Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

| Autor / Redakteur: tutanch / Peter Schmitz

Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems.
Ein Intrusion Prevention System (IPS ist in der Lage, Bedrohungen zu erkennen und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. (Bild: Pixabay / CC0)

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS).

Obwohl IDS und IPS ähnliche Technologien zur Erkennung von Sicherheitsproblemen nutzen und beide als zusätzliche Systeme zum Schutz von Netzwerken und Rechnern verwendet werden, lassen sie sich aufgrund unterschiedlicher Funktionen klar unterscheiden.

Ein Intrusion Detection System kann als passives Tool verstanden werden, dass Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert. Das IPS ist ebenfalls in der Lage, Bedrohungen zu erkennen, arbeitet aber aktiv und ergreift selbständig Maßnahmen zum Schutz des Netzwerkes oder des Computersystems. Hierfür ist das Intrusion Prevention System inline direkt im Übertragungsweg installiert und kann in einem Alarmfall einzelne Datenpakete blockieren oder die Verbindungen unterbrechen und zurücksetzen. Meist arbeitet das IPS direkt mit einer Firewall zusammen und beeinflusst deren Regeln aktiv.

Mögliche Abwehrmaßnahmen eines IPS

Das IPS sitzt in den meisten Fällen direkt hinter einer Firewall und kann bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr des Angriffes ergreifen. Diese Maßnahmen können beispielsweise folgendermaßen aussehen:

  • verdächtige Pakete verwerfen
  • Verkehr von einer bestimmten Quelle blockieren
  • Verkehr zu einem bestimmten Ziel blockieren
  • Verbindungen unterbrechen oder zurücksetzen
  • ähnlich wie ein IDS Administratoren über Auffälligkeiten informieren

Da das Intrusion Prevention System inline arbeitet, muss die Analyse des Datenverkehrs in Echtzeit erfolgen. Das IPS darf den Datenstrom weder verlangsamen noch die Analyse der Daten aufgrund zu hoher Übertragungsgeschwindigkeiten aussetzen.

Erkennungsmethoden eines Intrusion Prevention Systems

Um Auffälligkeiten, Abnormalitäten oder direkte Angriffsmuster zu erkennen, nutzen IDS und IPS im Prinzip gleiche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Je umfangreicher und aktueller diese Datenbank ist, desto wirksamer ist diese Art der Erkennung.

Neben dieser Signatur-basierten Erkennung kommen zusätzlich statistische und Anomalie-basierte Methoden zum Einsatz. Diese sind in der Lage, durch Abweichungen vom Normalbetrieb auch bisher unbekannte Angriffsmuster und -methoden aufzuspüren. Modern Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend.

Unterschiedliche Arten eines IPS

Wie bei einem IDS lassen sich Intrusion Prevention Systeme in verschiedene Arten unterteilen. Das Host-basierte IPS ist direkt auf dem zu schützenden System installiert. Es analysiert alle empfangenen und gesendeten Daten und die vom System selbst bereitgestellten Daten wie Logs. Stellt das IPS einen Angriff fest, kann es in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.

Netzwerk-basierte Intrusion Prevention Systeme überwachen direkt den Netzverkehr und sind als separates Gerät oder integriert in eine Firewall inline installiert. Sie können alle am Netzwerk angeschlossenen Rechner und Systeme vor Angriffen über das Netzwerk schützen. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene. Darüber hinaus existieren auch Intrusion Prevention Systeme, die die übertragenen Datenmengen und Abweichungen von den üblichen Datenmengen zwischen bestimmten Quellen und Zielen in die Angriffserkennung mit einbeziehen.

In eine Firewall integrierte Intrusion Prevention Systeme

Neben Intrusion Prevention Systemen, die als Standalone-Geräte konzipiert sind, existieren Firewall-Systeme, in denen die IPS Funktion direkt integriert ist. In der Regel kommen solche integrierten Systeme für Netzwerke in kleineren oder mittleren Unternehmen zum Einsatz. Ein Vorteil einer solchen Lösung liegt in einem einfachen Management des Systems. Das IPS ist direkt in der Lage, die Firewallregeln bei erkannten Angriffen zu beeinflussen, ohne dass aufwendige Verbindungen und Regelwerke für die Kommunikation zwischen IPS und Firewall zu konfigurieren sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Zunahme von Attacken auf Webanwendungen

State of the Internet Q3 2017

Zunahme von Attacken auf Webanwendungen

Angriffe auf Webanwendungen nehmen weiter zu. Das zeigt der neue „State of the Internet“-Sicherheitsbericht für das 3. Quartal 2017 von Akamai Technologies. In den Vorweihnachtszeit zielen Cyberkriminelle mit veränderten und weiterentwickelten Angriffstypen besonders auf Online-Händler, sowie IoT- und Mobilgeräte. lesen

Grundlagen der Endpoint Security

Endgerätesicherheit

Grundlagen der Endpoint Security

Endpoint Protection-Lösungen sichern die Workstations und Server im Netz gegen Angriffe aller Art ab. Sie bestehen üblicherweise einerseits aus einer zentralen Verwaltungskonsole, über die die zuständigen Mitarbeiter die Konfiguration vornehmen, und andererseits Agenten, die auf den zu sichernden Clients laufen und dort die Policies umsetzen, die im Management-Tool festgelegt wurden. Security-Insider zeigt, welche Funktionen ein gutes Endpoint Protection-Produkt mitbringen sollte und stellt außerdem die wichtigsten Hersteller in diesem Bereich vor. lesen

WatchGuard UTM-Appliances werden schneller

WatchGuard Firebox T-Serie

WatchGuard UTM-Appliances werden schneller

WatchGuard Technologies beschleunigt seine UTM-Appliances der Firebox T-Serie für kleine und dezentral aufgestellte Unternehmen dank neuer Hardware deutlich. Durch den verbesserten Datendurchsatz halten die Systeme mit den steigenden Anforderungen bei der Absicherung von Home Offices oder kleineren Niederlassungen konsequent mit. lesen

Was ist Unified Threat Management (UTM)?

Definition UTM

Was ist Unified Threat Management (UTM)?

Unified Threat Management bezeichnet eine Sicherheitslösung, die mehrere Sicherheitssysteme und -funktionen in einer einzigen Appliance bereitstellt. Bestandteile von UTM sind Firewalls, IDS- und IPS-Systeme, Virenschutz, Gateways, VPNs, Spamfilter und Contentfilter. lesen

Das sind die Gewinner der IT-Awards 2017

IT-Awards 2017

Das sind die Gewinner der IT-Awards 2017

Die Gewinner der IT-Awards 2017 stehen fest. Im Rahmen einer festlichen Gala wurden am 12. Oktober 2017 in Augsburg die Gewinner der Readers‘ Choice Awards der sieben Insider-Portale gekürt. lesen

Grundlagen der Next Generation Firewall (NGFW)

Was ist eine NGFW?

Grundlagen der Next Generation Firewall (NGFW)

Bei Next Generation Firewalls (NGFW) handelt es sich um Sicherheitslösungen, die über die Protokoll- und Port-Inspection klassischer Firewalls hinausgehen und Datenanalysen auf Anwendungsebene ermöglichen. Security-Insider zeigt, welche Technologien in diesem Zusammenhang zum Einsatz kommen, welchen Funktionsumfang die Next Generation Firewalls heutzutage üblicherweise haben und welche Hersteller im Enterprise-Segment eine wichtige Rolle spielen. lesen

Was ist ein Zero-Day-Exploit?

Definition Zero Day Exploit

Was ist ein Zero-Day-Exploit?

Ein Zero-Day-Exploit ist eine besondere Form des Exploits, also des Ausnutzens einer Schwachstelle, bei dem für eine entdeckte Sicherheitslücke noch kein Patch existiert. Ein solcher Exploit lässt sich für sehr gefährliche, weil unbemerkte Zero-Day-Angriffe verwenden, die beispielsweise Rootkits, Remote Access Trojaner (RATs) oder andere Malware verbreiten. lesen

iPhone X mit Face ID statt Touch ID

Neue Produkte von Apple

iPhone X mit Face ID statt Touch ID

Zum zehnjährigen Jubiläum des iPhone will Apple sich selbst, aber vor allem den Konkurrenten Samsung, der eben das Galaxy Note 8 auf den Markt gebracht hat, übertreffen. Im neuen Hauptquartier, dem „Steve Jobs Theater“ im Apple Park in Cupertino, stellte Apple gestern Abend dann unter anderem auch das erwartete Spitzenmodell iPhone X vor – mit spannender neuer Technik und einem happigen Einstiegspreis. lesen

Wieder mehr DDoS-Angriffe

State of the Internet Q2 2017

Wieder mehr DDoS-Angriffe

Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im „State of the Internet“ Sicherheitsbericht für das 2. Quartal 2017 von Akamai. Konkret konnten die Security-Experten das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718903 / Definitionen)