Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

| Autor / Redakteur: tutanch / Peter Schmitz

Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems.
Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. (Bild: Pixabay / CC0)

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS).

Obwohl IDS und IPS ähnliche Technologien zur Erkennung von Sicherheitsproblemen nutzen und beide als zusätzliche Systeme zum Schutz von Netzwerken und Rechnern verwendet werden, lassen sie sich aufgrund unterschiedlicher Funktionen klar unterscheiden.

Ein Intrusion Detection System kann als passives Tool verstanden werden, dass Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert. Das IPS ist ebenfalls in der Lage, Bedrohungen zu erkennen, arbeitet aber aktiv und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. Hierfür ist das Intrusion Prevention System inline direkt im Übertragungsweg installiert und kann in einem Alarmfall einzelne Datenpakete blockieren oder die Verbindungen unterbrechen und zurücksetzen. Meist arbeitet das IPS direkt mit einer Firewall zusammen und beeinflusst deren Regeln aktiv.

Mögliche Abwehrmaßnahmen eines IPS

Das IPS sitzt in den meisten Fällen direkt hinter einer Firewall und kann bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr des Angriffes ergreifen. Diese Maßnahmen können beispielsweise folgendermaßen aussehen:

  • verdächtige Pakete verwerfen
  • Verkehr von einer bestimmten Quelle blockieren
  • Verkehr zu einem bestimmten Ziel blockieren
  • Verbindungen unterbrechen oder zurücksetzen
  • ähnlich wie ein IDS Administratoren über Auffälligkeiten informieren

Da das Intrusion Prevention System inline arbeitet, muss die Analyse des Datenverkehrs in Echtzeit erfolgen. Das IPS darf den Datenstrom weder verlangsamen noch die Analyse der Daten aufgrund zu hoher Übertragungsgeschwindigkeiten aussetzen.

Erkennungsmethoden eines Intrusion Prevention Systems

Um Auffälligkeiten, Abnormalitäten oder direkte Angriffsmuster zu erkennen, nutzen IDS und IPS im Prinzip gleiche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Je umfangreicher und aktueller diese Datenbank ist, desto wirksamer ist diese Art der Erkennung.

Neben dieser Signatur-basierten Erkennung kommen zusätzlich statistische und Anomalie-basierte Methoden zum Einsatz. Diese sind in der Lage, durch Abweichungen vom Normalbetrieb auch bisher unbekannte Angriffsmuster und -methoden aufzuspüren. Modern Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend.

Unterschiedliche Arten eines IPS

Wie bei einem IDS lassen sich Intrusion Prevention Systeme in verschiedene Arten unterteilen. Das Host-basierte IPS ist direkt auf dem zu schützenden System installiert. Es analysiert alle empfangenen und gesendeten Daten und die vom System selbst bereitgestellten Daten wie Logs. Stellt das IPS einen Angriff fest, kann es in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.

Netzwerk-basierte Intrusion Prevention Systeme überwachen direkt den Netzverkehr und sind als separates Gerät oder integriert in eine Firewall inline installiert. Sie können alle am Netzwerk angeschlossenen Rechner und Systeme vor Angriffen über das Netzwerk schützen. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene. Darüber hinaus existieren auch Intrusion Prevention Systeme, die die übertragenen Datenmengen und Abweichungen von den üblichen Datenmengen zwischen bestimmten Quellen und Zielen in die Angriffserkennung mit einbeziehen.

In eine Firewall integrierte Intrusion Prevention Systeme

Neben Intrusion Prevention Systemen, die als Standalone-Geräte konzipiert sind, existieren Firewall-Systeme, in denen die IPS Funktion direkt integriert ist. In der Regel kommen solche integrierten Systeme für Netzwerke in kleineren oder mittleren Unternehmen zum Einsatz. Ein Vorteil einer solchen Lösung liegt in einem einfachen Management des Systems. Das IPS ist direkt in der Lage, die Firewallregeln bei erkannten Angriffen zu beeinflussen, ohne dass aufwendige Verbindungen und Regelwerke für die Kommunikation zwischen IPS und Firewall zu konfigurieren sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

„IoT-Geräte sind der Traum für Hacker“

Interview mit Radware CEO

„IoT-Geräte sind der Traum für Hacker“

Auf der Radware Hackers Challenge trafen wir uns mit Roy Zisapel dem CEO und Mitgründer von Radware. Mit ihm sprechen wir über die Hacking-Veranstaltung, Attacken auf IoT-Geräte und wo die Reise hingeht. lesen

So verhindern Sie, dass Sie Teil eines Botnets werden

[Advertorial]

Mit Next-Gen-Technologien gegen Hacker

So verhindern Sie, dass Sie Teil eines Botnets werden

Botnets sind verborgene Gruppen kompromittierter Netzwerk-Computer und -Geräte (sogenannte Bots), die von Malware infiltriert wurden, um eine externe Kontrolle durch Cyberkriminelle zu ermöglichen. Botnets werden von Hackern aufgebaut und gesteuert: Das Ergebnis sind leistungsstarke Dark-Cloud-Computing-Netzwerke, über die kriminelle Cyberangriffe ausgeführt werden lesen

Was ist ein Intrusion Detection System (IDS)?

Definition IDS

Was ist ein Intrusion Detection System (IDS)?

Ein Intrusion Detection System, abgekürzt IDS, ist in der Lage, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall. lesen

Was ist eine Firewall?

Definition Firewall

Was ist eine Firewall?

Bei einer Firewall handelt es sich um ein System, das in der Lage ist, Datenverkehr zu analysieren. Sie schützt IT-Systeme vor Angriffen oder unbefugten Zugriffen. Die Firewall kann als dedizierte Hardware oder als Softwarekomponente ausgeführt sein. lesen

Adminfreundliche Firewall für Industrie-Netzwerke

Im Test: Stormshield SNi40

Adminfreundliche Firewall für Industrie-Netzwerke

Industrielle Anlagen sind durch direkte Internet-Anbindung und TCP/IP-Integration heute viel größeren Risiken ausgesetzt als früher. Oft müssen sich die IT-Administratoren der Unternehmen jetzt auch um die Absicherung dieses Netzwerkbereichs kümmern. Deswegen werden viele froh sein, wenn sie für den Industriebereich eine Lösung einsetzen können, die sie aus der Absicherung ihrer IT-Netze bereits kennen – zum Beispiel Stormshields SNi40. lesen

Durchblick im Netzwerk schafft mehr Sicherheit

Network-Visibility-Architektur

Durchblick im Netzwerk schafft mehr Sicherheit

Der Einsatz unterschiedlicher Monitoring- und Security-Tools führt in komplexen Netzwerken nicht nur zu potentiellen Sicherheitslücken, sondern verhindert auch einen effizienten Betrieb dieser Tools. Eine sorgfältig designte Visibility- und Security-Architektur sorgt für die Integration aller Tools und schafft gleichzeitig definierte Schnittstellen zwischen den Verantwortlichkeiten für die Tools und die Netzwerkinfrastruktur. lesen

Security Operations Center (SOC) als Dienstleistung

SOC as a Service

Security Operations Center (SOC) als Dienstleistung

Das Security Operations Center (SOC) ist die Kommandobrücke, das Gehirn der Security eines Unternehmens. Wer kein eigenes SOC betreiben kann, erhält ein SOC auch als Service. Das hat selbst für Großunternehmen Vorteile. lesen

Ist ihre Firewall veraltet?

Netzwerksicherheit

Ist ihre Firewall veraltet?

Es vergeht nahezu kein Tag ohne Schlagzeilen über die neue Datenlecks oder Hacking-Skandale. Dennoch glauben viele Unternehmen, sie seien gut für die unterschiedlichen IT-Sicherheitsrisiken gerüstet, die sie bedrohen. Doch die Realität sieht wahrscheinlich etwas anders aus. lesen

SaaS-Lösung gegen DNS-basierte Data Exfiltration

Sicherheit für mobile Mitarbeiter und Zweigstellen

SaaS-Lösung gegen DNS-basierte Data Exfiltration

Die Infoblox ActiveTrust Cloud könne Sicherheit für alle Geräte liefern, Data Exfiltration über DNS verhindern, die Kommunikation von Geräten mit Command-&-Control-Servern automatisch stoppen und eine schnelle Überprüfung von Gefahrenquellen ermöglichen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718903 / Definitionen)