Was ist ein Intrusion Prevention System?
Ein Intrusion Prevention System (IPS) überwacht die Datenpakete eines Netzwerks für verdächtige Aktivitäten und versucht, mit spezifischen Richtlinien Maßnahmen zu ergreifen. Es wirkt etwas wie ein Intrusionserkennungssystem, das eine Firewall enthält, um Angriffe zu verhindern. Es sendet eine Warnung an ein Netzwerk- oder Systemadministrator, wenn etwas Verdächtiges erkannt wird, sodass der Administrator eine Aktion auswählen kann, wenn das Ereignis erfolgt. Intrusion Prevention Systems können ein gesamtes Netzwerk, drahtlose Netzwerkprotokolle, das Netzwerkverhalten und den Datenverkehr eines einzelnen Computers überwachen. Jedes IPS verwendet spezifische Erkennungsmethoden, um Risiken zu analysieren.
Abhängig vom IPS -Modell und seinen Merkmalen kann ein Intrusion Prevention System verschiedene Sicherheitsverletzungen erkennen. Einige können die Verbreitung von Malware über ein Netzwerk, das Kopieren großer Dateien zwischen zwei Systemen und die Verwendung verdächtiger Aktivitäten wie Portscannen erkennen. Nachdem das IPS das Problem mit seinen Sicherheitsregeln vergleicht, protokolliert sie jedes Ereignis und dokumentiert das EreignisFrequenz. Wenn der Netzwerkadministrator die IPS so konfiguriert hat, dass sie eine spezifische Aktion basierend auf dem Vorfall ausführen, wird das Intrusion Prevention System die zugewiesene Aktion durchführen. Eine grundlegende Warnung wird an den Administrator gesendet, damit er oder sie bei Bedarf zusätzliche Informationen auf den IPS anzeigen kann.
Es gibt vier allgemeine Arten von Intrusion Prevention Systems, darunter netzwerkbasiertes, drahtloses, Netzwerkverhaltensanalyse und hostbasiertes. Ein netzwerkbasiertes IPS analysiert verschiedene Netzwerkprotokolle und wird üblicherweise auf Remote-Zugriffsservern, virtuellen privaten Netzwerkservern und Routern verwendet. Ein drahtloses IPS beobachtet verdächtige Aktivitäten in drahtlosen Netzwerken und sucht auch nach nicht autorisierten drahtlosen Netzwerken in einem Gebiet. Die Netzwerkverhaltensanalyse sucht nach Bedrohungen, die ein Netzwerk abbauen oder Malware verbreiten könnten, und wird üblicherweise mit privaten Netzwerken verwendet, die mit dem Internet verbunden werden. Ein Host-Basierter IPS funktioniert auf einem einzelnen System und sucht nach seltsamen Anwendungsprozessen, ungewöhnlichem Netzwerkverkehr zum Host-, Dateisystemänderungs- und Konfigurationsänderungen.
Es gibt drei Erkennungsmethoden, die ein Intrusion Prevention System verwenden kann, und viele Systeme verwenden eine Kombination aus allen drei. Signaturbasierte Erkennung funktioniert gut, um bekannte Bedrohungen zu erkennen, indem ein Ereignis mit einer bereits dokumentierten Signatur verglichen wird, um festzustellen, ob ein Sicherheitsverstoß aufgetreten ist. Anomaliebasierte Erkennung sucht nach Aktivität, die im Vergleich zu den normalen Ereignissen, die in einem System oder Netzwerk auftreten, abnormal ist und besonders nützlich ist, um unbekannte Bedrohungen zu identifizieren. Zustandsfägige Protokollanalyse sucht nach Aktivität, die gegen die Normalität ein bestimmtes Protokoll verwendet wird.