Test: Zuverlässiger Netzwächter

24.05.2005
Von Christoph Lange
Die Intrusion-Prevention-Appliance "Tipping Point Unity One 100E" von 3Com besteht die Eignungsprüfung im Windows-Netz. Der Schutz ist seinen Preis wert.

Das vor wenigen Monaten durch 3Com übernommene Unternehmen Tipping Point brachte im Jahr 2002 eines der ersten Intrusion-Prevention-Systeme (IPS) auf den Markt. Die IPS-Appliances sind mittlerweile in unterschiedlichen Größen mit Durchsatzraten von 50 Mbit/s bis 5 Gbit/s erhältlich. Die computerwoche testete das neue Modell Tipping Point 100E mit 100 Mbit/s Durchsatz, das als erstes Mitglied der Produktfamilie über einen erweiterten DoS-Schutz (Denial of Service) verfügt. Realisiert wird dies über ein eigenes ASIC (Application Specific Integrated Circuit).

Mehr als 700 Filter sofort aktiv

Im Auslieferzustand sind bereits 700 Signaturen und Filterregeln aktiviert, um ein Unternehmensnetz sofort vor Angriffen zu schützen. Insgesamt sind im System ungefähr 2000 Filter hinterlegt, wobei sich auch individuell erstellte Regeln hinzufügen lassen. Zudem versteht die Appliance etwa 170 Protokolle.

Viele IPS-Appliances basieren auf der Software "Snort", der Open-Source-Lösung für Intrusion Detection und Prevention. Die Produkte von Tipping Point dagegen verwenden eine eigene Technik. Laut Hersteller produziert das System dadurch weniger Fehlalarme (False Positives). Ein weiterer Unterschied liegt in der Art der Signaturen: Bei den meisten Anbietern gibt es für jeden Angriffspunkt eines Exploits (Schadprogramm, das eine bekannte Schwachstellen ausnutzt) eine eigene Signatur. Tipping Point geht hier einen anderen Weg und setzt Schwachstellenfilter ein, wobei jeder Filter mehrere Angriffspunkte des jeweiligen Exploits abdeckt. Dadurch kann die IPS-Appliance 100E flexibler auf Variationen eines bekannten Exploits reagieren.

Um Angriffsversuche zu entdecken, verwenden die Systeme von Tipping Point statistische Methoden, mit denen sich Anomalien in den Datenübertragungsmustern und in den Protokollen der übertragenen Pakete feststellen lassen sollen. Der Standardschutz vor Denial-of-Service-Angriffen (DoS) arbeitet mit Schwellwertfiltern, die veranlassen, dass der Datenverkehr blockiert oder begrenzt wird, sobald der Netzverkehr eine als normal definierte Prozentgrenze überschreitet. Darüber hinaus ist der DoS-Schutz in der Lage, SYN-Floods, Established-Connection-Floods und Connections-Per-Second-Floods abzuwehren.

Aktualisierungsservice für Signaturen und Filter

Damit die Filter und Signaturen der 100E-Appliance immer aktuell sind, bietet Tipping Point einen "Digital Vaccine Service" an. Der Hersteller arbeitet hierzu mit Qualys und mit SANS Institute zusammen und stellt mindestens einmal pro Woche ein Update zum Download bereit. Der Administrator erhält per E-Mail eine Benachrichtigung, dass Aktualisierungen verfügbar sind. Größere Unternehmen, die für die zentrale Verwaltung mehrerer IPS-Geräte die Verwaltungs-Appliance "Security Management System" (SMS) einsetzen, können darüber die Updates automatisch verteilen.

Tipping Point erweitert die empfohlenen Grundeinstellungen für Filter und Signaturen fortlaufend. Für den Update-Service und den Support ist pro Jahr ein Aufpreis von etwa 20 Prozent des Kaufpreises fällig, der für die 100E bei gut 20000 Euro liegt.

Einbindung in das Netzwerk an beliebigen Stellen

Das 100E-System lässt sich an beliebigen Stellen in das Netzwerk integrieren. Will der Anwender ausschließlich externe Angriffe abwehren, positioniert er das Gerät außerhalb der Firewall. Handelt es sich um eine Cisco-Firewall, lassen sich auch die Tipping-Point-Filter für "PIX"-Attacken nutzen. In vielen Fällen dürfte es aber sinnvoller sein, das Gerät innerhalb des Firmennetzes zu platzieren. Dadurch ist es in der Lage, auch interne Attacken zu erkennen.

Der gesamte Datenverkehr wird durch zwei Gigabit-Ethernet-Ports geleitet. Ein Port empfängt den ungefilterten Traffic, die überprüften und bereinigten Daten gelangen über den zweiten Anschluss zurück ins Netz, und zwar mit bis zu 100 Mbit/s. Die Box verhält sich für das übrige Netzwerk völlig transparent: Ihre beiden Ports haben weder eine IP- noch eine MAC-Adresse. VLAN- oder MPLS-Tags leitet das Gerät ebenfalls transparent weiter. Zur Systemverwaltung ist die 100E-Appliance zusätzlich mit einem Fast-Ethernet-Port ausgestattet.

Testnetz aus Windows-Rechnern

Um die IPS-Lösung Tipping Point 100E zu testen, wurde das Gerät im lokalen Testnetz als Schutzwall zwischen zwei Arbeitsgruppen platziert. Dabei war ein Port des 100E-Systems mit einem Gigabit-Ethernet-Switch verbunden, an dem ein Rechner mit Windows 2003 Server sowie ein Windows-XP-Client hingen. Der andere Port wurde über einen weiteren Switch an den Windows-Server der zweiten Arbeitsgruppe angeschlossen.

Solid State Disk ersetzt fehlerhaften USB-Stick

Die erste Version der 100E-Appliance speicherte das Betriebssystem inklusive Konfigurationsdaten auf einem USB-Stick, den der Administrator von vorne einstecken musste, bevor er das Gerät einschaltete. Inzwischen hat Tipping Point den USB-Stick durch eine "Solid State Disk" (nichtflüchtiger Arbeitsspeicher) ersetzt. Damit sollte auch ein Problem der Vergangenheit angehören, das im Test beim Upgrade der Systemsoftware auftrat: die Aktualisierung blieb bei 90 Prozent hängen, wodurch sich das Gerät nicht mehr in Betrieb nehmen ließ. Tipping Point lieferte kurzfristig eine neue 100E-Box, die bereits über eine Solid State Disk verfügte. Der Grund für das fehlgeschlagene Firmware-Upgrade lag laut Hersteller darin, dass das File-System des USB-Sticks beim Download beschädigt worden war.

Nach dem Hochfahren der 100E-Appliance zeigt das auf der Vorderseite angebrachte LC-Display den aktuellen Status an. Über Pfeiltasten kann der Administrator hier die grundlegenden Einstellungen vornehmen. Alternativ ist dies auch über die serielle Verbindung möglich. Im Test wurde der letztere Weg gewählt und über das "Hyperterminal" von Windows eine Session zu der Box aufgebaut. Ein Wizard führt den Administrator durch die Grundinstallation. Sie umfasst neben der Vergabe von Benutzername und Passwort auch die Konfiguration der IP-Adresse des Management-Ports. Nachdem diese eingestellt worden war, zeigte das LCD die neue Adresse an. Des Weiteren sind die Parameter für SSH, Telnet, HTTP/ HTTPS und SNMP einzugeben.

Anschließend ließ sich über den Internet Explorer einer Windows-XP-Workstation eine HTTPS-Verbindung zur 100E-Appliance aufbauen. Das lokale Management-System liefert Web-Seiten zur Verwaltung eines einzelnen Geräts. Dazu zählt auch das Update der Signaturen und Filter über die Website von Tipping Point, das problemlos klappte.

Besondere Maßnahmen für Ausfallsicherheit erforderlich

Da im jeweiligen Netzabschnitt der gesamte Datenverkehr durch die Tipping-Point-Appliance läuft, sind besondere Vorkehrungen für die Ausfallsicherheit erforderlich. Das Gerät kann zum einen bei einem Ausfall des 100E-Betriebssystems beide Ports über den Broadcom-Chipsatz logisch durchschleifen, so lange noch Strom vorhanden ist. Fällt einer der beiden Ports aus, sorgt die Link-up/Link-down-Synchronisierung dafür, dass sich auch der andere Netzanschluss automatisch abschaltet. Dies stellt sicher, dass der angeschlossene Switch oder Router erkennt, dass der Link nicht mehr besteht (Link down). Tipping Point bietet zudem ein spezielles ZPHA-Gerät (Zero Power High Availability) an, das bei einem Stromausfall als Bypass dient. Der beste Ausfallschutz lässt sich jedoch durch eine redundante Auslegung der 100E-Geräte erreichen. Sie lassen sich zu einem Team verbinden und entweder im Active-Active- oder im Active-Passive-Modus betreiben.

Echtzeit-Betriebssystem und ASICs

Im Inneren der Tipping Point 100E arbeitet das Echtzeit-Betriebssystem "Vxworks". Es sorgt im Zusammenspiel mit den ASICs dafür, dass die Appliance auch bei hohen Übertragungsraten alle Pakete vollständig untersuchen kann, ohne allzu große Verzögerungen zu verursachen. Die Latenz des IPS liegt laut Hersteller selbst unter Volllast bei maximal 215 Mikrosekunden.

Die 100E-Appliance ist zudem in der Lage, alle Filter parallel abzuarbeiten. Dadurch entstehen auch bei steigender Filterzahl keine Performance-Einbußen. Die technische Basis hierfür liefert die Threat Suppression Engine (TSE), das Herzstück der Tipping-Point-Architektur. TSE ist eine Hardwareplattform aus Netzwerkprozessoren und den vom Hersteller entwickelten ASICs, die alle für eine Intrusion Prevention erforderlichen Aufgaben in Leitungsgeschwindigkeit (Wire Speed) erfüllen kann. Hierzu zählen IP-Defragmentierung, TCP Flow Reassembly, statistische Analysen, Traffic Shaping, Flow Blocking, Flow State Tracking und Application-Layer-Analyse.

Wie die Appliance auf Bedrohungen reagiert, legt der Administrator über die Web-Oberfläche fest. Mit Hilfe einer Blacklist kann er zum Beispiel vorgeben, dass ein als Angreifer identifizierter Host für eine bestimmte Zeitspanne überhaupt keine Daten mehr übertragen darf. Das System ist zudem in der Lage, das Ausführen von eingeschleusten SQL-Statements zu verhindern. Ferner verfügt es über Filter für rund 20 gängige File-Sharing-Tools. Der Administrator kann einstellen, ob die 100E-Appliance diese Protokolle durchlässt, blockiert oder die von ihnen genutzte Bandbreite begrenzt. Auch Instant-Messaging-Programme lassen sich mit dem System kontrollieren, indem es zum Beispiel sicherstellt, dass Anwender via Chat keine Dateien übertragen.

Port-Schnüffler werden erkannt und ausgesperrt

Um die Schutzfunktionen des 100E-Systems zu testen, wurden der Filter für Port-Scans auf "Block and Notify" eingestellt und die Ports auf dem Zielsystem gescannt. Die Tipping-Point-Appliance erkannte die Schnüffelei und blockierte die zugehörigen Pakete. Auch der Zugriff auf die Verwaltungsoberfläche der 100E-Box war vom angreifenden System aus nicht mehr möglich. Die Anzahl der blockierten Pakete lässt sich auch am Geräte-Display ablesen. Angriffsversuche auf Netbios-Ebene erkannte die Appliance im Test ebenfalls zuverlässig. (fn)