Home

IPStechnologie

IPStechnologie bezeichnet eine Gruppe von Sicherheitslösungen, die den Netzwerkverkehr oder einzelne Hosts analysieren, um schädliche Aktivitäten zu erkennen und in Echtzeit zu blockieren. Im Gegensatz zu einem reinen Intrusion Detection System (IDS), das lediglich Alarme erzeugt, arbeitet ein IPS typischerweise inline und kann verdächtige Pakete direkt verwerfen oder modifizieren. Dadurch dient IPS dem aktiven Schutz vor Angriffen, während ein IDS vor allem zur Überwachung und Meldung dient.

Zu den Kernkomponenten eines IPS gehören Sensoren, eine Policy-Engine, Signatur- und Anomaliedatenbanken sowie eine zentrale Management-Konsole.

IPS-Lösungen lassen sich unterschiedlich einsetzen: Network-based IPS (NIPS) arbeiten am Netzwerkpfad und schützen Router oder Switching-Infrastruktur;

Anwendungsbereiche umfassen den Schutz vor bekannten Exploits, Schwachstellenausnutzung und schädlichen Payloads. Zu den Einschränkungen gehören potenzielle

Die
Erkennung
erfolgt
durch
verschiedene
Ansätze:
signaturbasierte
Mustererkennung,
verhaltensbasierte
oder
anomale
Erkennung
sowie
Protokoll-
und
Kontextanalyse.
Moderne
Systeme
integrieren
häufig
auch
Anwendungs-
und
Layer-7-Analysen.
In
manchen
Implementierungen
wird
TLS-verschlüsselter
Verkehr
durch
Entschlüsselung
inspiziert,
was
zusätzliche
Privatsphäre-
und
Leistungsaspekte
mit
sich
bringt.
Host-based
IPS
(HIPS)
laufen
direkt
auf
Endpunkten.
Oft
sind
IPS-Funktionen
Bestandteil
von
Next-Generation-Firewalls
(NGFW)
oder
werden
als
Cloud-IPS
angeboten.
Sie
werden
außerdem
mit
Security
Information
and
Event
Management
(SIEM)-Systemen
integriert,
um
Ereignisse
zentral
zu
korrelieren.
Fehlalarme
(false
positives),
Leistungsbedarf
und
Umgehungstechniken,
insbesondere
bei
verschlüsseltem
Verkehr.
IPS-Technologie
entwickelt
sich
kontinuierlich
weiter,
um
mit
neuen
Bedrohungen
Schritt
zu
halten.