Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

| Autor / Redakteur: tutanch / Peter Schmitz

Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems.
Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. (Bild: Pixabay / CC0)

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS).

Obwohl IDS und IPS ähnliche Technologien zur Erkennung von Sicherheitsproblemen nutzen und beide als zusätzliche Systeme zum Schutz von Netzwerken und Rechnern verwendet werden, lassen sie sich aufgrund unterschiedlicher Funktionen klar unterscheiden.

Ein Intrusion Detection System kann als passives Tool verstanden werden, dass Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert. Das IPS ist ebenfalls in der Lage, Bedrohungen zu erkennen, arbeitet aber aktiv und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. Hierfür ist das Intrusion Prevention System inline direkt im Übertragungsweg installiert und kann in einem Alarmfall einzelne Datenpakete blockieren oder die Verbindungen unterbrechen und zurücksetzen. Meist arbeitet das IPS direkt mit einer Firewall zusammen und beeinflusst deren Regeln aktiv.

Mögliche Abwehrmaßnahmen eines IPS

Das IPS sitzt in den meisten Fällen direkt hinter einer Firewall und kann bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr des Angriffes ergreifen. Diese Maßnahmen können beispielsweise folgendermaßen aussehen:

  • verdächtige Pakete verwerfen
  • Verkehr von einer bestimmten Quelle blockieren
  • Verkehr zu einem bestimmten Ziel blockieren
  • Verbindungen unterbrechen oder zurücksetzen
  • ähnlich wie ein IDS Administratoren über Auffälligkeiten informieren

Da das Intrusion Prevention System inline arbeitet, muss die Analyse des Datenverkehrs in Echtzeit erfolgen. Das IPS darf den Datenstrom weder verlangsamen noch die Analyse der Daten aufgrund zu hoher Übertragungsgeschwindigkeiten aussetzen.

Erkennungsmethoden eines Intrusion Prevention Systems

Um Auffälligkeiten, Abnormalitäten oder direkte Angriffsmuster zu erkennen, nutzen IDS und IPS im Prinzip gleiche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Je umfangreicher und aktueller diese Datenbank ist, desto wirksamer ist diese Art der Erkennung.

Neben dieser Signatur-basierten Erkennung kommen zusätzlich statistische und Anomalie-basierte Methoden zum Einsatz. Diese sind in der Lage, durch Abweichungen vom Normalbetrieb auch bisher unbekannte Angriffsmuster und -methoden aufzuspüren. Modern Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend.

Unterschiedliche Arten eines IPS

Wie bei einem IDS lassen sich Intrusion Prevention Systeme in verschiedene Arten unterteilen. Das Host-basierte IPS ist direkt auf dem zu schützenden System installiert. Es analysiert alle empfangenen und gesendeten Daten und die vom System selbst bereitgestellten Daten wie Logs. Stellt das IPS einen Angriff fest, kann es in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.

Netzwerk-basierte Intrusion Prevention Systeme überwachen direkt den Netzverkehr und sind als separates Gerät oder integriert in eine Firewall inline installiert. Sie können alle am Netzwerk angeschlossenen Rechner und Systeme vor Angriffen über das Netzwerk schützen. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene. Darüber hinaus existieren auch Intrusion Prevention Systeme, die die übertragenen Datenmengen und Abweichungen von den üblichen Datenmengen zwischen bestimmten Quellen und Zielen in die Angriffserkennung mit einbeziehen.

In eine Firewall integrierte Intrusion Prevention Systeme

Neben Intrusion Prevention Systemen, die als Standalone-Geräte konzipiert sind, existieren Firewall-Systeme, in denen die IPS Funktion direkt integriert ist. In der Regel kommen solche integrierten Systeme für Netzwerke in kleineren oder mittleren Unternehmen zum Einsatz. Ein Vorteil einer solchen Lösung liegt in einem einfachen Management des Systems. Das IPS ist direkt in der Lage, die Firewallregeln bei erkannten Angriffen zu beeinflussen, ohne dass aufwendige Verbindungen und Regelwerke für die Kommunikation zwischen IPS und Firewall zu konfigurieren sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Krypto-Mining wird der nächste Cybercrime-Hype

Mobile Cryptojacking-Malware

Krypto-Mining wird der nächste Cybercrime-Hype

Hacker nutzen jede noch so kleine Sicher­heits­lücke für ihren Vorteil. Hardware-Hersteller von Computern, Smartphones, Tablets oder Cloud-Servern packen immer mehr CPU-Kerne und Arbeitsspeicher in ihre Geräte. Dadurch werden diese Systeme ein immer interessanteres Ziel für Cyberkriminelle um mittels Crypto-Mining-Botnetz große Gewinne mit Kryptowährungen zu erzielen. lesen

Automatische Abwehr von DDoS-Angriffen

DDoS-Attacken abwehren

Automatische Abwehr von DDoS-Angriffen

Die Zahl der DDoS-Angriffe auf Unternehmen in der DACH-Region steigt. Die Attacken werden dabei immer komplexer und erreichen laufend neue Volumen-Rekorde. Außerdem kombinieren Cyberkriminelle zunehmend unterschiedliche Angriffsmethoden und Verschleierungstaktiken, um bestehende Abwehrmechanismen in Unternehmen auszuhebeln. lesen

Trend Micro führend bei Endpunktsicherheit

[Gesponsert]

Erst Gartner, jetzt Forrester

Trend Micro führend bei Endpunktsicherheit

„Trend Micro bietet weiterhin die flexibelste und vollständigste Suite auf dem Markt.“ Das bestätigen gleich zwei unabhängige Forschungsunternehmen in ihren aktuellen Untersuchungsberichten zu Endpunktsicherheit. lesen

Machine Learning und KI in der Endpoint Security

Endgeräte-Sicherheit für Unternehmen

Machine Learning und KI in der Endpoint Security

Herkömmliche Endpoint-Security-Lösungen sind Mangels Gedächtnis und Fähigkeit zur Zu­sam­men­arbeit mit anderen Elementen der Security gegenüber vielschichtigen, langfristig an­ge­setz­ten Angriffen machtlos. Kooperative Lösungen mit Gedächtnis sollen im Verbund mit Tech­no­lo­gien wie Big-Data-Analysen, Machine Learning (ML) und Künstlicher Intelligenz (KI) eine wirkungsvolle Verteidigung bilden. lesen

Keine Chance für unbekannte Bedrohungen

[Gesponsert]

Moderne Firewalls müssen kommunizieren können

Keine Chance für unbekannte Bedrohungen

Die Integration neuer Technologien wird immer wichtiger für effektive Netzwerksicherheit. Die XG Firewall vereint Deep Learning und Schutztechnologien, die unbekannte Bedrohungen wie Ransomware zuverlässig blockieren. lesen

Was ist ein Managed Security Service (MSS)

Definition MSS / MSSP

Was ist ein Managed Security Service (MSS)

Managed Security Services (MSS) sind Dienstleistungen zur Verwaltung und Sicherstellung der IT-Sicherheit von Unternehmen oder Organisationen. Anbieter dieser Dienstleistungen sind die Managed Security Service Provider (MSSP). Je nach Anbieter können die Services unterschiedlichen Leistungsumfang haben. lesen

Rechenleistung kapern mit Krypto-Mining

Krypto-Mining auf einen Blick

Rechenleistung kapern mit Krypto-Mining

Das Jahr 2018 ist gerade erst ein paar Monate alt, und schon jetzt setzt sich der Trend der letzten Monate des Jahres 2017 weiter fort. Krypto-Mining-Malware wird rasch zum bevorzugten Modus Operandi der Angreifer. Im Dezember 2017 sandten 88 Prozent aller Remote Code Execution-Angriffe (RCE) einen Request an eine externe Quelle, um eine Krypto-Mining-Malware herunterzuladen. lesen

Webmaster in der HTTPS-Pflicht

Transportverschlüsselung Teil 2

Webmaster in der HTTPS-Pflicht

Als ob die DSGVO alleine vielen Administratoren nicht schon genug schlaflose Nächte verursacht hätte, möchte Google unter Androhung eigener Sanktionen das Internet zwangsweise auf HTTPS umstellen. IT-Verantwortliche geraten einmal wieder in Zugzwang, wenn sie nicht riskieren wollen durch Google abgestraft zu werden und dadurch wertvollen Traffic aus Deutschlands meistgenutzter Websuche zu verlieren. lesen

Moderne Sicherheit am Endpoint

Kaspersky Endpoint Security for Business

Moderne Sicherheit am Endpoint

Unternehmen stehen heute Cyberkriminellen gegenüber, Ransomware-Massenangriffe mit fortschrittlichen Exploits, kreative Spam- und Phishing-Kampagnen, sowie gezielte Social-Engineering-Attacken gegen sie einsetzen. Die neue Version von Kaspersky Endpoint Security for Business will hier moderne Erkennungstechniken und mehrschichtigen Schutz entgegensetzen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718903 / Definitionen)