Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems.
Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. (Bild: Pixabay / CC0)

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS).

Obwohl IDS und IPS ähnliche Technologien zur Erkennung von Sicherheitsproblemen nutzen und beide als zusätzliche Systeme zum Schutz von Netzwerken und Rechnern verwendet werden, lassen sie sich aufgrund unterschiedlicher Funktionen klar unterscheiden.

Ein Intrusion Detection System kann als passives Tool verstanden werden, dass Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert. Das IPS ist ebenfalls in der Lage, Bedrohungen zu erkennen, arbeitet aber aktiv und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. Hierfür ist das Intrusion Prevention System inline direkt im Übertragungsweg installiert und kann in einem Alarmfall einzelne Datenpakete blockieren oder die Verbindungen unterbrechen und zurücksetzen. Meist arbeitet das IPS direkt mit einer Firewall zusammen und beeinflusst deren Regeln aktiv.

Mögliche Abwehrmaßnahmen eines IPS

Das IPS sitzt in den meisten Fällen direkt hinter einer Firewall und kann bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr des Angriffes ergreifen. Diese Maßnahmen können beispielsweise folgendermaßen aussehen:

  • verdächtige Pakete verwerfen
  • Verkehr von einer bestimmten Quelle blockieren
  • Verkehr zu einem bestimmten Ziel blockieren
  • Verbindungen unterbrechen oder zurücksetzen
  • ähnlich wie ein IDS Administratoren über Auffälligkeiten informieren

Da das Intrusion Prevention System inline arbeitet, muss die Analyse des Datenverkehrs in Echtzeit erfolgen. Das IPS darf den Datenstrom weder verlangsamen noch die Analyse der Daten aufgrund zu hoher Übertragungsgeschwindigkeiten aussetzen.

Erkennungsmethoden eines Intrusion Prevention Systems

Um Auffälligkeiten, Abnormalitäten oder direkte Angriffsmuster zu erkennen, nutzen IDS und IPS im Prinzip gleiche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Je umfangreicher und aktueller diese Datenbank ist, desto wirksamer ist diese Art der Erkennung.

Neben dieser Signatur-basierten Erkennung kommen zusätzlich statistische und Anomalie-basierte Methoden zum Einsatz. Diese sind in der Lage, durch Abweichungen vom Normalbetrieb auch bisher unbekannte Angriffsmuster und -methoden aufzuspüren. Modern Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend.

Unterschiedliche Arten eines IPS

Wie bei einem IDS lassen sich Intrusion Prevention Systeme in verschiedene Arten unterteilen. Das Host-basierte IPS ist direkt auf dem zu schützenden System installiert. Es analysiert alle empfangenen und gesendeten Daten und die vom System selbst bereitgestellten Daten wie Logs. Stellt das IPS einen Angriff fest, kann es in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.

Netzwerk-basierte Intrusion Prevention Systeme überwachen direkt den Netzverkehr und sind als separates Gerät oder integriert in eine Firewall inline installiert. Sie können alle am Netzwerk angeschlossenen Rechner und Systeme vor Angriffen über das Netzwerk schützen. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene. Darüber hinaus existieren auch Intrusion Prevention Systeme, die die übertragenen Datenmengen und Abweichungen von den üblichen Datenmengen zwischen bestimmten Quellen und Zielen in die Angriffserkennung mit einbeziehen.

In eine Firewall integrierte Intrusion Prevention Systeme

Neben Intrusion Prevention Systemen, die als Standalone-Geräte konzipiert sind, existieren Firewall-Systeme, in denen die IPS Funktion direkt integriert ist. In der Regel kommen solche integrierten Systeme für Netzwerke in kleineren oder mittleren Unternehmen zum Einsatz. Ein Vorteil einer solchen Lösung liegt in einem einfachen Management des Systems. Das IPS ist direkt in der Lage, die Firewallregeln bei erkannten Angriffen zu beeinflussen, ohne dass aufwendige Verbindungen und Regelwerke für die Kommunikation zwischen IPS und Firewall zu konfigurieren sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Datensicherheit in Virtualisierungsumgebungen

Sicherheit für VM, Hypervisor und Co.

Datensicherheit in Virtualisierungsumgebungen

Virtualisierungsumgebungen stellen in vielen IT-Infrastrukturen wichtige Funktionen bereit. Dabei kann es sich unter anderem um virtuelle Desktops, Datenbanken oder auch Web-Server handeln. Diese Installationen sind oft unver­zicht­bar für die tägliche Arbeit , umso wichtiger, dass ihre Sicherheit gewährleistet ist. Wir zeigen, welche Punkte für die Sicherheit in Virtualisierungs­umgebungen eine wichtige Rolle spielen. lesen

Die beliebtesten SIEM-Anbieter 2019

IT-Awards 2019

Die beliebtesten SIEM-Anbieter 2019

Der Einsatz von Security-Information-and-Event-Management-Systemen (SIEM) ist für die Security Operation Center (SOCs) von Unternehmen ein wichtiger Faktor. Sie sollen nicht nur vor Bedrohungen schützen, sondern auch das Security-Team bei der täglichen Arbeit entlasten. Dabei werden moderne Technologien künftig eine wichtige Rolle spielen. lesen

Die beliebtesten Enterprise Network Firewalls 2019

IT-Awards 2019

Die beliebtesten Enterprise Network Firewalls 2019

Um das Unternehmensnetz möglichst umfassend gegen Bedrohungen abzusichern, ist der Einsatz einer Enterprise Network Firewall unumgänglich. Derartige Systeme stellen den zentralen Kontrollpunkt für ein- und ausgehenden Traffic dar und sind speziell auf die Anforderungen im Unternehmenseinsatz zugeschnitten. lesen

Geben Sie Cyberkriminellen keine Chance

[Gesponsert]

Schwachstellen gefährden das Business

Geben Sie Cyberkriminellen keine Chance

IT-Sicherheit umfasst heute weit mehr als einen effektiven Firewallschutz. Das Thema Security muss ganzheitlich betrachtet und verstanden werden, zumal nicht wenige Angriffe von innen heraus erfolgen. So stellte der Verizon Data Breach Investigations Report 2018 fest, dass gut ein Viertel der Cyberangriffe innerhalb der Infrastruktur stattfand. Gerade in diesem Bereich sind Unternehmen am verwundbarsten. lesen

Sicherheitsexperten bewerten die DSGVO als ineffektiv

Unternehmen sind nicht auf Datenschutzverletzungen vorbereitet

Sicherheitsexperten bewerten die DSGVO als ineffektiv

Die überwiegende Mehrzahl von Unternehmen (76 Prozent) speichert vertrauliche Daten wie E-Mails, Gehalts- und Vergütungsinforma­tionen, geistiges Eigentum und Kundendaten in der Cloud. Dennoch haben sie Schwierigkeiten, wenn es darum geht eine Datenschutz­verletzung zu erkennen. Das zeigen die Ergebnisse einer Umfrage des IAM-Experten One Identity. lesen

So finden Sie das beste Disaster Recovery aus der Cloud

Checklisten, Anbieterüberblick, Vorgehen beim Testing

So finden Sie das beste Disaster Recovery aus der Cloud

Dem Rechenzentrum drohen viele Gefahren – die IT eines Unternehmens darf aber nicht ausfallen. Da hilft nur ein ausgefeilter Plan für das Disaster Recovery. In Zeiten, da Cloud Computing Hochkonjunktur hat, müssen IT-Verantwortliche auch über entsprechende moderne Lösungen nachdenken. Ist Disaster Recovery aus der Cloud verlässlich und sicher? Lohnt sich das im Katastrophenfall gar? lesen

Cyberangriffe werden immer raffinierter

State of Cybersecurity Report

Cyberangriffe werden immer raffinierter

Cybersicherheit ist als Thema auf der Vorstandsebene angekommen, die Eskalation hat sogar bereits staatliche Akteure erreicht. Vor diesem Hintergrund verwundert es nicht, dass das Weltwirtschaftsforum in seinem diesjährigen „Global Risk Report” Cyberattacken zu den vier weltweit größten Risiken zählt, direkt hinter den Folgen des Klimawandels, Wetterextremen und der Zunahme von Naturkatastrophen. lesen

Unternehmen brauchen bessere Security-Strategie

Wipro State of Cybersecurity Report 2019

Unternehmen brauchen bessere Security-Strategie

Die digitale Transformation treibt Unternehmen dazu, ihre Sicherheitsmaßnahmen zu überdenken. Immer mehr konzentrieren sich IT-Experten auf IoT und Cloud und entwickeln eigene Systeme zum Schutz gegen Cyber-Bedrohungen. Das sind Ergebnisse des neuen „State of Cybersecurity Report 2019” von Wipro. lesen

Hochschulnetzwerke – ein unkontrollierbares Chaos?

Der Feind im eigenen Netz

Hochschulnetzwerke – ein unkontrollierbares Chaos?

Unmengen an Daten kursieren an Hochschulen und den dazugehörigen Institutionen. Jeden Tag loggen sich Studierende, Universitäts-Angehörige und auch Gäste in das Netzwerk ein. Möglichkeiten dafür gibt es an vielen Orten: in der Bibliothek, den Seminarräumen, auf dem Campus oder im Wohnheim. Das ruft Kriminelle auf den Plan, die im Netzwerk kursierende Daten stehlen möchten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44718903 / Definitionen)