Glossar

Intrusion Prevention System

Was ist ein Intrusion Prevention System?

Ein Intrusion Prevention System (IPS) ist eine automatisierte Netzwerksicherheitstechnologie, um das Netzwerk zu überwachen und auf potenzielle Bedrohungen zu reagieren. Wie ein Intrusion Detection System (IDS) identifiziert ein IPS mögliche Bedrohungen, indem es den Netzwerk-Datenverkehr untersucht. Da ein Angriff sehr schnell ausgeführt werden kann, nachdem ein Angreifer Zugriff erhalten hat, reagieren Intrusion Prevention Systems automatisch auf eine Bedrohung. Diese Reaktion basiert auf Regeln, die zuvor vom Netzwerkadministrator festgelegt werden.

Die Hauptfunktionen eines IPS bestehen darin, verdächtige Aktivitäten zu erkennen, relevante Informationen zu protokollieren, zu versuchen, die Aktivität zu sperren und sie schließlich zu melden.

Zu den IPS gehören Firewalls, Antivirensoftware und Anti-Spoofing-Software. Unternehmen verwenden ein IPS außerdem für andere Zwecke, z. B. um Probleme mit Sicherheitsrichtlinien zu identifizieren, bestehende Bedrohungen zu dokumentieren und Einzelpersonen davon abzuhalten, gegen Sicherheitsrichtlinien zu verstoßen. IPS haben sich zu einem wichtigen Bestandteil aller großen Sicherheitsinfrastrukturen in modernen Unternehmen entwickelt.

So funktioniert ein IPS

Ein Intrusion Prevention System durchsucht den weitergeleiteten Netzwerk-Datenverkehr aktiv nach böswilligen Aktivitäten und bekannten Angriffsmustern. Die IPS-Engine analysiert den Netzwerk-Datenverkehr und vergleicht den digitalen Datenstrom kontinuierlich mit der internen Signaturdatenbank, um bekannte Angriffsmuster zu erkennen. Ein IPS kann ein Paket abwehren, das als bösartig eingestuft wurde, um anschließend sämtlichen zukünftigen Datenverkehr von der IP-Adresse oder dem Port des Angreifers zu sperren. Legitimer Datenverkehr kann ohne eine Unterbrechung des Service weiter passieren.

Intrusion Prevention Systems können auch komplizierte Monitoring-Aufgaben und Analysen durchführen, z. B. das Beobachten und Reagieren auf verdächtige Traffic-Muster oder -Pakete. Zu den Erkennungsmechanismen gehören u. a.:

  • Adressabgleich
  • Abgleich von HTTP-Strings und -Substrings
  • Allgemeiner Musterabgleich
  • TCP-Verbindungsanalyse
  • Erkennung von Paketanomalien
  • Erkennung von Traffic-Anomalien
  • TCP/UDP-Port-Abgleich

Ein IPS zeichnet in der Regel Informationen zu beobachteten Ereignissen auf, benachrichtigt Sicherheitsadministratoren und erstellt Berichte. Damit die Sicherheit des Netzwerks gewährleistet ist, kann ein IPS automatisch Präventions- und Sicherheitsupdates erhalten, sodass neu auftretende Internetbedrohungen ununterbrochen überwacht und gesperrt werden können.

Maßnahmen gegen Eindringversuche

Viele IPS können auch auf eine erkannte Bedrohung reagieren, indem sie aktiv verhindern, dass diese erfolgreich ist. Dafür verwenden sie verschiedene Reaktionsmethoden, wozu Folgende gehören:

  • Änderung der Sicherheitsumgebung: z. B. durch die Konfiguration einer Firewall, um den Schutz für bisher unbekannte Schwachstellen zu erhöhen.
  • Änderung der Inhalte des Angriffs: z. B. durch Ersetzen der schädlichen Bestandteile einer E-Mail wie gefälschte Links mit Warnungen über die gelöschten Inhalte.
  • Senden automatisierter Warnmeldungen an Systemadministratoren, um sie über mögliche Sicherheitsverstöße zu informieren.
  • Stoppen von erkannten bösartigen Paketen.
  • Zurücksetzen einer Verbindung.
  • Blockierung des Traffics der fraglichen IP-Adresse.

IPS-Klassifikationen

Intrusion Prevention Systems können in vier Hauptkategorien unterteilt werden:

  • Netzwerkbasiertes Intrusion Prevention System (NIPS): Analysiert die Protokollaktivität im gesamten Netzwerk und sucht nach nicht vertrauenswürdigem Datenverkehr.
  • Drahtloses Intrusion Prevention System (WIPS): Analysiert die Netzwerkprotokollaktivität im gesamten drahtlosen Netzwerk und sucht nach nicht vertrauenswürdigem Datenverkehr.
  • Host-basiertes Intrusion Prevention System (HIPS): Ein sekundäres Softwarepaket, das einen einzelnen Host auf böswillige Aktivitäten untersucht und Ereignisse auf diesem Host analysiert.
  • Network Behavior Analysis (NBA): Untersucht den Netzwerkverkehr, um Bedrohungen zu identifizieren, die verdächtige Traffic-Muster erzeugen. Die häufigsten Bedrohungen sind „Distributed Denial of Service“-Angriffe, verschiedene Formen von Malware und der Missbrauch von Richtlinien. Diese Methode sucht nach Mustern, um Angriffe zu erkennen. Durch geringfügige Anpassungen an die Angriffsarchitektur kann die Erkennung vermieden werden.

IPS-Erkennungsmethoden

Die meisten Intrusion Prevention Systems verwenden eine von drei Erkennungsmethoden: signaturbasierte Erkennung, statistische, auf Anomalien basierende Erkennung und Erkennung durch zustandsorientierte Protokollanalyse.

  • Signaturbasierte Erkennung: Ein signaturbasiertes IDS überwacht Pakete im Netzwerk und vergleicht sie mit vorab definierten Angriffsmustern, die als „Signaturen“ bezeichnet werden.
  • Statistische, auf Anomalien basierende Erkennung: Ein anomaliebasiertes IDS überwacht den Netzwerkverkehr und vergleicht ihn mit den erwarteten Traffic-Mustern. Es gibt eine Basis, anhand der sich erkennen lässt, was für das Netzwerk „normal“ ist, d. h. welche Arten von Paketen in der Regel durch das Netzwerk geleitet und welche Protokolle verwendet werden. Diese Methode kann jedoch einen Fehlalarm auslösen, auch wenn die Bandbreite legitim genutzt wird. Dies geschieht, wenn die Grundlinien nicht durchdacht konfiguriert werden.
  • Erkennung durch zustandsorientierte Protokollanalyse: Diese Methode erkennt Protokollabweichungen durch einen Abgleich der beobachteten Ereignisse mit den vorab definierten Profilen üblicher Aktivitäten.

Warum Intrusion Prevention Systems für Sie wichtig ist

Moderne vernetzte Geschäftsumgebungen erfordern ein hohes Maß an Sicherheit, um die sichere und vertrauenswürdige Weitergabe von Informationen zwischen verschiedenen Unternehmen zu gewährleisten. Ein Intrusion Prevention System dient als anpassbare sichere Technologie für den Schutz des Systems, wenn traditionelle Technologien versagen. Die Fähigkeit, Eindringversuche durch eine automatisierte Aktion zu verhindern, ohne dass die IT manuell eingreifen muss, hat geringere Kosten und eine bessere Performance-Flexibilität zur Folge. Cyberangriffe werden immer komplexer. Daher ist es wichtig, dass sich die zum Schutz implementierten Technologien an die Bedrohungen anpassen, gegen die sie eingesetzt werden.

Intrusion Prevention Systems – weiterführende Ressourcen

Zugehörige Begriffe

Weiterführende Ressourcen

Wie Barracuda Sie unterstützen kann

Barracuda CloudGen Firewall bietet ein erweitertes „Intrusion Detection and Prevention System (IDS/IPS)“, das ein Netzwerk in Echtzeit vor einer Vielzahl von Bedrohungen, Schwachstellen und Angriffen schützt. Die Lösung ist daher in der Lage, ausgeklügelte Umgehungsversuche und Verschleierungstechniken, die von Angreifern zur Umgehung und zur Täuschung herkömmlicher Intrusion Prevention Systems eingesetzt werden, zu erkennen und zu blockieren. Darüber hinaus können alle Barracuda CloudGen Firewall-Modelle IPS/IDS auf SSL-verschlüsselten Web-Traffic anwenden, wobei der Standardansatz „Trusted Man-in-the-Middle“ verwendet wird.

Haben Sie weitere Fragen zum Thema Intrusion Prevention Systems? Wir freuen uns auf Ihre Nachricht!