Was ist IPS/IDS und wo wird es eingesetzt?

IPS als Intrusion-Prevention-System zielt ebenfalls auf eine kontinuierliche Analyse des Datenverkehrs ab, verfügt aber über mehr Leistung – es kann bei Bedarf den Empfang von Paketen verweigern, wenn die Systemanalyse eine Bedrohung feststellt. Und es verwendet eine aktuelle Signaturendatenbank, um Bedrohungen zu erkennen. Daher werden regelmäßige Updates empfohlen, um sicherzustellen, dass das System seine Funktionen ordnungsgemäß ausführt.

IDS-Technologie und -Architektur

Das IDS kann lediglich eine Bedrohung erkennen und den Administrator über das Ereignis benachrichtigen, aber es ist Sache des Administrators, weitere Maßnahmen zu ergreifen. Das Erkennungssystem kann funktionieren:

1. Auf der Ebene des Netzes. Dies wird das Network Intrusion Detection System (NIDS) sein.
2. Auf der Ebene des einzelnen Hosts. In diesem Fall handelt es sich um ein Host-basiertes Intrusion Detection System (HIDS)

Schauen wir uns jede von ihnen genauer an.

NIDS-Technologie

NIDS bietet die Möglichkeit, das System an strategischen Netzwerkknoten zu installieren, um den ein- und ausgehenden Verkehr aller Geräte zu analysieren. NIDS ist äußerst effizient, da es jedes Datenpaket von der Datenübertragungsschicht bis zur Anwendungsschicht analysiert. Gleichzeitig ist das NIDS im Gegensatz zu herkömmlichen Firewalls in der Lage, interne Bedrohungen zu erkennen.

Der Nachteil dieser Technologie ist ihre "Unersättlichkeit" – das System analysiert den gesamten Datenverkehr und benötigt viel CPU- und RAM-Leistung. Aus diesem Grund kann der Einsatz von NIDS auf der Ebene der Unternehmensnetzinfrastruktur zu spürbaren Verzögerungen beim Datenaustausch führen.

HIDS-Host-System

Host-basierte Systeme werden im Gegensatz zu netzbasierten Systemen "Punkt-zu-Punkt" auf jedem einzelnen Host innerhalb eines Netzes eingesetzt und ermöglichen einen selektiven Schutz für angriffsgefährdete Hosts. HIDS ist ebenfalls in der Lage, den ein- und ausgehenden Datenverkehr zu analysieren, allerdings eher lokal, für ein einzelnes Gerät.

HIDS wird für den Einsatz auf netzkritischen Rechnern empfohlen, um Bedrohungen zu verhindern. Die Technologie verbraucht im Betrieb deutlich weniger Ressourcen, aber sie erfordert Erfahrung und ein tiefes Verständnis der spezifischen Netzwerkinfrastruktur, um Hosts für HIDS richtig auszuwählen.



Welche IDS gibt es nach dem Prinzip der Arbeitsweise

Im Allgemeinen besteht das Grundprinzip all dieser Systeme darin, dass Bedrohungen durch die Analyse des ein- und ausgehenden Datenverkehrs erkannt werden. Der Analyseprozess selbst kann jedoch variieren. Je nach Analysemechanismus gibt es drei Arten von IDS:

1. Signatur-IDS. Ein Intrusion Detection System, das einem bekannten Antivirenprogramm sehr ähnlich ist - es analysiert ebenfalls den Datenverkehr und gleicht empfangene Pakete mit einer Signaturdatenbank ab. Um die Wirksamkeit dieses Systems zu gewährleisten, muss die Signaturdatenbank regelmäßig aktualisiert werden. Der größte Nachteil besteht darin, dass ein solches IDS keine Bedrohungserkennung durchführen kann, wenn die Datenbank aus irgendeinem Grund vorübergehend nicht verfügbar ist.
2. IDS auf der Grundlage von Anomalien. Dabei wird die Technologie des maschinellen Lernens eingesetzt - das System analysiert die Leistung des Netzes und vergleicht sie mit einem ähnlichen Zeitraum in der Vergangenheit. Bei den Anomalien kann es sich um statistische Anomalien, Anomalien auf Protokollebene oder Anomalien auf Verkehrsebene handeln, die das System zur Erkennung von Bedrohungen allesamt aufspüren und stoppen kann, sofern dem maschinellen Lernen in der Vergangenheit genügend Zeit und Aufmerksamkeit gewidmet wurde.
3. IDS über Regeln. Ein Administrator kann manuell ausgefeilte IDS-Regeln vorgeben, die Bedrohungen auf der Grundlage indirekter oder direkter Hinweise erkennen. Die Einrichtung eines solchen Systems erfordert erheblich mehr Zeit und Fachwissen, führt aber in der Praxis zu einem extrem hohen Schutzniveau.

Unified Threat Management (UTM)

UTM ist ein vielseitiges Hilfspaket, das mehrere kleine Schutzmodule enthält, von E-Mail-Filtern und Proxy-Servern bis hin zu VPNs und IDS. Im Wesentlichen handelt es sich um eine Suite, die eine mehrschichtige Überwachung und Beseitigung von Bedrohungen gewährleistet.

NGFW и DPI

Dies ist bereits die nächste Generation von Firewalls, die in den letzten Jahren stark an Popularität gewonnen hat. Die NGFW ist eine Netzwerksicherheitsplattform, die neben der eigentlichen Firewall auch eine herkömmliche Firewall mit zusätzlichen Filterfunktionen umfasst.

Bei DPI handelt es sich um eine Deep Packet Analysis-Technologie, die das Abfangen von Paketen mit Bedrohungen ermöglicht.

Wo muss ich den Schutz installieren?

Beim Einsatz auf einem IPS- oder IDS-Server stellt sich die Frage, welche Knotenpunkte am sinnvollsten sind. Die Antwort auf diese Frage hängt davon ab, welche Art von System Sie haben. Wenn es sich um ein PIDS handelt, gibt es keinen Grund, es vor der Firewall zu installieren, da die Funktionen dupliziert werden. Ein NGFW hingegen ist ein Allzwecksystem, das auf jeder Ebene installiert werden kann.

Es ist sinnvoll, ein Intrusion Detection System auf einem gemeinsam genutzten Hosting-System vor der Firewall auf der internen Seite des Netzwerks zu installieren - in diesem Fall analysiert die Software nur den von der Firewall zugelassenen Datenverkehr. Dadurch wird die Belastung des Systems verringert und die Leistung der Netzinfrastruktur erhöht.

Ein gängiges Szenario ist der Einsatz von IDS am äußeren Rand des Netzwerkschutzes, nach der Firewall. In diesem Fall schaltet das System alle unnötigen Geräusche aus externen Netzen aus. Außerdem bietet sie Schutz vor Kartierungen. Bei diesem Infrastrukturkonzept wird das System die Netzschichten 4 bis 7 überwachen und somit vom Typ Signatur sein, wodurch die Wahrscheinlichkeit von Fehlalarmen minimiert wird.