Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

| Autor / Redakteur: tutanch / Peter Schmitz

Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems.
Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. (Bild: Pixabay / CC0)

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS).

Obwohl IDS und IPS ähnliche Technologien zur Erkennung von Sicherheitsproblemen nutzen und beide als zusätzliche Systeme zum Schutz von Netzwerken und Rechnern verwendet werden, lassen sie sich aufgrund unterschiedlicher Funktionen klar unterscheiden.

Ein Intrusion Detection System kann als passives Tool verstanden werden, dass Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert. Das IPS ist ebenfalls in der Lage, Bedrohungen zu erkennen, arbeitet aber aktiv und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. Hierfür ist das Intrusion Prevention System inline direkt im Übertragungsweg installiert und kann in einem Alarmfall einzelne Datenpakete blockieren oder die Verbindungen unterbrechen und zurücksetzen. Meist arbeitet das IPS direkt mit einer Firewall zusammen und beeinflusst deren Regeln aktiv.

Mögliche Abwehrmaßnahmen eines IPS

Das IPS sitzt in den meisten Fällen direkt hinter einer Firewall und kann bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr des Angriffes ergreifen. Diese Maßnahmen können beispielsweise folgendermaßen aussehen:

  • verdächtige Pakete verwerfen
  • Verkehr von einer bestimmten Quelle blockieren
  • Verkehr zu einem bestimmten Ziel blockieren
  • Verbindungen unterbrechen oder zurücksetzen
  • ähnlich wie ein IDS Administratoren über Auffälligkeiten informieren

Da das Intrusion Prevention System inline arbeitet, muss die Analyse des Datenverkehrs in Echtzeit erfolgen. Das IPS darf den Datenstrom weder verlangsamen noch die Analyse der Daten aufgrund zu hoher Übertragungsgeschwindigkeiten aussetzen.

Erkennungsmethoden eines Intrusion Prevention Systems

Um Auffälligkeiten, Abnormalitäten oder direkte Angriffsmuster zu erkennen, nutzen IDS und IPS im Prinzip gleiche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Je umfangreicher und aktueller diese Datenbank ist, desto wirksamer ist diese Art der Erkennung.

Neben dieser Signatur-basierten Erkennung kommen zusätzlich statistische und Anomalie-basierte Methoden zum Einsatz. Diese sind in der Lage, durch Abweichungen vom Normalbetrieb auch bisher unbekannte Angriffsmuster und -methoden aufzuspüren. Modern Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend.

Unterschiedliche Arten eines IPS

Wie bei einem IDS lassen sich Intrusion Prevention Systeme in verschiedene Arten unterteilen. Das Host-basierte IPS ist direkt auf dem zu schützenden System installiert. Es analysiert alle empfangenen und gesendeten Daten und die vom System selbst bereitgestellten Daten wie Logs. Stellt das IPS einen Angriff fest, kann es in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.

Netzwerk-basierte Intrusion Prevention Systeme überwachen direkt den Netzverkehr und sind als separates Gerät oder integriert in eine Firewall inline installiert. Sie können alle am Netzwerk angeschlossenen Rechner und Systeme vor Angriffen über das Netzwerk schützen. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene. Darüber hinaus existieren auch Intrusion Prevention Systeme, die die übertragenen Datenmengen und Abweichungen von den üblichen Datenmengen zwischen bestimmten Quellen und Zielen in die Angriffserkennung mit einbeziehen.

In eine Firewall integrierte Intrusion Prevention Systeme

Neben Intrusion Prevention Systemen, die als Standalone-Geräte konzipiert sind, existieren Firewall-Systeme, in denen die IPS Funktion direkt integriert ist. In der Regel kommen solche integrierten Systeme für Netzwerke in kleineren oder mittleren Unternehmen zum Einsatz. Ein Vorteil einer solchen Lösung liegt in einem einfachen Management des Systems. Das IPS ist direkt in der Lage, die Firewallregeln bei erkannten Angriffen zu beeinflussen, ohne dass aufwendige Verbindungen und Regelwerke für die Kommunikation zwischen IPS und Firewall zu konfigurieren sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Investitionen in die IT-Sicherheit argumentieren

Security ROI

Investitionen in die IT-Sicherheit argumentieren

In vielen Unternehmen sind Fakten und Zahlen die bestimmenden Faktoren für Entscheidung­en über Investitionen und Einsparungen. Aber wie argumentiert man als Security-Verantwort­lich­er bei Vorgesetzten mit Risiken, die noch gar nicht eingetreten sind und welche Herangehensweise ist überhaupt die richtige? Die gute Nachricht: Sicherheits­risiken sind real und messbar und es gibt für jeden Typ „Chef“ auch einen passenden Gesprächsansatz. lesen

Was ist eine Endpoint Protection Plattform?

Definition Endpoint Protection Plattform (EPP)

Was ist eine Endpoint Protection Plattform?

Eine Endpoint Protection Plattform (EPP) soll die verschiedenen Endgeräte in einer Enterprise-IT-Umgebung wie PCs, Laptops, Tablets oder Smartphones vor diversen Gefahren schützen. Die Software besitzt Funktionen zum Schutz vor Viren, Malware, Spyware oder Phishing. Zudem können Firewall- oder IPS- und IDS-Funktionen sowie weitere Security-Technologien integriert sein. lesen

Nachhaltige Prävention, statt Reaktion auf Cyber-Gefahren

Sustainable Cyber Resilience

Nachhaltige Prävention, statt Reaktion auf Cyber-Gefahren

Durch Digitalisierung und Vernetzung hat sich die für Cyberkriminelle ausnutzbare Angriffsfläche bei Unternehmen vergrößert. Für Unternehmen wird es daher unverzichtbar, einen Zustand der „Sustainable Cyber Resilience“ zu erreichen, der nachhaltigen Widerstandsfähigkeit. Schwachstellen-Management ist dafür ein unverzichtbarer Faktor. lesen

Sicherheit für Multi-Cloud-Netzwerke

Multi-Cloud-Security

Sicherheit für Multi-Cloud-Netzwerke

Unternehmen verlagern heute verstärkt Workloads in die Cloud und setzen dazu auf Multi-Cloud-Modelle, bei denen für bestimmte Funktionen, Standorte oder zur Kostensenkung mit verschiedenen Anbietern zusammen­gearbeitet wird. Gleichzeitig werden kritische Daten über unterschiedlichste cloudbasierte Anwendungen und Dienste verbreitet und verarbeitet. lesen

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Netscout-Studie

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Die Angst der Unternehmen, Opfer eines Erpressungs-Trojaners oder einer DDoS-Attacke zu werden, herrscht bei 64 Prozent der befragten Unternehmen vor, so eine Netscout-Studie. Im Visier der Cyberkriminellen stehen kundenzentrierte Anwendungen und Dienste sowie IT-Infrastrukturen. lesen

Intrusion-Detection und -Prevention-Systeme

Überblick über IDS und IPS

Intrusion-Detection und -Prevention-Systeme

Ein Intrusion-Detection- oder Intrusion-Pre­ven­tion-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netz­werk­kom­po­nen­te wie einen Server oder einen Switch überwacht und versucht, Regel­ver­let­zung­en und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind. lesen

Krypto-Mining wird der nächste Cybercrime-Hype

Mobile Cryptojacking-Malware

Krypto-Mining wird der nächste Cybercrime-Hype

Hacker nutzen jede noch so kleine Sicher­heits­lücke für ihren Vorteil. Hardware-Hersteller von Computern, Smartphones, Tablets oder Cloud-Servern packen immer mehr CPU-Kerne und Arbeitsspeicher in ihre Geräte. Dadurch werden diese Systeme ein immer interessanteres Ziel für Cyberkriminelle um mittels Crypto-Mining-Botnetz große Gewinne mit Kryptowährungen zu erzielen. lesen

Automatische Abwehr von DDoS-Angriffen

DDoS-Attacken abwehren

Automatische Abwehr von DDoS-Angriffen

Die Zahl der DDoS-Angriffe auf Unternehmen in der DACH-Region steigt. Die Attacken werden dabei immer komplexer und erreichen laufend neue Volumen-Rekorde. Außerdem kombinieren Cyberkriminelle zunehmend unterschiedliche Angriffsmethoden und Verschleierungstaktiken, um bestehende Abwehrmechanismen in Unternehmen auszuhebeln. lesen

Trend Micro führend bei Endpunktsicherheit

[Gesponsert]

Erst Gartner, jetzt Forrester

Trend Micro führend bei Endpunktsicherheit

„Trend Micro bietet weiterhin die flexibelste und vollständigste Suite auf dem Markt.“ Das bestätigen gleich zwei unabhängige Forschungsunternehmen in ihren aktuellen Untersuchungsberichten zu Endpunktsicherheit. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718903 / Definitionen)