Intrusion Prevention System

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Als Intrusion-Prevention-Systeme (kurz: IPS) werden Intrusion-Detection-Systeme (kurz: IDS) bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff abwehren können.

Funktion[Bearbeiten | Quelltext bearbeiten]

Intrusion Detection und Intrusion Prevention Systeme sind Werkzeuge, die IT-Systeme oder Netze aktiv überwachen. Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.[1] Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern. Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.

Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben:

  • das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
  • das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen. Somit kann indirekt der Datenstrom unterbrochen oder verändert werden

Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS:

  • Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
  • Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
    • Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
    • Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
    • Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.

Beispiele für Open-Source-Implementationen von IPS sind Snort, Untangle NIPS oder auch Lokkit.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatFraunhofer FOKUS Kompetenzzentrum Öffentliche IT: Das ÖFIT-Trendsonar der IT-Sicherheit - Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS). April 2016, abgerufen am 26. Mai 2016.