Marktübersicht IDS/IPS

Ordnungsmerkmale

erschienen in: <kes> 2011^#3, Seite 64

Rubrik: Systeme und ihr Umfeld

Schlagwort: Intrusion Detection / Prevention Systems

Zusammenfassung: 19 Anbieter von Intrusion-Detection-/-Prevention-Systems haben der <kes> auf Nachfrage Auskunft über 26 Lösungen zur Angriffserkennung und -abwehr gegeben.

Naturgemäß kann eine vergleichende Übersicht in Tabellenform nicht jedem Detail eines Intrusion-Detection- (IDS) oder -Prevention-Systems (IPS) gerecht werden; eine beschreibende Darstellung würde hingegen die Übersicht deutlich erschweren. Wir haben daher die gedruckte Tabelle auf wesentliche Vergleichskriterien beschränkt – in der Internet-Fassung, die in das Java-Recherche-Tool InfoZoom eingebettet ist, finden Sie noch einige zusätzliche Informationen der Anbieter als "Freitexte" (siehe www.kes.info/IDS/).

Erläuterungen zur Tabelle

Produkt verfügbar als: Mit Komplettsystem ist handelsübliche Hardware mit vorinstallierter Software gemeint. Im Unterschied dazu bezeichnet Appliance ein System mit proprietärer Hardware.
Analyse: Missbrauchserkennung ist Angriffsmustererkennung durch Signaturen und Pattern-Matching. Bei der Anomalie-Erkennung versucht ein IDS hingegen, auf verschiedene Art und Weise, eine Attacke zu erkennen: Entweder logisch durch eine Protokollanalyse oder statistisch, indem Abweichungen vom vorher festgelegten "Normalverhalten" gemeldet werden; fortlaufende Justierung bedeutet dabei, dass die Normal-Parameter ständig angeglichen werden. Die Angabe KI kennzeichnet die Auswertung durch ein Expertensystem mit "künstlicher Intelligenz" (KI), Falle das Vorhandensein eines so genannten Honeypot-Systems. Randbedingungen beantwortet, ob sicherheitsrelevante Randbedingungen (Tageszeit, Urlaubs-/Feiertage usw.) berücksichtigt werden können.
Host/Network-IDS: Unter Host-IDS sind alle Überwachungsmaßnahmen zusammengefasst, die auf Basis einzelner Systeme greifen (Agenten, Logfile-Auswertungen usw.), als Network-IDS sind hingegen alle Maßnahmen auf Netzwerk-Basis zu verstehen (Sniffer, Appliance, Gateway im Datenstrom usw.).
Integritätsüberwachung: gemeint ist die Überwachung des Host-Systems durch Prüfsummen oder Ähnliches, im Gegensatz zur Selbstüberwachung der Agenten, bei der es um einen "Eigenschutz" für IDS-Komponenten geht.
Stealth-Scan-Erkennnung: Bei Stealth Scans vollziehen Angreifer(-Tools) keinen vollständigen Verbindungsaufbau, sondern schicken beispielsweise nur ein FIN-Paket. Unicode-Erkennung: Können die Network-IDS-Komponenten Unicode-Sequenzen dekodieren?
Administration: Lassen sich Alarmkriterien vom IDS-Anwender per temporärem Override außer Kraft setzen? Mit Adhoc-Anfragen ist die Möglichkeit für den Bediener gemeint, bei Bedarf ohne Regelwerk Anfragen an das IDS zu stellen, um bestimmte Parameter zu ergründen. Eine weitere Frage behandelt, ob das IDS ein Rollen-/Mehrbenutzerkonzept unterstützt. Nicht zuletzt ist wichtig, ob sich externe Informationsquellen (Advisories usw.) einbinden lassen, sodass der Bediener eine integrierte Nachschlagemöglichkeit besitzt.
Kommunikation der IDS-Komponenten: Neben der Frage, ob diese Kommunikation verschlüsselt und/oder signiert stattfindet, ist interessant, ob das IDS ein separates Netzwerk-Interface (IDS-Netzwerk) unterstützt.
Auditdaten-Schutz: Wird die Authentizität der Logfiles des IDS sichergestellt? Können personenbezogene Benutzerdaten vor dem Speichern der Audit-Daten pseudonymisiert werden?
Software-Start/-Stopp: Kann das IDS Prozesse (Applikationen, Skripte usw.) starten oder stoppen, um eine Alarmierung oder Gegenmaßnahmen auszulösen?
Audit-Maßnahmen: Mit passiv ist die Rückwirkung auf die Protokollierung gemeint: Lassen sich Menge und Detailgrad der Log-Daten als Reaktion auf einen erkannten Angriff beeinflussen? Aktives Audit bezeichnet hingegen die Möglichkeit, eine aktive Datensammlung über erkannte Angreifersysteme zu starten (z. B. per finger, identd, OS-Fingerprinting, Portscan usw.).
Weitere Gegenmaßnahmen: TCP-Reset bezeichnet das Zurücksetzen/Unterbrechen von TCP-Verbindungen. Kann das IDS durch Änderung von Einträgen im Domain Name System (DNS) oder Routing reagieren? Lassen sich Firewall-Konfigurationen (Regeln) oder Zugriffsrechte von Benutzern/Servern auf angegriffenen Systemen (temporär) ändern?