Warum sollte Intrusion-Prevention-Systeme verwendet werden?
IPS-Technologien können Netzwerksicherheitsangriffe wie Brute-Force-Angriffe, DoS-Angriffe (Denial of Service) und Schwachstellen-Exploits erkennen oder verhindern. Eine Sicherheitsanfälligkeit ist eine Schwäche in einem Softwaresystem und ein Exploit ist ein Angriff, der diese Sicherheitsanfälligkeit nutzt, um die Kontrolle über ein System zu erlangen., Wenn ein Exploit angekündigt wird, gibt es für Angreifer häufig ein Fenster mit Möglichkeiten, diese Sicherheitsanfälligkeit auszunutzen, bevor der Sicherheitspatch angewendet wird. In diesen Fällen kann ein Intrusion Prevention System verwendet werden, um diese Angriffe schnell zu blockieren.
Da IPS-Technologien Paketflüsse überwachen, können sie auch verwendet werden, um die Verwendung sicherer Protokolle zu erzwingen und die Verwendung unsicherer Protokolle wie frühere SSL-Versionen oder Protokolle mit schwachen Chiffren zu verweigern.
Wie funktionieren Intrusion Prevention Systeme?,
IPS-Technologien haben Zugriff auf Pakete, in denen sie eingesetzt werden, entweder als Netzwerk-Intrusion-Detection-Systeme (NIDS) oder als Host-Intrusion-Detection-Systeme (HIDS). Netzwerk-IPS haben eine größere Ansicht des gesamten Netzwerks und können entweder inline im Netzwerk oder offline als passiver Sensor zum Netzwerk bereitgestellt werden, der Pakete von einem Netzwerk-TAP-oder SPAN-Port empfängt.
Die verwendete Nachweismethode kann signaturbasiert oder anomaliebasiert sein. Vordefinierte Signaturen sind Muster bekannter Netzwerkangriffe. Die IPS vergleicht Paketflüsse mit der Signatur, um festzustellen, ob eine Musterübereinstimmung vorliegt., Anomaliebasierte Intrusion Detection-Systeme verwenden Heuristiken, um Bedrohungen zu identifizieren, z. B. einen Vergleich einer Stichprobe von Datenverkehr mit einer bekannten Basislinie.
Was ist der Unterschied zwischen IDS und IPS?
Frühe Implementierungen der Technologie wurden im Detect-Modus auf dedizierten Sicherheitsgeräten bereitgestellt. Da die Technologie gereift ist und in integrierte Firewall-oder UTM-Geräte der nächsten Generation verschoben wurde, ist die Standardaktion so eingestellt, dass böswilliger Datenverkehr verhindert wird.,
In einigen Fällen basiert die Entscheidung, den Datenverkehr zu erkennen und zu akzeptieren oder zu verhindern, auf dem Vertrauen in den spezifischen IPS-Schutz. Wenn das Vertrauen in einen IPS-Schutz geringer ist, besteht eine höhere Wahrscheinlichkeit für Fehlalarme. Ein falsch positives Ergebnis ist, wenn die IDS eine Aktivität als Angriff identifiziert, die Aktivität jedoch ein akzeptables Verhalten ist. Aus diesem Grund können viele IPS-Technologien auch Paketsequenzen aus dem Angriffsereignis erfassen. Diese können dann analysiert werden, um festzustellen, ob eine tatsächliche Bedrohung vorliegt und um den IPS-Schutz weiter zu verbessern.
