• Zur Hauptnavigation springen
  • Skip to main content
  • Zur Hauptsidebar springen

Was ist Malware?

Schützen Sie Ihren PC vor Schadsoftware!

  • Home
  • Malware
    • Computervirus
    • Computerwurm
    • Trojaner
    • Spyware
    • Adware
    • Backdoor
  • Schutz
    • Virenschutz
    • Antivirenprogramme
    • Schutz durch Firewall
    • Verschlüsselung von Informationen
  • Entfernen
    • Malware entfernen
    • Virus entfernen
    • Computerwurm entfernen
    • Trojaner entfernen
    • Spyware entfernen
    • Adware entfernen
  • Antivirus Blog
Startseite / IT-Sicherheit / Was ist ein Intrusion Prevention System (IPS)?

Was ist ein Intrusion Prevention System (IPS)?

von Enrico Lauterschlag Hinterlasse einen Kommentar

Ein IPS – Intrusion Prevention System – erkennt Angriffe auf Computersysteme und Netzwerke. Wenn solche Angriffe erfolgen, löst das Intrusion Prevention System automatische Abwehrmaßnahmen aus. Im übergreifenden Sinne gehört das Intrusion Prevention System zu den Intrusion Detection Systemen (IDS), beziehungsweise verfügt auch über deren Funktionen.

IPS sind Systeme, welche wie alle Schutzsysteme Events (Ereignisse) generieren, aber darüber hinaus über Funktionen verfügen, die entdeckte Angriffe abwehren können und daher herkömmliche Firewall-Systeme sowohl ergänzen als auch in diesen implementiert sein können.

Lernen Sie in diesem Artikel die Unterschiede zwischen einem Intrusion Prevention System und einem Intrusion Detection System kennen. Außerdem erklären wir Ihnen die möglichen Abwehrmaßnahmen eines Intrusion Prevention Systems und ob sich die Integration eines IPS’s eher als Standalone-Variante oder als Firewall-System eignet.

Unterschiede zwischen dem Intrusion Prevention System und einem Intrusion Detection System

Ein IPS und ein IDS nutzen ähnliche Technologien, um Sicherheitsprobleme zu erkennen und zu beheben. Es sind beides zusätzliche Systeme für den Schutz von Rechnern und Netzwerken, doch es gibt klare Unterschiede aufgrund einiger Funktionalitäten.

  • Das Intrusion Detection System ist ein passives Tool. Es spürt Sicherheitsprobleme und Angriffe auf, darüber informiert es den Anwender oder Administrator.
  • Ein Intrusion Prevention System reagiert aktiv. Es erkennt genauso wie das IDS Bedrohungen, ergreift aber zusätzlich selbstständige Schutzmaßnahmen für das Netzwerk oder Computersystem. Zu diesem Zweck ist das IPS inline installiert, und zwar direkt im Übertragungsweg des Anwenders. Im Alarmfall kann es einzelne Datenpakete blockieren. Alternativ unterbricht es die Verbindungen und setzt sie anschließend zurück. Die Integration in eine Firewall ist üblich, aber nicht unbedingt zwingend. Wenn das IPS mit der Firewall kooperiert, beeinflusst es aktiv deren Regeln.
Unterschied zwischen einem Intrusion Prevention System und einem Intrusion Detection System
Unterschied zwischen einem Intrusion Prevention System und einem Intrusion Detection System
By Чинбаатар (Own work) [CC BY-SA 4.0], via Wikimedia Commons

Mögliche Abwehrmaßnahmen durch das Intrusion Prevention System

Das IPS wird überwiegend hinter der Firewall installiert. Wenn es Anomalien oder Angriffsmuster erkennt, ergreift es unterschiedliche Maßnahmen. Den möglichen Angriff wehrt es auf mehrere Arten ab:

  • Es verwirft verdächtige Pakete.
  • Es blockiert den Verkehr von bestimmten Quellen und zu bestimmten Zielen.
  • Es unterbricht Verbindungen und/oder setzt sie zurück.
  • Wie das IDS informiert es den Netzwerkadministrator über Auffälligkeiten.

Aufgrund der Inline-Installation des Intrusion Prevention Systems muss es den Datenverkehr in Echtzeit analysieren. Dabei darf es den Datenstrom nicht verlangsamen, außerdem muss die Datenanalyse lückenlos erfolgen. Eine Schwäche wäre, wenn das IPS diese wegen zu hoher Übertragungsgeschwindigkeiten aussetzt. Das Ausfiltern von Ereignissen, die auf einen Angriff, einen Missbrauchsversuch oder eine Sicherheitsverletzung hindeuten, muss absolut zeitnah erfolgen. Ebenso schnell meldet ein gutes Intrusion Prevention System solche Ereignisse dem Administrator.

Die Verfahren der Mustererkennung sind sehr bewährt, wenn die Angriffsmuster prinzipiell bekannt sind. Solche Muster sind in Datenbanken hinterlegt. Vom Umfang einer solchen Datenbank hängen die Effizienz und Wirksamkeit des IPS entscheidend ab. Um bislang unbekannte Angriffe zu erkennen und abzuwehren, verwenden fortschrittliche IPS auch heuristische Methoden, also die Verarbeitung von unvollständigen Informationen. Im Rahmen der Heuristik zieht das Intrusion Prevention System statistische Daten und allgemeine Erkenntnisse über Anomalien in Mustern heran, wobei auch künstliche Intelligenz und Selbstlernprozesse zum Einsatz kommen.

Das Intrusion Prevention System sollte sehr schnell arbeiten, übliche Latenzzeiten für die Datenuntersuchung liegen unter 100 Mikrosekunden. Eine wichtige Funktion von IPS-Systemen auf OSI-Layer-2-Basis ist die Funktionsfähigkeit auch bei Stromausfall (Zero-Power High Availability), das IPS leitet dennoch die IP-Rahmen weiter. Ein netzwerkbasiertes Intrusion Prevention System kann selbstständig bei jedem Alarm den Datenstrom unterbrechen, es kann ihn auch verändern. Hierfür verfügt es über Module zur Beeinflussung der Regeln einer Firewall.

Arten von IPS

Es gibt die folgenden Arten von Intrusion Prevention Systemen:

  • HIPS (Host-based IPS): Die Ausführung erfolgt auf dem zu schützenden Computer.
  • NIPS (Network-based IPS): Das System überwacht den Netzwerkverkehr.
    • CBIPS (Content-based IPS): Dieses Intrusion Prevention System untersucht ankommende Inhalte auf gefährliche Komponenten.
    • PAIPS (Protocol-Analysis IPS): Hiermit werden Übertragungen auf Protokollebene analysiert, um eventuelle Angriffsmuster zu entdecken.
    • RBIPS (Rate-based IPS): Mit diesem IPS erfolgt eine Überwachung des Datenverkehrs hinsichtlich seiner Art und Menge. Auch das liefert Aufschlüsse zu möglichen Angriffsmustern von Hackern oder Crackern.

IPS als Standalone- oder Firewall-System

Es gibt beide Arten von IPS als Standalone-Lösung und Firewall-System. In Letzterem ist die IPS-Funktion integriert. Standalone-Lösungen eignen sich aufgrund ihrer Kapazitäten für große Netzwerke mit hohem Datenaufkommen, Firewall-Systeme für Freelancer, kleinere Gewerbetreibende und auch KMU mit normalem Datenverkehr. Der Vorteil besteht nicht nur in den geringeren Kosten für das System an sich (die Kosten gehören zur Firewall), sondern auch im einfacheren Management des IPS. Das Intrusion Prevention System soll ja ohnehin die Firewallregeln beeinflussen. Bei einer Standalone-Lösung müssen hierfür die Kommunikationswege zwischen der Firewall und dem IPS konfiguriert werden. Dieser Aufwand entfällt bei einem in die Firewall integrierten Intrusion Prevention System.

Lesen Sie auch:


  • Was ist ein Intrusion Detection System (IDS)?
  • Honeypot – Sicherheitssystem um Hacker in die Falle zu locken
  • Botnet Check: So erkennen und entfernen Sie einen Botnet-Client

Kategorie: IT-Sicherheit

Leser-Interaktionen

4-Punkte-Plan für einen guten Virenschutz

1Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.

2Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor Phishing-Mails.

3Verwenden Sie ein aktuelles Antivirenprogramm und halten die Virendefinition stets aktuell.

4Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht. Mehr Informationen zur Firewall

Ich will mehr Sicherheit

Hinterlasse einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Haupt-Sidebar

Virenschutz

Geben Sie Schadprogrammen keine Chance! Lernen Sie die 10 effektivsten Maßnahmen für einen optimalen Virenschutz kennen.

Virenschutz

Aus dem Antivirus Blog

  • So erstellen Sie sichere Passwörter
  • Wie ein bewusster Umgang mit dem Smartphone die Umwelt schont
  • Wie Sie Ihren Computer vor Viren und Malware schützen können
  • Was ist SEO-Spam und wie kann man seine Website davor schützen?
  • Warum sind Office 365 Backups notwendig?

Beliebteste Artikel

  • Der optimale Virenschutz für Ihren Rechner
  • Was ist ein Antivirenprogramm und welche sind empfehlenswert?
  • Der Computervirus
  • Der Computerwurm – Gefährlicher Bruder des Computervirus
  • Spyware – Die Spähsoftware auf Ihrem Computer

Werbung

Copyright © 2023 · Impressum · Datenschutz · * = Affiliate-Links