IPS - Intrusion Prevention System: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
 
(19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:


Ebenso wie Intrusion-Detection-Systeme (IDS) überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen.
Ebenso wie [https://it-forensik.fiw.hs-wismar.de/index.php/IDS_-_Intrusion_Detection_System Intrusion-Detection-Systeme (IDS)] überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen.




Zeile 8: Zeile 8:
Folgende Erkennungsmethoden werden hierbei eingesetzt:
Folgende Erkennungsmethoden werden hierbei eingesetzt:


- Signaturbasierte Erkennung: Zuvor definierte Angriffssignaturen bekannter Netzwerkbedrohungen werden überprüft
* Signaturbasierte Erkennung: Zuvor definierte Angriffssignaturen bekannter Netzwerkbedrohungen werden überprüft
- Anomalienbasierte Erkennung: auffälliges, von der Norm abweichendes Verhalten wird überprüft
* Anomalienbasierte Erkennung: Auffälliges, von der Norm abweichendes Verhalten wird überprüft
- Richtlinienbasierte Erkennung: Zuvor erstellte Sicherheitsrichtlinien werden überprüft
* Richtlinienbasierte Erkennung: Zuvor erstellte Sicherheitsrichtlinien werden überprüft


Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend.
Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend.


Bei einer erkannten Bedrohung können automatisierte Maßnahmen ergriffen werden:


Bei einer erkannter Bedrohung können automatisierte Maßnahmen ergriffen werden:
* verdächtige Pakete verwerfen
 
* Netzwerkverkehr von einer bestimmten Quelle oder zu einem bestimmten Ziel blockieren
- verdächtige Pakete verwerfen
* Netzwerkverbindung unterbrechen oder zurücksetzen
- Netzwerkverkehr von einer bestimmten Quelle oder zu einem bestimmten Ziel blockieren
* Meldung an den Administrator
- Netzwerkverbindung unterbrechen oder zurücksetzen
* Firewalls neu konfigurieren
- Meldung an den Administrator
* Nutzdaten neu packen
- Firewalls neu konfigurieren
* infizierte Anhänge entfernen
- Nutzdaten neu packen
* etc.
- infizierte Anhänge entfernen
- etc.
 


== Arten ==
== Arten ==


- Host-based IPS (HIPS):
=== Host-based IPS (HIPS) ===
Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. Logs) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren.
Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. [https://it-forensik.fiw.hs-wismar.de/index.php/Log-File Logs]) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren.


- Network-based IPS (NIPS)
=== Network-based IPS (NIPS) ===
Als eigenständiges Gerät oder in eine Firewall integriert überwacht das NIPS direkt den Netzverkehr und kann somit alle am Netzwerk angeschlossen Systeme vor Netzwerkangriffen schützen.  
Als eigenständiges Gerät oder in eine Firewall integriert überwacht das NIPS direkt den Netzverkehr und kann somit alle am Netzwerk angeschlossen Systeme vor Netzwerkangriffen schützen.  
Das NIPS kann nochmals unterschieden werden in Content-based IPS (CBIPS), Protocol-Analysis IPS (PAIPS) und das Rate-based IPS (RBIPS).
Das NIPS kann nochmals unterschieden werden in Content-based IPS (CBIPS), Protocol-Analysis IPS (PAIPS) und das Rate-based IPS (RBIPS).
Zeile 39: Zeile 37:


Darüber hinaus gibt es noch weitere Arten von Intrusion-Prevention-Systemen (Network-Behaviour-Analysis, Wireless-Intrusion-Prevention-System, etc.), wobei HIPS und NIPS die wohl wichtigsten darstellen.
Darüber hinaus gibt es noch weitere Arten von Intrusion-Prevention-Systemen (Network-Behaviour-Analysis, Wireless-Intrusion-Prevention-System, etc.), wobei HIPS und NIPS die wohl wichtigsten darstellen.


== Vorteile ==
== Vorteile ==


- Wahrscheinlichkeit von Sicherheitsvorfällen wird verringert
* Wahrscheinlichkeit von Sicherheitsvorfällen wird verringert
- dynamischer Schutz vor Bedrohungen
* dynamischer Schutz vor Bedrohungen
- Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt
* Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt
- Ausnutzen von Zero-Day-Exploits, DDoS-Attacken oder Brute-Force-Angriffe können abgeschwächt bzw. verringert werden
* Ausnutzen von [https://it-forensik.fiw.hs-wismar.de/index.php/Zero-Day-Exploit Zero-Day-Exploits], [https://it-forensik.fiw.hs-wismar.de/index.php/DoS_%26_DDoS DDoS-Attacken] oder [https://it-forensik.fiw.hs-wismar.de/index.php/Brute_Force Brute-Force-Angriffe] können abgeschwächt bzw. verringert werden
- Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig
* Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig
- Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden
* Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden


== Nachteile ==


== Nachteile ==
* False-Positive: Unter Umständen kann ein IPS bestimmte Pakete blockieren, obwohl diese (nach Überprüfung) nicht schädlich sind    <br>→ Dieses führt dann aber dazu, dass Anwender einen Dienst nicht wie benötigt nutzen können
* Kann das Gesamtsystem bei ungenügender Netzwerkbandbreite sowie Netzwerkkapazität verlangsamen
* Wenn mehrere IPS betrieben werden, müssen die Daten jedes einzelne durchlaufen, bis sie zum Endanwender gelangen → Verlangsamung
* Unter Umständen sehr kostenintensiv


- False-Positive: Unter Umständen kann ein IPS bestimmte Pakete blockieren, obwohl diese (nach Überprüfung) nicht schädlich sind --> Dieses führt dann aber dazu, dass Anwender einen Dienst nicht wie benötigt nutzen können
== Quellen ==
- Kann das Gesamtsystem bei ungenügender Netzwerkbandbreite sowie Netzwerkkapazität verlangsamen
# [https://www.security-insider.de/was-ist-ein-intrusion-prevention-system-ips-a-612859/ Security-Insider]
- Wenn mehrere IPS betrieben werden, müssen die Daten jedes einzelne durchlaufen, bis sie zum Endanwender gelangen --> Verlangsamung
# [https://www.computerweekly.com/de/definition/Intrusion-Prevention ComputerWeekly]
- Unter Umständen sehr kostenintensiv
# [https://web.archive.org/web/20160706220335/https:/www.oeffentliche-it.de/trendsonar Kompetenzzentrum Öffentliche IT]
# Hübscher, Heinrich/Petersen, Hans-Joachim/Rathgeber, Carsten/Richter, Klaus/Scharf, Dirk Dr., IT-Handbuch, 6. Aufl., 2009

Aktuelle Version vom 17. Februar 2021, 14:59 Uhr

Ebenso wie Intrusion-Detection-Systeme (IDS) überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen.


Funktion

Das IPS befindet sich üblicherweise direkt hinter einer Firewall und überwacht aktiv das Netzwerk. Folgende Erkennungsmethoden werden hierbei eingesetzt:

  • Signaturbasierte Erkennung: Zuvor definierte Angriffssignaturen bekannter Netzwerkbedrohungen werden überprüft
  • Anomalienbasierte Erkennung: Auffälliges, von der Norm abweichendes Verhalten wird überprüft
  • Richtlinienbasierte Erkennung: Zuvor erstellte Sicherheitsrichtlinien werden überprüft

Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend.

Bei einer erkannten Bedrohung können automatisierte Maßnahmen ergriffen werden:

  • verdächtige Pakete verwerfen
  • Netzwerkverkehr von einer bestimmten Quelle oder zu einem bestimmten Ziel blockieren
  • Netzwerkverbindung unterbrechen oder zurücksetzen
  • Meldung an den Administrator
  • Firewalls neu konfigurieren
  • Nutzdaten neu packen
  • infizierte Anhänge entfernen
  • etc.

Arten

Host-based IPS (HIPS)

Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. Logs) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren.

Network-based IPS (NIPS)

Als eigenständiges Gerät oder in eine Firewall integriert überwacht das NIPS direkt den Netzverkehr und kann somit alle am Netzwerk angeschlossen Systeme vor Netzwerkangriffen schützen. Das NIPS kann nochmals unterschieden werden in Content-based IPS (CBIPS), Protocol-Analysis IPS (PAIPS) und das Rate-based IPS (RBIPS). Je nach Leistungsfähigkeit analysiert es die übertragenen Daten auf Protokoll- oder Anwendungsebene. Zudem können diese Datenmengen auf Abweichungen zu üblichen Datenmengen zwischen bestimmten Quellen und Zielen überprüft werden.

Darüber hinaus gibt es noch weitere Arten von Intrusion-Prevention-Systemen (Network-Behaviour-Analysis, Wireless-Intrusion-Prevention-System, etc.), wobei HIPS und NIPS die wohl wichtigsten darstellen.

Vorteile

  • Wahrscheinlichkeit von Sicherheitsvorfällen wird verringert
  • dynamischer Schutz vor Bedrohungen
  • Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt
  • Ausnutzen von Zero-Day-Exploits, DDoS-Attacken oder Brute-Force-Angriffe können abgeschwächt bzw. verringert werden
  • Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig
  • Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden

Nachteile

  • False-Positive: Unter Umständen kann ein IPS bestimmte Pakete blockieren, obwohl diese (nach Überprüfung) nicht schädlich sind
    → Dieses führt dann aber dazu, dass Anwender einen Dienst nicht wie benötigt nutzen können
  • Kann das Gesamtsystem bei ungenügender Netzwerkbandbreite sowie Netzwerkkapazität verlangsamen
  • Wenn mehrere IPS betrieben werden, müssen die Daten jedes einzelne durchlaufen, bis sie zum Endanwender gelangen → Verlangsamung
  • Unter Umständen sehr kostenintensiv

Quellen

  1. Security-Insider
  2. ComputerWeekly
  3. Kompetenzzentrum Öffentliche IT
  4. Hübscher, Heinrich/Petersen, Hans-Joachim/Rathgeber, Carsten/Richter, Klaus/Scharf, Dirk Dr., IT-Handbuch, 6. Aufl., 2009