Skip to content Skip to navigation Skip to footer

Intrusion-Prevention-Systeme: Abwehr von entdeckten Angriffen

Kontakt 

Intrusion Prevention System (IPS) – Definition und Funkionsweise

Ein Intrusion Prevention System (IPS) ermöglicht es Unternehmen, bösartigen Datenverkehr zu erkennen und proaktiv zu blockieren, damit dieser nicht in ihr Netzwerk eindringen kann. Produkte, die die IPS-Technologie nutzen, können zur Überwachung des eingehenden Datenverkehrs eingesetzt werden, um diesen auf Schwachstellen und Exploits hin zu überprüfen und bei Erkennung die in der Sicherheitsrichtlinie festgelegten Maßnahmen zu ergreifen, wie z. B. die Sperrung des Zugangs, die Quarantäne von Hosts oder die Sperrung des Zugriffs auf externe Websites, die zu einem potenziellen Sicherheitsverstoß führen könnten.

FortiGate IPS: Schutz vor bekannten und Zero-Day-Bedrohungen | Intrusion Prevention System

FortiGuard bietet einen umfassenden, sicherheitsorientierten Netzwerksicherheitsservice, der Unternehmen einen branchenweit bewährten IPS-Dienst an die Hand gibt. Speziell für Unternehmen entwickelt, um eine überragende Sicherheitseffizienz und die branchenweit beste IPS-Leistung zu gewährleisten. Unterstützt durch die KI/ML-gesteuerte Threat Intelligence von FortiGuard Labs.

Jetzt ansehen

Intrusion Prevention Systems: Erklärung

Ein IPS-Sicherheitsdienst wird in der Regel „in-line“ eingesetzt, d. h. im direkten Kommunikationspfad zwischen Quelle und Ziel, wo es den gesamten Netzwerkverkehr entlang dieses Pfads in „Echtzeit“ analysieren und automatische Präventivmaßnahmen ergreifen kann. Das IPS kann überall im Netzwerk eingesetzt und angezeigt werden, die häufigsten Einsatzorte sind jedoch die folgenden:

  • Enterprise Edge, Perimeter
  • Rechenzentrum des Unternehmens

Ein IPS kann als eigenständiges Best-of-Breed-IPS oder als konsolidierte IPS-Funktion innerhalb einer Next Generation Firewall (NGFW, Firewall der nächsten Generation) eingesetzt werden. Ein IPS verwendet Signaturen, die sowohl schwachstellen- als auch angriffsspezifisch sein können, um bösartigen Datenverkehr zu erkennen. In der Regel handelt es sich dabei entweder um signaturbasierte Erkennung oder um statistische, anomaliebasierte Erkennung, um bösartige Aktivitäten zu identifizieren. 

  1. Die signaturbasierte Erkennung verwendet eindeutig identifizierbare Signaturen, die im Exploit-Code enthalten sind. Wenn Exploits entdeckt werden, werden ihre Signaturen in eine zunehmend größer werdende Datenbank aufgenommen. Bei der signaturbasierten Erkennung handelt es sich entweder um auf Exploits ausgerichtete Signaturen, die die einzelnen Exploits selbst identifizieren, oder um auf Schwachstellen ausgerichtete Signaturen, die die Schwachstelle in dem für den Angriff anvisierten System identifizieren. Auf Schwachstellen ausgerichtete Signaturen sind wichtig, um potenzielle Exploit-Varianten zu identifizieren, die zuvor noch nicht entdeckt wurden, allerdings erhöhen sie auch das Risiko von Fehlalarmen (gutartige Pakete, die fälschlicherweise als Bedrohung eingestuft werden).
  2. Bei der auf statistischen Anomalien basierenden Erkennung wird der Netzwerkverkehr nach dem Zufallsprinzip erfasst und dann mit den Baselines der Leistungsstufe abgeglichen. Wenn Stichproben als außerhalb der Baseline liegend identifiziert werden, löst das IPS eine Aktion aus, um einen potenziellen Angriff zu verhindern.

Sobald das IPS einen bösartigen Datenverkehr identifiziert, der das Netzwerk missbrauchen kann, wird ein so genannter virtueller Patch zum Schutz installiert. Der virtuelle Patch dient als Sicherheitsmaßnahme gegen Bedrohungen, die bekannte und unbekannte Schwachstellen ausnutzen. Der virtuelle Patch implementiert mehrere Ebenen von Sicherheitsrichtlinien und -regeln, die verhindern, dass ein Exploit den Netzwerkpfad zu und von einer Schwachstelle nutzt, und fängt ihn ab, sodass die Schwachstelle auf Netzwerkebene und nicht auf Host-Ebene geschützt wird.

Sicherer Fernzugriff

FortiGate IPS – Produkt-Demo

Demo anfordern

IPS vs. IDS

Während IDS das Netzwerk überwachen und Warnmeldungen über potenzielle Bedrohungen an Netzwerkadministratoren senden, ergreifen IPS umfassendere Maßnahmen, um den Zugang zum Netzwerk zu kontrollieren, eindringende Daten zu überwachen und Angriffe zu verhindern.

IPS vs. IDS

IPS vs. IDS

IPS ist die Weiterentwicklung des Intrusion Detection Systems (IDS). Die IDS-Technologie verwendet dasselbe Konzept zur Identifizierung des Datenverkehrs und einige ähnliche Techniken, wobei der Hauptunterschied darin besteht, dass IPS „in-line“ und IDS „off-line“ oder „on tap“ eingesetzt werden, wo sie zwar eine Kopie des gesamten Datenverkehrs oder Datenstroms untersuchen, aber keine Präventivmaßnahmen ergreifen können. IDS werden nur zur Überwachung eingesetzt und liefern Analysen und Einblicke in die Bedrohungen im Netzwerk.


Wie Fortinet helfen kann

Der FortiGuard IPS Security Service ist für NGFW (Hardware, virtuelle Maschine, as-a-Service) FortiClient, FortiProxy, FortiADC und unsere Cloud Sandbox verfügbar. Mit unseren OT- und IoT-Services erhalten Sie einen noch umfassenderen Schutz für Betriebstechnologie und IoT-Geräte.

FortiGuard IPS mit NGFW bietet Folgendes:

  1. Netzwerkbasiertes virtuelles Patching für Geschäftsanwendungen, die schwer zu patchen sind oder nicht gepatcht werden können. Dies gewährleistet Schutz vor Schwachstellen, ohne den Betrieb zu unterbrechen.
  2. Beschleunigte FortiGuard IPS-Funktionen dank Fortinets speziell entwickeltem Content-Prozessor (CP9) auf FortiGate, um das branchenweit beste IPS-Preis-Leistungs-Verhältnis zu gewährleisten.
  3. Erweitertes Intrusion-Prevention-System mit zusätzlichen Funktionsweisen wie SSL-Überprüfung (einschließlich TLS 1.3), um versteckte Malware, Ransomware und andere HTTPS-basierte Angriffe zu erkennen.