Ein Intrusion Prevention System (IPS) spielt eine entscheidende Rolle im Bereich der Netzwerksicherheit, indem es die Erkennung von Angriffen auf Netzwerke oder Computersysteme ermöglicht und automatische Abwehrmaßnahmen ergreift. Im Vergleich zu herkömmlichen Firewall-Systemen bietet es einen zusätzlichen Schutzmechanismus und unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System.
Während ein IDS als passives Tool Sicherheitsprobleme und Angriffe aufspürt und Anwender oder Administratoren darüber informiert, agiert in IPS aktiv. Das IPS ist direkt im Übertragungsweg installiert und kann bei Bedarf einzelne Datenpakete blockieren, Verbindungen unterbrechen oder zurücksetzen.
Abwehrmaßnahmen eines IPS
Typischerweise sitzt ein Intrusion Prevention System direkt hinter einer Firewall und ergreift bei erkannten Anomalien oder Angriffsmustern unterschiedliche Maßnahmen zur Abwehr. Dazu gehören:
Verdächtige Pakete verwerfen
Verkehr von einer bestimmten Quelle blockieren
Verkehr zu einem bestimmten Ziel blockieren
Verbindungen unterbrechen oder zurücksetzen
Administratoren über Auffälligkeiten benachrichtigen
Funktionsweise und Erkennungsmethoden
Ein IPS arbeitet inline, was bedeutet, dass die Analyse des Datenverkehrs in Echtzeit erfolgen muss, ohne den Datenstrom zu verlangsamen. Zur Erkennung von Angriffsmustern verwenden IPS und IDS ähnliche Mechanismen. Bekannte Angriffsmuster werden durch einen Vergleich der analysierten Daten mit einer Datenbank gefunden. Die Wirksamkeit dieser Art ist abhängig vom Umfang und der Aktualität dieser Datenbank.
Zusätzlich zu der signaturbasierten Erkennung werden auch statische und anomaliebasierte Methoden zum Einsatz. Diese Methoden sind in der Lage, bisher unbekannte Angriffsmuster und –methoden aufzudecken, indem sie Abweichungen vom üblichen Betriebszustand identifizieren. Moderne Systeme setzen dabei auf Techniken der künstlichen Intelligenz und können teilweise selbstlernend arbeiten.
Arten von Intrusion Prevention System
Intrusion Prevention Systeme lassen sich in verschiedene Kategorien unterteilen. Hostbasierte IPS ist direkt auf dem zu schützenden System installiert und analysiert sämtliche empfangenen sowie gesendeten Daten, einschließlich der vom System generierten Protokolle. Wenn das IPS einen Angriff identifiziert, kann es aktiv in den Datenverkehr eingreifen oder einzelne Anwendungen auf dem Rechner beeinflussen.
Netzwerkbasierte IPS überwachen unmittelbar den Netzverkehr und können entweder als eigenständige Geräte oder als integrierter Bestandteil einer Firewall inline installiert sein. Diese Systeme schützen sämtliche mit dem Netzwerk verbundenen Rechner und Systeme vor Angriffen über das Netzwerk. Je nach Leistungsfähigkeit untersucht das IPS die übertragenen Daten auf Protokoll- oder Anwendungsebene.
Des Weiteren gibt es Intrusion Prevention Systeme, die nicht nur die übertragenen Datenmengen analysieren, sondern auch Abweichungen von den normalen Datenmengen zwischen bestimmten Quellen und Zielen in ihrer Angriffserkennung einbeziehen.
Integrierte IPS-Firewall-Lösung
Neben eigenständigen IPS-Geräten existieren auch Firewall-Systeme, die die IPS-Funktion direkt integrieren. Diese Lösungen sind vor allem in kleineren und mittleren Unternehmen beliebt, da sie ein einfaches Management ermöglichen. Das IPS kann direkt auf erkannte Angriffe reagieren, ohne dass aufwendige Konfigurationen für die Kommunikation zwischen IPS und Firewall erforderlich sind.
Insgesamt spielt ein Intrusion Prevention System eine entscheidende Rolle bei der Sicherung von Netzwerken vor potenziellen Bedrohungen und trägt dazu bei, die Integrität und Verfügbarkeit von Computersystemen zu gewährleisten.