Intrusion-Detection- und Prevention-Systeme – Geschicktes Tuning statt Plug-and-Play

Was einsetzen?

Was sollte nun zum Einsatz kommen - IDS oder IPS? Der Trend geht klar in Richtung Prävention. Fast alle Hersteller von Intrusion-Detection-Systemen (IDS) haben sich auch in diese Richtung entwickelt. Laut Gartners „Magic Quadrant für Network Intrusion Prevention System Appliances“ sind Intrusion-Prevention-Systeme (IPS) prinzipiell IDS, die zusätzlich auch Signaturen für die eigentlichen Schwachstellen der Systeme und eine Anomalie-Erkennung enthalten.

Weiterhin besitzen IPS typischerweise eine höhere Performance für den Betrieb im Datenstrom (Inline-Betrieb). Dank diesem Betriebsmodus sind die Systeme in der Lage, Angriffe automatisch blockieren zu können. Einige IPS sind mit weiteren Sicherheits-Tools wie Antivirus, SPAM-Filter und Firewall kombiniert. Dies erscheint zunächst sinnvoll, bei näherem Hinsehen entpuppt sich die IPS-Funktion in diesen Geräten jedoch als sehr limitiert gegenüber dedizierten Appliances.

Zusätzlich wird es dem Angreifer damit leichter gemacht: Er muss nur noch ein System überwinden. Mal ganz abgesehen von den Performance-Implikationen eines solchen Systems. Daher sind dedizierte, verteilte Systeme zu bevorzugen, die zentral über ein Security-Management-System zusammengefasst und deren Ereignisse dann effektiv korreliert werden können.