Grundlagen: Überwachungssysteme in Netzwerken

Verteidigungsszenarien mit IPS

IPS können auf zwei Arten arbeiten: Bei der sogenannten Fail-open-Technik werden bei einem festgestellten Angriff sofort Gegenmaßnahmen eingeleitet. Im Anschluss wird der nachfolgende Verkehr nicht überwacht, der Betrieb läuft ganz normal weiter. Anders bei der Fail-close-Strategie: Bei einem Angriff wird der Datenstrom sofort unterbrochen, ähnlich einer Firewall.

Für eines der beiden Konzepte muss sich der Administrator entscheiden, bei Fail open kann es sein, dass nach erkanntem Angriff zwar der Bösewicht beseitigt wird, nachfolgender bösartiger Verkehr kann das IPS aber ungehindert passieren. Bei Fail close dagegen ist das IPS schnell selber das Angriffsziel, welches sich durch DoS-Attacken lahmlegen ließe.

Eine andere Gefahr sind falsche Alarme (False Positives). Während ein IDS nur falsch alarmiert, schließt ein IPS unter Umständen bei falschem Alarm das ganze Netz, beziehungsweise echter bösartiger Verkehr dringt ins Netzwerk ein, weil das IPS gerade fälschlicherweise mit einem Angreifer beschäftigt ist. IPS sollten deshalb so konfiguriert sein, dass sie nur dann eingreifen, wenn es sich bei den beobachteten Datenpaketen ganz sicher um einen Angreifer handelt, ähnlich der Toleranzen eines IDS.