Was ist ein Intrusion Prevention System?

Ein Intrusion Prevention System (IPS) überwacht die Datenpakete eines Netzwerks auf verdächtige Aktivitäten und versucht, mithilfe bestimmter Richtlinien Maßnahmen zu ergreifen. Es verhält sich wie ein Intrusion Detection-System, das eine Firewall enthält, um Angriffe zu verhindern. Es sendet eine Warnung an einen Netzwerk- oder Systemadministrator, wenn Verdacht besteht, und ermöglicht dem Administrator die Auswahl einer Aktion, die beim Eintreten des Ereignisses ausgeführt werden soll. Intrusion Prevention-Systeme können ein gesamtes Netzwerk, drahtlose Netzwerkprotokolle, das Netzwerkverhalten und den Datenverkehr eines einzelnen Computers überwachen. Jedes IPS verwendet spezifische Erkennungsmethoden, um Risiken zu analysieren.

Abhängig vom IPS-Modell und seinen Funktionen kann ein Intrusion Prevention-System verschiedene Sicherheitsverletzungen erkennen. Einige können die Ausbreitung von Malware über ein Netzwerk, das Kopieren großer Dateien zwischen zwei Systemen und die Verwendung verdächtiger Aktivitäten wie das Scannen von Ports erkennen. Nachdem das IPS das Problem mit seinen Sicherheitsregeln verglichen hat, protokolliert es jedes Ereignis und dokumentiert die Häufigkeit des Ereignisses. Wenn der Netzwerkadministrator das IPS so konfiguriert hat, dass eine bestimmte Aktion basierend auf dem Vorfall ausgeführt wird, ergreift das Intrusion Prevention-System die zugewiesene Aktion. An den Administrator wird eine grundlegende Warnung gesendet, damit er angemessen reagieren oder bei Bedarf zusätzliche Informationen zum IPS anzeigen kann.

Es gibt vier allgemeine Arten von Intrusion Prevention-Systemen, darunter netzwerkbasierte, drahtlose, Netzwerkverhaltensanalyse und hostbasierte. Ein netzwerkbasiertes IPS analysiert verschiedene Netzwerkprotokolle und wird häufig auf RAS-Servern, virtuellen privaten Netzwerkservern und Routern verwendet. Ein drahtloses IPS überwacht verdächtige Aktivitäten in drahtlosen Netzwerken und sucht auch nach nicht autorisierten drahtlosen Netzwerken in einem Gebiet. Die Netzwerkverhaltensanalyse sucht nach Bedrohungen, die ein Netzwerk beschädigen oder Malware verbreiten können, und wird häufig in privaten Netzwerken verwendet, die eine Verbindung zum Internet herstellen. Ein hostbasiertes IPS funktioniert auf einem einzelnen System und sucht nach ungewöhnlichen Anwendungsprozessen, ungewöhnlichem Netzwerkverkehr zum Host, Dateisystemänderungen und Konfigurationsänderungen.

Es gibt drei Erkennungsmethoden, die ein Intrusion Prevention-System verwenden kann, und viele Systeme verwenden eine Kombination aus allen drei Methoden. Die signaturbasierte Erkennung eignet sich gut zum Erkennen bekannter Bedrohungen, indem ein Ereignis mit einer bereits dokumentierten Signatur verglichen wird, um festzustellen, ob eine Sicherheitsverletzung aufgetreten ist. Die auf Anomalien basierende Erkennung sucht nach Aktivitäten, die im Vergleich zu normalen Ereignissen in einem System oder Netzwerk abnormal sind, und ist besonders nützlich, um unbekannte Bedrohungen zu identifizieren. Die statusbehaftete Protokollanalyse sucht nach Aktivitäten, die im Widerspruch zur normalen Verwendung eines bestimmten Protokolls stehen.