachtete Umgebung zu locken, wo keine rechtmäßigen Zugriffe zu erwarten wären. Randbedingungen beantwortet, ob sicherheitsrelevante Randbedingungen (Tageszeit, Urlaubs-/Feiertage usw.) berücksichtigt werden können.
- Host/Network IDS: Unter Host IDS sind alle Überwachungsmaßnahmen zusammengefasst, die auf Basis eines einzelnen Systems greifen (Agenten, Logfile-Auswertungen, Applikationsüberwachung usw.), als Network IDS sind hingegen alle Maßnahmen auf Netzwerk-Basis zu verstehen (Sniffer-Prozesse, Appliance, Gateway im Datenstrom usw.).
- Integritätsüberwachung: gemeint ist die Überwachung des Host-Systems durch Prüfsummen oder Ähnliches, im Gegensatz zur Selbstüberwachung der Agenten, bei der es um einen "Eigenschutz" für die Integrität von IDS-Komponenten geht.
- Stealth-Scan-Erkennnung: Bei Stealth Scans vollziehen Angreifer(-Tools) keinen vollständigen Verbindungsaufbau, sondern schicken beispielsweise nur ein FIN-Paket. Unicode-Erkennung: Können die Network-IDS-Komponenten Unicode-Sequenzen dekodieren?
- Administration: Lassen sich Alarmkriterien vom IDS-Anwender per temporärem Override außer Kraft setzen? Mit Adhoc-Anfragen ist die Möglichkeit für den Bediener gemeint, bei Bedarf ohne Regelwerk Anfragen an das IDS zu stellen, um bestimmte Parameter zu ergründen. Eine weitere Frage behandelt, ob das IDS ein Rollen-/Mehrbenutzerkonzept für IDS-Anwender/-Administratoren unterstützt. Nicht zuletzt ist wichtig, ob sich externe Informationsquellen (Advisories usw.) in die IDS-Administration einbinden lassen, sodass der Bediener eine integrierte Nachschlagemöglichkeit besitzt.
- Kommunikation der IDS-Komponenten: Neben der Frage, ob diese Kommunikation verschlüsselt und/oder signiert stattfindet, ist interessant, ob das IDS ein separates Netzwerk-Interface (IDS-Netzwerk) unterstützt, sodass Rückwirkungen durch das angegeriffene Netz ausgeschlossen sind.
- Auditdaten-Schutz: Wird die Authentizität der Audit-Daten (Logfiles) des IDS sichergestellt? Können personenbezogene Benutzerdaten vor dem Speichern der Audit-Daten pseudonymisiert werden?
- Software-Start/-Stopp: Kann das IDS Prozesse (Applikationen, Skripte usw.) starten oder stoppen, um eine Alarmierung oder Gegenmaßnahmen auszulösen?
- Audit-Maßnahmen: Mit passiv ist die Rückwirkung auf die Protokollierung gemeint: Lassen sich Menge und Detailgrad der Log-Daten als Reaktion auf einen erkannten Angriff beeinflussen? Aktives Audit bezeichnet hingegen die Möglichkeit, eine aktive Datensammlung über erkannte Angreifersysteme zu starten (z. B. per finger, identd, OS-Fingerprinting, Portscan usw.).
- Weitere Gegenmaßnahmen: TCP-Reset bezeichnet das Zurücksetzen/Unterbrechen von TCP-Verbindungen. Kann das IDS durch Änderung von Einträgen im Domain Name System (DNS) oder Routing reagieren? Lassen sich Firewall-Konfigurationen (Regeln) oder die Zugriffsrechte von Benutzern/Servern auf angegriffenen Systemen (temporär) umkonfigurieren?
Marktübersichts-Tabelle
Marktübersichtstabelle Teil 1 als JPG (ca. 850 kByte)
Marktübersichtstabelle Teil 2 als JPG (ca. 850 kByte)
Marktübersichtstabelle Teil 3 als JPG (ca. 850 kByte)
Marktübersichtstabelle Teil 4 als JPG (ca. 650 kByte)
Marktübersichtstabelle als interaktive Tabelle (InfoZoom, erfordert Java)
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#4, Seite 57