Kurz gesagt, ein IPS (Intrusion Prevention System), auch bekannt als IDPS (Intrusion Detection Prevention System), ist eine Technologie, die ein Netzwerk auf bösartige Aktivitäten hin überwacht, die versuchen, bekannte Schwachstelle auszunutzen.
Die Hauptfunktion eines Intrusion Prevention Systems besteht darin, verdächtige Aktivitäten zu identifizieren und die Bedrohung entweder zu erkennen und zuzulassen (IDS) oder zu verhindern (IPS). Der Versuch wird protokolliert und den Netzwerkmanagern oder den Mitarbeitern des Security Operations Center (SOC) gemeldet.
Get a Personal Firewall Demo Miercom 2024 NGFW-Sicherheitsbenchmark
IPS-Technologien können Netzwerk-Sicherheitsangriffe wie Brute-Force-Angriffe, Denial-of-Service-Angriffe (DoS) und Schwachstelle-Exploits erkennen oder verhindern. Eine Schwachstelle ist eine Schwachstelle in einem Softwaresystem und ein Exploit ist ein Angriff, der diese Schwachstelle ausnutzt, um die Kontrolle über ein System zu erlangen. Wenn ein Exploit bekannt gegeben wird, besteht für Angreifer häufig die Möglichkeit, diese Schwachstelle auszunutzen, bevor der Sicherheitspatch angewendet wird. In diesen Fällen kann ein Intrusion Prevention System eingesetzt werden, um diese Angriffe schnell abzuwehren.
Da IPS-Technologien Paketströme überwachen, können sie auch eingesetzt werden, um die Verwendung sicherer Protokolle zu erzwingen und die Nutzung unsicherer Protokolle, wie z. B. frühere Versionen von SSL oder Protokolle mit schwachen Chiffren, zu unterbinden.
IPS-Technologien haben Zugriff auf Pakete, bei denen sie eingesetzt werden, entweder als Network Intrusion Detection Systems (NIDS) oder als Host Intrusion Detection Systems (HIDS). Ein Netzwerk-IPS hat einen größeren Überblick über das gesamte Netzwerk und kann entweder online im Netzwerk oder offline zum Netzwerk als passiver Sensor eingesetzt werden, der Pakete von einem Netzwerk-TAP oder SPAN-Port empfängt.
Die verwendete Erkennungsmethode kann signatur- oder anomaliebasiert sein. Vordefinierte Signaturen sind Muster bekannter Netzwerkangriffe. Das IPS vergleicht Paketströme mit der Signatur, um festzustellen, ob eine Musterübereinstimmung vorliegt. Anomaliebasierte Intrusion-Detection-Systeme verwenden Heuristiken, um Bedrohungen zu identifizieren, indem sie beispielsweise eine Stichprobe des Datenverkehrs mit einer bekannten Basislinie vergleichen.
Frühe Implementierungen der Technologie wurden im Erkennungsmodus auf dedizierten Sicherheitsgeräten bereitgestellt. Da die Technologie ausgereift ist und in die integrierte Firewall der nächsten Generation oder UTM-Gerät integriert wurde, ist die Standardaktion so eingestellt, dass sie den bösartigen Datenverkehr verhindert.
In einigen Fällen basiert die Entscheidung, den Datenverkehr zu erkennen und zu akzeptieren oder zu unterbinden, auf dem Vertrauen in den spezifischen IPS-Schutz. Wenn das Vertrauen in einen IPS-Schutz gering ist, besteht eine höhere Wahrscheinlichkeit für Fehlalarme. Ein Fehlalarm liegt vor, wenn das IDS eine Aktivität als Angriff identifiziert, es sich aber um ein akzeptables Verhalten handelt. Aus diesem Grund haben viele IPS-Technologien auch die Fähigkeit, Paketsequenzen des Angriffsereignisses zu erfassen. Diese können dann analysiert werden, um festzustellen, ob tatsächlich eine Bedrohung vorlag und um den IPS-Schutz weiter zu verbessern.