Intrusion-Prevention-System (IPS)

Wie funktioniert ein Intrusion-Prevention-System?

Ein Intrusion-Prevention-System überwacht den gesamten Netzwerkverkehr. Üblicherweise kommt ein IPS-Tool daher direkt hinter einer Firewall zum Einsatz und fungiert dort als zusätzliche Schicht, um schädliche Ereignisse zu erkennen. So sind IPS-Lösungen direkt auf den Kommunikationspfaden zwischen Systemen und Netzwerk platziert, um den Datenverkehr entsprechend analysieren zu können.

Typischerweise kommt daher bei Intrusion-Prevention-Systemen folgende Ansätze zum Schutz von Netzwerken zum Einsatz:

• Signaturbasierte Erkennung. Hier greift das IPS-Tool auf zuvor definierte Angriffssignaturen bekannter Netzwerkbedrohungen zur Erkennung zurück und leitet die notwendigen Maßnahmen ein.
• Anomalienbasierte Erkennung. Dabei erkennt das Intrusion-Prevention-System auffälliges beziehungsweise unerwartetes Netzwerkverhalten und kann den Zugriff auf einen Host blockieren, wenn eine Anomalie erkannt wird.
• Richtlinienbasierte Erkennung. Administratoren müssen hierbei zunächst Sicherheitsrichtlinien erstellen oder vorhandene aktivieren. Wenn ein Ereignis eintritt, dass eine dieser Richtlinie verletzt, kann eine Warnmeldung an den Admin erfolgen.

Sobald eine Bedrohung vom IPS-Tool erkannt wird, kann das System verschiedene Maßnahmen einleiten. So etwa Warnmeldungen an den Administrator senden, die betroffenen Netzwerkpakete verwerfen und Verbindungen zurücksetzen. Dabei können Firewalls neu konfiguriert, die Nutzdaten neu gepackt und infizierte Anhänge von Servern entfernt werden.

IPS-Lösungen können treffliche Dienste leisten, wenn es darum geht DDoS-Angriffe (Distributed Denial-of-Service), Würmer, Viren oder auch Exploits wie bei Zero-Day-Angriffen abzuwehren. Laut Michael Reed (ehemals Top Layer Networks, die von Corero übernommen wurden) sollte ein effizientes Intrusion-Prevention-System auch komplexeres Monitoring und Analysen betreiben. Dazu gehört das Überwachen der Datenverkehrsmuster und individueller Pakete plus eine entsprechende Reaktion darauf. „Erkennungsmechanismen können Adressen, HTTP-Zeichenketten und Substrings, allgemeine Muster-Vergleiche, TCP-Verbindungsanalyse, Anomalien hinsichtlich Paketen und Traffic, sowie TCP/UDP-Port-Vergleiche adressieren.“, sagte Reed.

Welche Typen von Intrusion-Prevention-Systemen gibt es?

Typischerweise kann man drei Arten von IPS-Produkten unterscheiden:

• Network Behavior Analysis (NBA), Analyse des Netzwerkverhaltens. Hierbei wird das Netzwerk auf anormalen Netzwerkverkehr überwacht, dies kommt häufig für die Erkennung von DDoS-Angriffen zum Einsatz.
• Network Intrusion Protection System (NIPS). Bei einem NIPS wird das Netzwerk ebenfalls kontinuierlich überwacht und auf ungewöhnlichen Daten- und Verkehrsmuster reagiert.
• Host-based Intrusion-Prevention-System (HIPS). Diese Produkte werden auf einen Host installiert und sind dort zu Analyse und Erkennung verdächtiger Aktivitäten eben auf jenem System bestimmt.

Darüber hinaus existieren noch weitere unterschiedlichste Ausprägungen an IPS-Tools, etwa spezielle Lösungen für drahtlose Netzwerke (WIPS, Wireless Intrusion Prevention System). Allgemein betrachten sorgen Intrusion-Prevention-Lösungen dafür, dass Angreifer daran gehindert werden, Zugang zum Netzwerk zu erhalten.

Welche Vorteile bieten Intrusion-Prevention-Systeme?

IPS-Lösungen bieten für Unternehmen folgende Vorteile:

• Die Wahrscheinlichkeit von Sicherheitsvorfällen wird verringert.
• Es besteht ein dynamischer Schutz vor Bedrohungen.
• Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt.
• Angriffe wie Zero-Day-Exploits, DDoS-Attacken oder Brute-Force-Angriffe können mindestens abgeschwächt oder eingedämmt werden.
• Durch die Automatisierung weniger notwendiger manueller Eingriffe durch IT-Teams notwendig.
• Es kann spezifischer eingehender Netzwerkverkehr erlaubt oder verboten werden.

Welche Nachteile können Intrusion-Prevention-Systeme mit sich bringen?

Mit dem Betrieb von IPS-Lösungen können folgende Nachteile einhergehen:

• Wenn die Lösung anormale Aktivitäten in einem Netzwerk blockiert, in der Annahme, dass es sich um schädliche Aktivitäten handelt, kann dies auch ein Falsch-Positiv Dieses führt dann aber unter Umständen dazu, dass Anwender einen Dienst nicht wie benötigt nutzen können.
• Wenn ein Unternehmen oder eine Organisation nicht über genügend Netzwerkbandbreite und -kapazität verfügt, kann der Einsatz eines IPS das Gesamtsystem durchaus verlangsamen.
• Werden in einem Netzwerk mehrere IPS-Produkte betrieben, müssen die Daten unter Umständen jedes einzelne durchlaufen, bis sie zum Endanwender gelangen. Das kann gleichfalls zu einem Geschwindigkeitsverlust führen.
• Je nach Auslegung kann der Einsatz von IPS-Lösungen durchaus kostenintensiv sein.

Wie unterscheiden sich IDS und IPS?

Intrusion-Detection-Systeme (IDS) wurden zur Überwachung des Netzwerkverkehrs und dem Erkennen von Eindringlingen entwickelt. Sowohl IPS als auch IDS untersuchen die Netztwerkpakete und vergleichen den Inhalt mit Kenntnissen über bekannte Bedrohungen. Ein IDS ergreift selbst allerdings keine Maßnahmen, sondern gibt die Informationen entsprechend an die IT weiter. Ein Intrusion-Detection-System erfordert klassischerweise ein IT-Team, das aus den vorliegenden Ergebnisse Rückschlüsse und Maßnahmen ableitet. Ein IPS wird daher gerne auch als eine Erweiterung eines IDS betrachtet.

Ein Intrusion-Detection-System soll das Netzwerk überwachen und im Falle einer Bedrohung entsprechende Warnmeldungen an die Administratoren ausgeben. Ein IPS soll darüber hinaus den Zugang zum Netzwerk kontrollieren und das Netzwerk vor Schaden schützen.

Ein IDS überwacht wie IPS den Netzwerkverkehr. Da ein Exploit jedoch möglicherweise schnell ausgeführt wird, nachdem der Angreifer Zugang erlangt hat, können IPS auf der Grundlage von Regeln sofortige Maßnahmen ergreifen. Ein IPS könnte beispielsweise ein als schädlich eingestuftes Paket verwerfen und forthin den gesamten weiteren Netzwerkverkehr von dieser IP-Adresse oder diesem Port blockieren. Legitimer Datenverkehr sollte hingegen ohne erkennbare Unterbrechung oder Verzögerung von Diensten an den Empfänger weitergeleitet werden.