IPS-Systeme (Intrusion
Prevention System = Einbruch-Vermeidungs-System) sind den IDS-Systemen
(Intrusion Detection System = Einbruch-Erkennungs-System) sehr
ähnlich. Aber mit dem Ziel Angriffe zu verhindern und nicht
nur zu erkennen. Der Unterschied zwischen den beiden ist, dass das IPS
nicht nur in der Lage ist anormalen Netzwerkverkehr zu erkennen sondern
auch zu verarbeiten. Auf diese Weise ist es möglich eine
höhere Netzwerksicherheit zu erzielen. IPS sind Teile eines
Firewall-Systems.
Firewall-Systeme
Viele kennen die echte Bedeutung des Wortes Firewall nicht. Eine
Firewall ist ein Verbund aus Schutzsystemen für Computer
Netzwerke. Solch ein System besteht in der Regel aus Paket Filter,
Status Filter, IDS, IPS, Proxies, Netzwerk-Antivirenscanner, usw.
Deshalb ist es falsch zu glauben ein Computer mit Iptables ist eine
echte Firewall für ein Netzwerk. Iptables ist bloss ein Paket
und Status Filter. Es kann nur die Informationen in den Paketheadern
der durchlaufenden IP-Pakete verarbeiten (das Betrifft nur Sender- und
Empfängeradresse, Sender- und Empfängerport, das
benutzte Transport Protokoll, usw.). Ein Paket und Status Filter kann
zum Beispiel keine Analyse des Inhaltes (Payload) der Pakete machen.
Angenommen, jede Maschine aus dem Internet kann über den Port
80 auf unseren Webserver oder über den Port 25 auf den
E-Mailserver verbinden. Dann kann sie Pakete für einen Angriff
oder einen Virus durch das Iptables in unser Netzwerk schicken.
Iptables wird nur den Absender und den Empfänger
prüfen und den Inhalt ignorieren.
Das folgende Bild zeigt ein Beispiel für ein Firewall System.
Der graue Bereich stellt das System dar.
(1st DNS =
1. DNS / 2nd DNS = 2. DNS / Internal Network = Internes Netzwerk)
In diesem Fall wird das IPS, hier HLBR, vor den Iptables Paket Filter
plaziert. Somit kann auch der Iptables Computer selbst
geschützt werden. Das Bild zeigt eindeutig, dass es
unmöglich ist einen sinnvollen Grad an Sicherheit in einem
Netzwerk zu schaffen, wenn es nur ein Computer mit Paket und
Statusfilter usgestattet sind (so wie es für
gewöhnlich ist).
Schauen wir uns nun das folgende Bild an:
(Internal Network = Internes Netzwerk)
Ein weiterer HLBR wurde zwischen das interne Netzwerk und den
Netzwerkservern geschaltet, um eine noch grösseren Grad an
Sicherheit für die Netzwerkserver zu gewährleisten.
Zusätzlich wurde ein Honeypot oder ein Honeynet direkt nach
dem
Internet installiert, denn HLBR kann Angriffe direkt in den Honeypot
oder das Honeynetz umleiten.
Das Fazit ist, ein Firewall System muss immer aus mehreren
Sicherheitselementen bestehen. Jedes Element arbeitet auf seine eigene
Weise und kann kein anderes ersetzen.