Grundlagen: Überwachungssysteme in Netzwerken

Angriffsabwehr mit Intrusion-Prevention-Systemen (IPS)

Intrusion-Prevention-Systeme (IPS) sind eine Weiterentwicklung des IDS. Während IDS Angriffe nur erkennen können und protokollieren, sind IPS in der Lage, Angriffe abzuwehren. Hierfür gibt es zwei Arten von Abwehr: das IPS sitzt irgendwo im Übertragungsweg und sperrt beziehungsweise verwirft Datenpakete, die als Angriff erkannt wurden.

Aktive Gegenwehr: Intrusion-Prevention-Systeme kontern erkannte Attacken nach vorher festgelegten Parametern.
Aktive Gegenwehr: Intrusion-Prevention-Systeme kontern erkannte Attacken nach vorher festgelegten Parametern.

Die andere Möglichkeit ist, dass die IPS die Regeln für die Paketfilter beziehungsweise Application Level Gateway so anpassen, dass schädlicher Verkehr hierüber ausgefiltert wird. Wie bei IDS gibt es Systeme, die im Netz hängen, und Einheiten, die auf Hosts laufen. Angriffe erkennen IPS genau wie IDS über die Signaturen in den Paketen oder über Anomalien im Betrieb und im Datenstrom.

Das Wichtigste an einem IPS ist die Reaktionszeit. Um Angreifer auszusperren, muss das IPS alle Daten kontrollieren und bei Bedarf Gegenmaßnahmen einleiten, zum Beispiel temporäre Filter in der Firewall oder Unerreichbarkeitsmeldungen über ICMP an den angreifenden Rechner. Bis das alles abgeschlossen ist, kann der Angreifer schon durchgebrochen sein. Das IPS hat nur eine Chance, wenn es direkt im Übertragungsweg sitzt. So kann es Pakete sofort löschen anstatt sie weiterzuleiten. Zusätzlich kann es anschließend alle anderen ankommenden Daten der gleichen Verbindung löschen.