Intrusion Prevention Systeme (IPS) sind wichtige Bestandteile der IT-Sicherheitsarchitektur, die Netzwerke und Systeme vor unerwünschten Eindringlingen und Angriffen schützen. Sie analysieren den Datenverkehr und erkennen potenzielle Bedrohungen, bevor sie Schaden anrichten können. In diesem Beitrag werden die verschiedenen Arten von IPS, ihre Unterschiede sowie Anwendungsbeispiele vorgestellt.
Es gibt verschiedene Arten von IPS, die sich in ihrem Ansatz und ihrer Funktionsweise unterscheiden.
Die wichtigsten sind:
Netzwerk-basierte Intrusion Prevention Systeme (NIPS)
Diese Systeme sind darauf ausgelegt, den gesamten Netzwerkverkehr zu überwachen und bösartige Aktivitäten zu erkennen. Sie werden typischerweise an strategischen Punkten innerhalb des Netzwerks platziert, um den Datenverkehr zwischen verschiedenen Netzwerksegmenten zu analysieren.
Host-basierte Intrusion Prevention Systeme (HIPS)
Im Gegensatz zu NIPS arbeiten HIPS auf einzelnen Hosts, wie z.B. Servern oder Arbeitsstationen, und überwachen deren Aktivitäten auf Anomalien oder Angriffe. Sie sind speziell auf die Sicherheit der jeweiligen Systeme ausgerichtet und können interne sowie externe Bedrohungen erkennen.
Wireless Intrusion Prevention Systeme (WIPS)
Diese Systeme sind speziell für drahtlose Netzwerke konzipiert und schützen vor Angriffen wie Rogue Access Points, Man-in-the-Middle-Angriffen oder unautorisierten Verbindungen.
Netzwerkverhaltensanalyse (NBA)
NBA-Systeme analysieren den normalen Netzwerkverkehr und erstellen ein Baseline-Modell. Anomalien im Netzwerkverkehr, die auf potenzielle Angriffe hindeuten, werden dann identifiziert und entsprechende Gegenmaßnahmen eingeleitet.
Anwendungsbeispiele:
Ein NIPS kann beispielsweise zum Schutz vor Distributed Denial of Service (DDoS)-Angriffen eingesetzt werden. Hierbei würde das NIPS den Netzwerkverkehr auf ungewöhnlich hohe Paketraten oder ungewöhnliche IP-Adressen überwachen. Bei Erkennung eines DDoS-Angriffs kann das NIPS den Angriffsverkehr blockieren und gegebenenfalls den Netzwerkadministrator benachrichtigen.
Ein HIPS kann zum Schutz vor Ransomware-Angriffen eingesetzt werden. In diesem Fall überwacht das HIPS Systemaktivitäten wie Dateizugriffe und -änderungen, Prozessstarts und -änderungen sowie Registry-Änderungen. Bei Erkennung eines Ransomware-Angriffs kann das HIPS den bösartigen Prozess stoppen und den Administrator informieren.
Ein WIPS kann zum Schutz vor Rogue Access Points eingerichtet werden, indem es kontinuierlich nach unautorisierten Zugangspunkten innerhalb des drahtlosen Netzwerks sucht. Bei der Erkennung eines Rogue Access Points kann das WIPS diesen isolieren und den Netzwerkadministrator benachrichtigen, um weitere Untersuchungen durchzuführen und das Sicherheitsrisiko zu minimieren.
Ein NBA-System kann zum Schutz vor Command-and-Control(C2)-Verkehr eingesetzt werden, der oft ein Indikator für eine Infektion mit Advanced Persistent Threats (APT) ist. Das NBA-System erstellt ein Baseline-Modell des normalen Netzwerkverkehrs und überwacht anschließend kontinuierlich den Datenverkehr auf Anomalien. Wenn ungewöhnlicher Verkehr erkannt wird, der auf C2-Kommunikation hindeutet, kann das NBA-System den Verkehr blockieren und den Administrator informieren.
Intrusion Prevention Systeme sind entscheidend für die Aufrechterhaltung der IT-Sicherheit in Organisationen. Die verschiedenen IPS-Arten bieten Schutz gegen eine Vielzahl von Bedrohungen und Angriffsvektoren. Die Wahl des richtigen IPS hängt von der spezifischen Netzwerkumgebung und den Sicherheitsanforderungen einer Organisation ab. Durch die richtige Konfiguration und Anpassung der Systeme können Netzwerk- und IT-Administratoren die Sicherheit ihrer Netzwerke und Systeme erheblich erhöhen und die Risiken von Angriffen und Datenverlusten minimieren.