Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems.
Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. (Bild: Pixabay / CC0)

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS).

Obwohl IDS und IPS ähnliche Technologien zur Erkennung von Sicherheitsproblemen nutzen und beide als zusätzliche Systeme zum Schutz von Netzwerken und Rechnern verwendet werden, lassen sie sich aufgrund unterschiedlicher Funktionen klar unterscheiden.

Ein Intrusion Detection System kann als passives Tool verstanden werden, dass Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert. Das IPS ist ebenfalls in der Lage, Bedrohungen zu erkennen, arbeitet aber aktiv und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. Hierfür ist das Intrusion Prevention System inline direkt im Übertragungsweg installiert und kann in einem Alarmfall einzelne Datenpakete blockieren oder die Verbindungen unterbrechen und zurücksetzen. Meist arbeitet das IPS direkt mit einer Firewall zusammen und beeinflusst deren Regeln aktiv.

Mögliche Abwehrmaßnahmen eines IPS

Das IPS sitzt in den meisten Fällen direkt hinter einer Firewall und kann bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr des Angriffes ergreifen. Diese Maßnahmen können beispielsweise folgendermaßen aussehen:

  • verdächtige Pakete verwerfen
  • Verkehr von einer bestimmten Quelle blockieren
  • Verkehr zu einem bestimmten Ziel blockieren
  • Verbindungen unterbrechen oder zurücksetzen
  • ähnlich wie ein IDS Administratoren über Auffälligkeiten informieren

Da das Intrusion Prevention System inline arbeitet, muss die Analyse des Datenverkehrs in Echtzeit erfolgen. Das IPS darf den Datenstrom weder verlangsamen noch die Analyse der Daten aufgrund zu hoher Übertragungsgeschwindigkeiten aussetzen.

Erkennungsmethoden eines Intrusion Prevention Systems

Um Auffälligkeiten, Abnormalitäten oder direkte Angriffsmuster zu erkennen, nutzen IDS und IPS im Prinzip gleiche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Je umfangreicher und aktueller diese Datenbank ist, desto wirksamer ist diese Art der Erkennung.

Neben dieser Signatur-basierten Erkennung kommen zusätzlich statistische und Anomalie-basierte Methoden zum Einsatz. Diese sind in der Lage, durch Abweichungen vom Normalbetrieb auch bisher unbekannte Angriffsmuster und -methoden aufzuspüren. Modern Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend.

Unterschiedliche Arten eines IPS

Wie bei einem IDS lassen sich Intrusion Prevention Systeme in verschiedene Arten unterteilen. Das Host-basierte IPS ist direkt auf dem zu schützenden System installiert. Es analysiert alle empfangenen und gesendeten Daten und die vom System selbst bereitgestellten Daten wie Logs. Stellt das IPS einen Angriff fest, kann es in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.

Netzwerk-basierte Intrusion Prevention Systeme überwachen direkt den Netzverkehr und sind als separates Gerät oder integriert in eine Firewall inline installiert. Sie können alle am Netzwerk angeschlossenen Rechner und Systeme vor Angriffen über das Netzwerk schützen. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene. Darüber hinaus existieren auch Intrusion Prevention Systeme, die die übertragenen Datenmengen und Abweichungen von den üblichen Datenmengen zwischen bestimmten Quellen und Zielen in die Angriffserkennung mit einbeziehen.

In eine Firewall integrierte Intrusion Prevention Systeme

Neben Intrusion Prevention Systemen, die als Standalone-Geräte konzipiert sind, existieren Firewall-Systeme, in denen die IPS Funktion direkt integriert ist. In der Regel kommen solche integrierten Systeme für Netzwerke in kleineren oder mittleren Unternehmen zum Einsatz. Ein Vorteil einer solchen Lösung liegt in einem einfachen Management des Systems. Das IPS ist direkt in der Lage, die Firewallregeln bei erkannten Angriffen zu beeinflussen, ohne dass aufwendige Verbindungen und Regelwerke für die Kommunikation zwischen IPS und Firewall zu konfigurieren sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Hochschulnetzwerke – ein unkontrollierbares Chaos?

Der Feind im eigenen Netz

Hochschulnetzwerke – ein unkontrollierbares Chaos?

Unmengen an Daten kursieren an Hochschulen und den dazugehörigen Institutionen. Jeden Tag loggen sich Studierende, Universitäts-Angehörige und auch Gäste in das Netzwerk ein. Möglichkeiten dafür gibt es an vielen Orten: in der Bibliothek, den Seminarräumen, auf dem Campus oder im Wohnheim. Das ruft Kriminelle auf den Plan, die im Netzwerk kursierende Daten stehlen möchten. lesen

Zunahme bei Mac-Malware, bösartigen Office-Dokumenten und Web Application Exploits

WatchGuard Internet Security Report Q1/2019

Zunahme bei Mac-Malware, bösartigen Office-Dokumenten und Web Application Exploits

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der vierteljährliche Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. lesen

So schaffen Sie konsistente und schnelle Firmennetzwerke

Secure SD-WAN

So schaffen Sie konsistente und schnelle Firmennetzwerke

Unternehmen brauchen heute hohe Geschwindigkeiten und stabile Verbindungen für ihre Business-Anwendungen – auch in den Zweigstellen. SD-WAN ermöglicht dies. Aber: Das schafft auch neue Security-Risiken für Unternehmen. lesen

Patchday behebt Fehler und Schwachstellen in Windows

Microsoft Patchday Juli 2019

Patchday behebt Fehler und Schwachstellen in Windows

Microsoft hat zum Patchday im Juli 2019 für alle aktuellen Windows 10-Versionen kumulative Updates bereitgestellt. Auch die aktuelle Windows 10-Version erhält ein Update und einige Fehlerbehebungen. Die Updates beheben mehrere, teils nicht näher benannte Fehler und einige Probleme mit dem Verschlüsselungs­system BitLocker. lesen

Die Evolution der Endpunktsicherheit

Von Antivirus zu Endpoint Detection & Response

Die Evolution der Endpunktsicherheit

Der Begriff Endpoint Detection & Response – kurz EDR – steht für zukunftsgerichtete Endpunktsicherheit, die Unternehmen tiefen Einblick in verdächtige und schädliche Aktivitäten gewährt. Davon ausgehend, dass es keinen hundertprozentigen Schutz geben kann, ermöglicht es EDR als sinnvolle Ergänzung zur Endpoint Protection, verdächtige Aktivitäten aufzuspüren, zu analysieren und schließlich darauf zu reagieren. lesen

Jedes dritte Unternehmen über APIs attackiert

Radware warnt vor Schwachstellen in API-Implementierungen

Jedes dritte Unternehmen über APIs attackiert

Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden. lesen

Bluetooth-Schwachstelle in allen Windows-10-Versionen

Microsoft Patchday Juni 2019

Bluetooth-Schwachstelle in allen Windows-10-Versionen

Microsoft hat zum Patchday im Juni 2019 neben Sicherheitspatches für eine Bluetooth-Schwachstelle in allen Windows-10-Versionen auch einige Updates für Windows 7/8.1 und Windows Server 2008 R2/2012/2012 R2 bereitgestellt. Diese sollen unter anderem Probleme mit Antivirus-Software beheben lesen

Analysebasierte Automatisierung der IT-Sicherheit

Analytics-driven Automation

Analysebasierte Automatisierung der IT-Sicherheit

„Automatisierung“ ist ein häufig gebrauchtes Schlagwort im Bereich Cybersecurity. Der Prozess verspricht große Effizienzsteigerung dank KI-Features. Allerdings ist die Realität der Sicherheits­automatisierung im Moment noch weit von echter künstlicher Intelligenz entfernt. Entscheidende Prozesse zur Überwachung von potenziell kritischen Assets erfordern oft noch das Eingreifen von Menschen. lesen

In 7 Schritten zur Industrie 4.0 - aber sicher

How-to

In 7 Schritten zur Industrie 4.0 - aber sicher

Wie können Industrieunternehmen das Konzept von Industrie 4.0 umsetzen, ohne die IT-Sicherheit zu gefährden? Der Leitfaden erklärt die 7 wichtigsten Schritte. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718903 / Definitionen)