IPS - Intrusion Prevention System

Aus IT-Forensik Wiki

Ebenso wie Intrusion-Detection-Systeme (IDS) überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen.


Funktion

Das IPS befindet sich üblicherweise direkt hinter einer Firewall und überwacht aktiv das Netzwerk. Folgende Erkennungsmethoden werden hierbei eingesetzt:

  • Signaturbasierte Erkennung: Zuvor definierte Angriffssignaturen bekannter Netzwerkbedrohungen werden überprüft
  • Anomalienbasierte Erkennung: Auffälliges, von der Norm abweichendes Verhalten wird überprüft
  • Richtlinienbasierte Erkennung: Zuvor erstellte Sicherheitsrichtlinien werden überprüft

Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend.

Bei einer erkannten Bedrohung können automatisierte Maßnahmen ergriffen werden:

  • verdächtige Pakete verwerfen
  • Netzwerkverkehr von einer bestimmten Quelle oder zu einem bestimmten Ziel blockieren
  • Netzwerkverbindung unterbrechen oder zurücksetzen
  • Meldung an den Administrator
  • Firewalls neu konfigurieren
  • Nutzdaten neu packen
  • infizierte Anhänge entfernen
  • etc.

Arten

Host-based IPS (HIPS)

Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. Logs) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren.

Network-based IPS (NIPS)

Als eigenständiges Gerät oder in eine Firewall integriert überwacht das NIPS direkt den Netzverkehr und kann somit alle am Netzwerk angeschlossen Systeme vor Netzwerkangriffen schützen. Das NIPS kann nochmals unterschieden werden in Content-based IPS (CBIPS), Protocol-Analysis IPS (PAIPS) und das Rate-based IPS (RBIPS). Je nach Leistungsfähigkeit analysiert es die übertragenen Daten auf Protokoll- oder Anwendungsebene. Zudem können diese Datenmengen auf Abweichungen zu üblichen Datenmengen zwischen bestimmten Quellen und Zielen überprüft werden.

Darüber hinaus gibt es noch weitere Arten von Intrusion-Prevention-Systemen (Network-Behaviour-Analysis, Wireless-Intrusion-Prevention-System, etc.), wobei HIPS und NIPS die wohl wichtigsten darstellen.

Vorteile

  • Wahrscheinlichkeit von Sicherheitsvorfällen wird verringert
  • dynamischer Schutz vor Bedrohungen
  • Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt
  • Ausnutzen von Zero-Day-Exploits, DDoS-Attacken oder Brute-Force-Angriffe können abgeschwächt bzw. verringert werden
  • Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig
  • Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden

Nachteile

  • False-Positive: Unter Umständen kann ein IPS bestimmte Pakete blockieren, obwohl diese (nach Überprüfung) nicht schädlich sind
    → Dieses führt dann aber dazu, dass Anwender einen Dienst nicht wie benötigt nutzen können
  • Kann das Gesamtsystem bei ungenügender Netzwerkbandbreite sowie Netzwerkkapazität verlangsamen
  • Wenn mehrere IPS betrieben werden, müssen die Daten jedes einzelne durchlaufen, bis sie zum Endanwender gelangen → Verlangsamung
  • Unter Umständen sehr kostenintensiv

Quellen

  1. Security-Insider
  2. ComputerWeekly
  3. Kompetenzzentrum Öffentliche IT
  4. Hübscher, Heinrich/Petersen, Hans-Joachim/Rathgeber, Carsten/Richter, Klaus/Scharf, Dirk Dr., IT-Handbuch, 6. Aufl., 2009