Network Intrusion Protection System (NIPS)

Die Bezeichnung Network Intrusion Protection System (NIPS) ist der Überbegriff für Systeme, die zum Schutz von Netzwerken vor unerlaubten Zugriffen und anderen bösartigen Aktivitäten dienen. Sie bestehen aus einer Kombination aus Hard- und Software und werden oft als Appliance verkauft.

Ein NIPS-System basiert meist auf einem dedizierten Network Intrusion Detection System (NIDS), einem Intrusion Prevention System (IPS) oder einer Kombination aus beiden. Dafür wird auch die Bezeichnung Intrusion Prevention and Detection System (IPDS) verwendet. Während ein NIDS Eindringlinge nur erkennen kann, ist ein IPS auch in der Lage, Angriffe nicht nur zu erkennen, sondern auch zu stoppen. Dazu verwendet es in der Regel vorher festgelegte Maßnahmen wie zum Beispiel eine vorgegebene Änderung der Firewall-Regeln, das Aussperren bestimmter IP-Adressen (Internet Protokoll) oder das komplette Verwerfen schädlicher Pakete. Die Software-Bestandteile eines NIPS bestehen aus Firewall, Sniffer und Antiviren-Tools. Dazu kommen ein Dashboard zur Verwaltung und Steuerung des Systems sowie meist weitere Möglichkeiten zur Visualisierung der anfallenden Daten.

Ein NIPS überwacht das Netzwerk kontinuierlich und reagiert auf ungewöhnliche Daten- und Verkehrsmuster. Dabei erstellt es meist umfangreiche Event-Logs, alarmiert Systemadministratoren bei wichtigen Ereignissen und stoppt, sofern möglich, potentielle Angreifer automatisch. Darüber hinaus kann es eingesetzt werden, um ein internes Security-Audit durchzuführen und um zu dokumentieren, dass bestimmte Regulierungsvorgaben eingehalten werden.

Mittlerweile geht man davon aus, dass eine mehrschichtige Kombination aus verschiedenen Sicherheitssystemen nötig ist, um Netzwerke vor der steigenden Zahl an Viren, Spyware und anderen Angriffen effektiv zu schützen. Ein NIPS ist deswegen eine essentielle Maßnahme, um unerlaubte Zugriffe auf ein Firmennetz zu verhindern. Jeder Computer, der sensible Daten enthält, benötigt einen effektiven Schutz, aber selbst vermeintlich nur unbedeutende Netzwerke können übernommen und dann zum Beispiel für das Durchführen von Botnetz-Angriffen missbraucht werden.