Was ist ein IPS (Intrusion-Prevention-System)?
Ein IPS (Intrusion-Prevention-System) kann Angriffe auf Computersysteme oder Netzwerke erkennen und automatisch abwehren. Das IPS bietet gegenüber einer klassischen Firewall einen zusätzlichen Schutz und unterscheidet sich mit den integrierten Funktionen von einem IDS (Intrusion-Detection-System). Es kommt als zusätzliches System zum Schutz von Netzwerken und Rechnern zum Einsatz.
Was kann ein IPS?
Das IPS spürt Sicherheitsprobleme und Angriffe auf und kann im Gegensatz zum IDS mehr, als den Administrator über Risiken zu informieren. Das IPS schützt das Netzwerk oder Computersystem automatisch. Es blockiert Datenpakete, bricht Verbindungen ab und setzt diese zurück. In den meisten Fällen setzen Administratoren das IPS in Kombination mit einer Firewall ein, wobei das IPS die Regeln der Firewall aktiv beeinflusst. Es sitzt dafür direkt hinter der Firewall und führt je nach Angriff entsprechende Maßnahmen durch. Dazu gehört unter anderem:
das Verwerfen verdächtiger Datenpakete
das Blockieren einer bestimmten Datenquelle
das Unterbrechen oder Zurücksetzen von Verbindungen
das Informieren des Administrators über mögliche Gefahren
Das IPS arbeitet inline, die Analyse erfolgt in Echtzeit und der Datenstrom darf nicht verlangsamt werden.
Wie erkennt ein IPS echte Risiken?
Zum Erkennen von Unregelmäßigkeiten vergleicht das IPS die eingehenden Daten mit einer Datenbank, in der bekannte Angriffsmuster gespeichert sind. Zusätzlich zu dieser, auf Signaturen basierenden Identifizierung wendet das Intrusion-Prevention-System auf Anomalien basierende und statistische Methoden an. Abweichungen vom normalen Betrieb lassen sich auf diese Weise erkennen, auch bisher unbekannte Sicherheitsprobleme und Angriffsmuster werden mit heuristischen Methoden aufgedeckt. Aktuelle IPS setzen die künstliche Intelligenz ein und arbeiten teilweise selbstlernend. Das heißt, die Programme werden immer besser.
Welche Arten von Intrusion-Prevention-Systemen gibt es?
Ein Host-basiertes IPS ist auf dem System installiert, das es schützen soll. Das IPS überwacht sämtliche empfangenen und gesendeten Daten und greift im Falle eines Angriffs in den Datenverkehr ein oder stoppt ein bestimmtes Programm.
Die Alternative ist das Netzwerk-basierte IPS, das als separates Gerät oder in eine Firewall inline integriert arbeitet. Es überwacht den Netzwerkverkehr und schützt so alle im Netzwerk befindlichen Geräte vor Angriffen, die über das Netzwerk erfolgen. In kleineren und mittleren Unternehmen kommen bevorzugt die Firewall-Systeme mit integrierter IPS-Funktion zum Einsatz.