IPS - Intrusion Prevention System: Unterschied zwischen den Versionen
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Ebenso wie Intrusion-Detection-Systeme (IDS) überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen. | Ebenso wie [https://it-forensik.fiw.hs-wismar.de/index.php/IDS_-_Intrusion_Detection_System Intrusion-Detection-Systeme (IDS)] überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen. | ||
Zeile 14: | Zeile 14: | ||
Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend. | Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend. | ||
Bei einer | Bei einer erkannten Bedrohung können automatisierte Maßnahmen ergriffen werden: | ||
* verdächtige Pakete verwerfen | * verdächtige Pakete verwerfen | ||
Zeile 28: | Zeile 28: | ||
=== Host-based IPS (HIPS) === | === Host-based IPS (HIPS) === | ||
Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. Logs) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren. | Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. [https://it-forensik.fiw.hs-wismar.de/index.php/Log-File Logs]) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren. | ||
=== Network-based IPS (NIPS) === | === Network-based IPS (NIPS) === | ||
Zeile 43: | Zeile 43: | ||
* dynamischer Schutz vor Bedrohungen | * dynamischer Schutz vor Bedrohungen | ||
* Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt | * Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt | ||
* Ausnutzen von Zero-Day-Exploits, DDoS-Attacken oder Brute-Force-Angriffe können abgeschwächt bzw. verringert werden | * Ausnutzen von [https://it-forensik.fiw.hs-wismar.de/index.php/Zero-Day-Exploit Zero-Day-Exploits], [https://it-forensik.fiw.hs-wismar.de/index.php/DoS_%26_DDoS DDoS-Attacken] oder [https://it-forensik.fiw.hs-wismar.de/index.php/Brute_Force Brute-Force-Angriffe] können abgeschwächt bzw. verringert werden | ||
* Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig | * Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig | ||
* Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden | * Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden | ||
Zeile 54: | Zeile 54: | ||
* Unter Umständen sehr kostenintensiv | * Unter Umständen sehr kostenintensiv | ||
== | == Quellen == | ||
# [https://www.security-insider.de/was-ist-ein-intrusion-prevention-system-ips-a-612859/ Security-Insider] | |||
# [https://www.computerweekly.com/de/definition/Intrusion-Prevention ComputerWeekly] | |||
# [https://web.archive.org/web/20160706220335/https:/www.oeffentliche-it.de/trendsonar Kompetenzzentrum Öffentliche IT] | |||
# Hübscher, Heinrich/Petersen, Hans-Joachim/Rathgeber, Carsten/Richter, Klaus/Scharf, Dirk Dr., IT-Handbuch, 6. Aufl., 2009 |
Aktuelle Version vom 17. Februar 2021, 14:59 Uhr
Ebenso wie Intrusion-Detection-Systeme (IDS) überwacht und analysiert ein Intrusion-Prevention-System (IPS) den Netzwerkverkehr. Das IDS liefert lediglich Informationen zu entdeckten Sicherheitsproblemen oder Angriffen. Darüber hinaus kann das IPS allerdings automatische Maßnahmen auf Grundlage von Regeln ergreifen und beispielsweise ein als schädlich eingestuftes Paket verwerfen und den zukünftigen Netzwerkverkehr dieser IP-Adresse oder einen Port sperren. Somit kann man Intrusion-Prevention-Systeme als erweiterte Intrusion-Detection-Systeme bezeichnen.
Funktion
Das IPS befindet sich üblicherweise direkt hinter einer Firewall und überwacht aktiv das Netzwerk. Folgende Erkennungsmethoden werden hierbei eingesetzt:
- Signaturbasierte Erkennung: Zuvor definierte Angriffssignaturen bekannter Netzwerkbedrohungen werden überprüft
- Anomalienbasierte Erkennung: Auffälliges, von der Norm abweichendes Verhalten wird überprüft
- Richtlinienbasierte Erkennung: Zuvor erstellte Sicherheitsrichtlinien werden überprüft
Hinzu kommen heuristische Methoden, um bisher unentdeckte Angriffe aufzuspüren. Diese nutzen Verfahren der künstlichen Intelligenz und sind teilweise selbstlernend.
Bei einer erkannten Bedrohung können automatisierte Maßnahmen ergriffen werden:
- verdächtige Pakete verwerfen
- Netzwerkverkehr von einer bestimmten Quelle oder zu einem bestimmten Ziel blockieren
- Netzwerkverbindung unterbrechen oder zurücksetzen
- Meldung an den Administrator
- Firewalls neu konfigurieren
- Nutzdaten neu packen
- infizierte Anhänge entfernen
- etc.
Arten
Host-based IPS (HIPS)
Hierbei wird das IPS auf einem Host installiert, auf welchem alle empfangenen sowie gesendeten Daten analysiert werden. Zudem werden von dem System bereitgestellte Daten (z.B. Logs) ebenfalls überprüft. Bei Feststellung eines Angriffs kann das HIPS in den Datenverkehr eingreifen oder auch einzelne Anwendungen blockieren.
Network-based IPS (NIPS)
Als eigenständiges Gerät oder in eine Firewall integriert überwacht das NIPS direkt den Netzverkehr und kann somit alle am Netzwerk angeschlossen Systeme vor Netzwerkangriffen schützen. Das NIPS kann nochmals unterschieden werden in Content-based IPS (CBIPS), Protocol-Analysis IPS (PAIPS) und das Rate-based IPS (RBIPS). Je nach Leistungsfähigkeit analysiert es die übertragenen Daten auf Protokoll- oder Anwendungsebene. Zudem können diese Datenmengen auf Abweichungen zu üblichen Datenmengen zwischen bestimmten Quellen und Zielen überprüft werden.
Darüber hinaus gibt es noch weitere Arten von Intrusion-Prevention-Systemen (Network-Behaviour-Analysis, Wireless-Intrusion-Prevention-System, etc.), wobei HIPS und NIPS die wohl wichtigsten darstellen.
Vorteile
- Wahrscheinlichkeit von Sicherheitsvorfällen wird verringert
- dynamischer Schutz vor Bedrohungen
- Administratoren werden bei verdächtigen Aktivitäten automatisch benachrichtigt
- Ausnutzen von Zero-Day-Exploits, DDoS-Attacken oder Brute-Force-Angriffe können abgeschwächt bzw. verringert werden
- Weniger manuelle Eingriffe von Administratoren durch die Automatisierung notwendig
- Spezifischer eingehender Netzwerkverkehr kann erlaubt/verboten werden
Nachteile
- False-Positive: Unter Umständen kann ein IPS bestimmte Pakete blockieren, obwohl diese (nach Überprüfung) nicht schädlich sind
→ Dieses führt dann aber dazu, dass Anwender einen Dienst nicht wie benötigt nutzen können - Kann das Gesamtsystem bei ungenügender Netzwerkbandbreite sowie Netzwerkkapazität verlangsamen
- Wenn mehrere IPS betrieben werden, müssen die Daten jedes einzelne durchlaufen, bis sie zum Endanwender gelangen → Verlangsamung
- Unter Umständen sehr kostenintensiv
Quellen
- Security-Insider
- ComputerWeekly
- Kompetenzzentrum Öffentliche IT
- Hübscher, Heinrich/Petersen, Hans-Joachim/Rathgeber, Carsten/Richter, Klaus/Scharf, Dirk Dr., IT-Handbuch, 6. Aufl., 2009