Was ist ein Intrusion-Prevention-System (IPS)?

Ein Intrusion-Prevention-System ist eine lohnende Ergänzung zu einer Firewall. Es bietet die Monitoring- und Analysefunktionen des IDS, kann im Gegensatz zu diesem System allerdings auch selbst aktiv werden und Gefahren abwehren.

Was bedeutet IPS?

Für die meisten Nutzerinnen und Nutzer ist die Firewall eine bewährte Methode, um das eigene System oder Netzwerk gegen Angriffe von außen zu schützen. Ein geeignetes Intrusion-Prevention-System (IPS) ist in vielen Fällen eine empfehlenswerte Ergänzung zu diesem Schutzmechanismus. Das System arbeitet dabei in zwei Schritten. Zuerst erfüllt es die Aufgaben eines Intrusion-Detection-Systems (IDS) und überwacht – je nach Art – den Host, das Netzwerk oder beides, um unerlaubte Handlungen schnell ausfindig zu machen. Dafür legt es Muster an und vergleicht diese mit dem eigentlichen Datenverkehr. Der zweite Schritt wird ausgeführt, wenn das Intrusion-Prevention-System eine Bedrohung erkennt. Dann kann IPS entsprechende Gegenmaßnahmen initiieren.

Dies ist auch der große Unterschied zu einem reinen IDS, das lediglich eine Warnung an den Administrator oder die Administratorin sendet. Das Intrusion-Prevention-System greift hingegen aktiv ein, blockiert Datenpakete oder unterbricht gefährdete Verbindungen. Wichtig ist dabei erstens, dass das Intrusion-Prevention-System entsprechend konfiguriert wird, damit sämtliche Gefahren gebannt werden und der regelkonforme Workflow nicht behindert wird. Zweitens sollte das IPS eng mit der Firewall zusammenarbeiten, um im Zusammenspiel den bestmöglichen Schutz zu gewährleisten. Dazu wird das Intrusion-Prevention-System meistens direkt hinter der Firewall platziert und nutzt Sensoren, um Systemdaten und Pakete im Netzwerk möglichst vollumfänglich zu bewerten.

Welche Arten von Intrusion-Prevention-Systemen gibt es?

Es gibt verschiedene Arten von Intrusion-Prevention-Systemen, die sich vor allem durch ihren Einsatzort unterscheiden.

• Hostbasierte Intrusion-Prevention-Systeme: Hostbasierte IPS (HIPS) werden direkt auf einem Endgerät installiert und überwachen nur dort, welche Daten ein- und ausgehen. Sie können dementsprechend auch nur auf dem jeweiligen Device aktiv werden und einen Angriff abwehren. Häufig werden HIPS daher auch mit anderen Methoden verbunden, die einen weiter gefassten Ansatz wählen. Das hostbasierte Intrusion-Prevention-System fungiert dann lediglich als letzte Schutzmaßnahme.
• Netzwerkbasierte Intrusion-Prevention-Systeme: Netzwerkbasierte IPS (NIPS) werden an verschiedenen Stellen in einem Netzwerk eingesetzt und sollen so möglichst alle Datenpakete, die innerhalb des Netzwerks versendet werden, überprüfen. Dafür werden sie über ein separates Gerät oder in einer Firewall installiert. Sämtliche Systeme, die an das Netzwerk angeschlossen sind, können so gescannt und geschützt werden.
• Kabellose Intrusion-Prevention-Systeme: Die WIPS (Wireless Intrusion-Prevention-System) sind speziell für die Arbeit in einem WLAN-Netzwerk ausgelegt. Bei unbefugten Zugriffen macht das IPS das entsprechende Gerät ausfindig und entfernt es aus der Umgebung.
• Verhaltensbasierte Intrusion-Prevention-Systeme: Für den Kampf gegen DDoS-Attacken ist die Network Behavior Analysis (NBA) empfehlenswert. Diese überprüft den gesamten Datenverkehr und kann so Attacken im Vorfeld entdecken und unterbinden.

Wie funktioniert ein Intrusion-Prevention-System?

Der Aufgabenbereich eines Intrusion-Prevention-Systems ist zweigeteilt. Zunächst soll das System mögliche Bedrohungen zunächst aufspüren, vorfiltern, analysieren und melden. In dieser Hinsicht entspricht das IPS mehr oder weniger einem Intrusion-Detection-System. Darüber hinaus wird das Intrusion-Prevention-System im Falle einer Bedrohung auch selbst aktiv und leitet eine eigene Gefahrenabwehr ein. In beiden Fällen stehen dem IPS unterschiedliche Methoden zur Verfügung.

Analysemethoden von IPS

• Anomaly Detection: Bei der Anomaly Detection wird das Verhalten innerhalb eines Netzwerks oder auf einem Endgerät mit einem festgelegten Standard verglichen. Kommt es zu größeren Abweichungen von der Norm, kann das Intrusion-Prevention-System entsprechende Gegenmaßnahmen einleiten. Je nach Einstellung produziert diese Methode allerdings auch recht häufig Fehlalarme. Auch aus diesem Grund setzen moderne Systeme immer häufiger auf KI, um die Fehlerquoten deutlich zu senken.
• Misuse Detection: Bei dieser Methode werden Datenpakete auf bereits bekannte Angriffsformen hin untersucht. Diese Art des Intrusion-Prevention-Systems erzielt überzeugende Trefferquoten bei älteren Bedrohungen und identifiziert diese mit hoher Wahrscheinlichkeit. Für neuartige Angriffe, die nicht bereits hinterlegt sind, eignet sich diese Herangehensweise allerdings nicht.
• Richtlinienbasiertes IPS: Deutlich seltener als die beiden oben bereits vorgestellten Methoden kommt das richtlinienbasierte Intrusion-Prevention-System zum Einsatz. Hierfür müssen zunächst spezielle und individuelle Sicherheitsrichtlinien konfiguriert werden. Diese sind dann die Basis für die Überwachung des entsprechenden Systems.

Abwehrmechanismen von IPS

Das Intrusion-Prevention-System arbeitet in Echtzeit und verlangsamt den Datenstrom nicht. Wurde mit den oben vorgestellten Überwachungsmethoden eine Bedrohung lokalisiert, stehen dem IPS verschiedene Optionen zur Verfügung. In harmlosen Fällen erfolgt, wie beim IDS auch, eine Benachrichtigung an den Administrator oder die Administratorin. Diese können dann über weitere Schritte entscheiden. In schwerwiegenderen Fällen wird das Intrusion-Prevention-System allerdings auch selbst aktiv. So kann es zum Beispiel Übertragungswege unterbrechen und zurücksetzen, Quellen oder Zielorte blockieren oder sogar Datenpakete komplett verwerfen.

Welche Vorteile bietet ein Intrusion-Prevention-System?

Der zielgerichtete Einsatz eines Intrusion-Prevention-Systems bringt für Nutzerinnen und Nutzer zahlreiche Vorteile. Insbesondere sorgt die Implementierung eines solchen Systems für zusätzliche Sicherheit. Ein IPS kann viele Risiken entdecken, die anderen Tools verborgen bleiben. Durch die Vorfilterung entlastet das Intrusion-Prevention-System außerdem die anderen Mechanismen und schont damit die gesamte Architektur. Dabei helfen auch die Konfigurationsmöglichkeiten, die dafür sorgen, dass Sie das IPS exakt auf Ihre Bedürfnisse zuschneiden können. Ist diese Konfiguration erfolgreich, arbeitet das System selbstständig und sorgt dadurch auch für eine zeitliche Entlastung.

Welche Nachteile hat ein Intrusion-Prevention-System?

Richtig eingesetzt leistet ein Intrusion-Prevention-System wertvolle Dienste und erhöht die Sicherheit eines Netzwerks deutlich. Es gibt es allerdings auch ein paar (potenzielle) Nachteile bei dieser Methode. Neben den bereits genannten Schwachstellen von Anomaly Detection und Misuse Detection betrifft dies insbesondere die Anforderungen an die Hardware. Der Ressourcenbedarf eines Intrusion-Prevention-Systems ist in der Regel sehr hoch und steigt mit der Größe eines Netzwerks. Ein wirklicher Mehrwert ist daher nur gegeben, wenn die Kapazitäten dem Bedarf entsprechen. Außerdem ist die Konfiguration gerade für Laiinnen und Laien nicht ganz einfach. Ist diese nicht ideal, kommt es zu Problemen innerhalb des Netzwerks.

DenyHosts: Das beste IPS gegen Brute Force

Insbesondere im Kampf gegen Brute-Force-Attacken ist DenyHosts eine lohnende Option. Das Intrusion-Prevention-System wurde in Python geschrieben und ist Open Source. Es überwacht SSH-Login-Versuche und sperrt entsprechende Adressen, wenn diese zu viele Fehlversuche aufweisen. Dies ist das offizielle GitHub-Respository von DenyHosts.