Ein Intrusion Prevention System (IPS) ist eine Sicherheitslösung zur Überwachung von Netzwerken und Computersystemen, die automatisch auf erkannte Bedrohungen reagiert. Im Gegensatz zu rein passiven Sicherheitssystemen arbeitet ein IPS aktiv in Echtzeit und kann Angriffe unmittelbar erkennen und blockieren. Ein IPS wird meist inline im Datenverkehr installiert, also direkt im Übertragungsweg zwischen Quelle und Ziel. Dadurch kann das System verdächtigen oder schädlichen Datenverkehr analysieren und sofort Gegenmaßnahmen einleiten.
Der entscheidende Unterschied zu einem Intrusion Detection System (IDS) besteht darin, dass ein IDS lediglich Angriffe erkennt und meldet, während ein IPS zusätzlich automatisch Maßnahmen ergreift, um das Netzwerk zu schützen. Häufig wird ein IPS in Kombination mit einer Firewall eingesetzt, um die Netzwerksicherheit zu erhöhen. Zu den typischen Maßnahmen eines Intrusion Prevention Systems gehören unter anderem das Blockieren von bösartigem Datenverkehr, das Sperren von IP-Adressen oder einzelnen Datenpaketen sowie das Entfernen schädlicher Inhalte aus dem Netzwerkverkehr.
Wichtige Arten von IPS:
- Host-basiertes Intrusion Prevention System (HIPS): Direkt auf einem Endgerät oder Server installiert und überwacht die ein- und ausgehenden Daten. Es kann lokal auf Angriffe reagieren und diese blockieren.
- Netzwerk-basiertes Intrusion Prevention System (NIPS): Überwacht den gesamten Netzwerkverkehr und prüft einzelne Datenpakete auf verdächtige Aktivitäten. Es kann eigenständig oder in eine Firewall integriert eingesetzt werden und schützt alle Geräte im Netzwerk.
- Wireless Intrusion Prevention System (WIPS): Überwacht drahtlose Netzwerke und erkennt unautorisierte Zugriffe oder verdächtige Aktivitäten. Es kann Verbindungen beenden und beispielsweise Man-in-the-Middle-Angriffe verhindern.
Erkennungsmethoden:
- Signaturbasierte Erkennung: Vergleicht Datenverkehr mit bekannten Angriffsmustern. Dafür müssen Signaturdatenbanken regelmäßig aktualisiert werden.
- Anomaliebasierte Erkennung: Erstellt ein Modell des normalen Netzwerkverhaltens und erkennt Abweichungen davon. Dadurch können auch neue oder unbekannte Angriffe entdeckt werden, allerdings besteht ein höheres Risiko für Fehlalarme.
- Richtlinienbasierte Erkennung: Basiert auf festgelegten Sicherheitsrichtlinien. Verstöße gegen diese Regeln werden automatisch blockiert, was eine individuelle Anpassung ermöglicht, jedoch ein umfassendes Regelwerk erfordert.
