Guten Tag, mein Name ist Ben Omsels und ich befinde mich im ersten Ausbildungsjahr zum Fachinformatiker für Systemintegration bei suresecure. Ich konnte schon einen umfangreichen und spannenden Einblick in die Welt der IT-Sicherheit gewinnen. Vom großen Incident bis zur einzelnen Endpunkt-Sicherung. Ich lerne derzeit viele verschiedene Bereiche kennen und so entstand diesen Artikel über das Intrusion Prevention System (IPS).

Ich bin sehr gespannt, was die Zukunft bei suresecure noch für mich bereithält und wünsche Ihnen viel Spaß beim Lesen.

Einsatzgebiet eines IPS

Was passiert, wenn das einfache Anti-Virus Programm aussetzt, eine schädliche Datei nicht erkennt und die Bedrohung einfach vorbei spaziert? Das Programm braucht ein Backup beziehungsweise einen Sparringspartner, der im Notfall eingreift und das Sicherheitslevel noch mal anhebt.

Und hier hat das Intrusion Prevention System seinen Einsatz.

Es fungiert als zusätzlicher Schutz an verschiedenen Punkten in Ihrem Netzwerk, also als zusätzliche Instanz zwischen Ihren Systemen und den Gefahren von außerhalb. In der Regel sitzt das IPS direkt hinter der Firewall. Im Gegensatz zu herkömmlichen Firewall-Systemen ist das IPS in der Lage, Angriffe auf das Netzwerk zu erkennen und automatisch abzuwehren. Dabei überwacht es den gesamten Netzwerkverkehr und scannt nach potenziellen Bedrohungen.

Eigene Darstellung

Es arbeitet dabei nach drei möglichen Erkennungssystemen

Signaturbasierte Erkennung: Das IPS greift hier auf bereits definierte Listen mit bekannter Malware zurück. Wird eine davon erkannt, werden entsprechende Gegenmaßnahmen ergriffen
Anomaliebasierte Erkennung: Bei dieser Form achtet das System auf auffälliges oder unerwartetes Verhalten und sperrt gegebenenfalls den Zugriff
Richtlinienbasierte Erkennung: Admins legen hier vorher Regeln bzw. Richtlinien fest. Wird bei einem Ereignis eine dieser Regeln verletzt, wird eine Warnmeldung gesendet und ggf. Maßnahmen ergriffen

Sollte das IPS etwas erkennen, sendet es eine Meldung an den Administrator, verwirft betroffene Netzwerkpakete, setzt Verbindungen zurück und blockiert Aktionen. So kann die Ausführung von Exploits verhindert und ein Malwareausbruch vermieden werden.

IPS schützt Sie vor Bedrohungen wie

Denial of Service (DoS) Attacken
Distributed Denial of Service (DDOS) Attacken
Verschiedene Typen von Exploits
Worms
Viren

Was macht ein gutes IPS aus?

Prinzipiell ist vor allem eins wichtig: Das IPS muss vieles erkennen! Je mehr ein IPS findet, ob durch eine gute Konfiguration oder große Datenbank, desto höher ist seine Qualität und demnach auch das Sicherheitslevel. Die Datenbank, auf die das System zurückgreift, die wiederum mit den entsprechenden Signaturen von Malware gefüllt ist, sollte dabei immer aktualisiert werden. Im besten Falle ist ein IPS aber nie allein. Die beste Nutzung ist nämlich, wenn es so flexibel wie möglich und an so vielen Punkten im Netzwerk eingebunden ist, dass ein möglichst großer Bereich abgedeckt wird.

Eine Vernetzung der Systeme kann die Administration vereinfachen.

Was macht ein gutes IPS aus?

Prinzipiell ist vor allem eins wichtig: Das IPS muss vieles erkennen! Je mehr ein IPS findet, ob durch eine gute Konfiguration oder große Datenbank, desto höher ist seine Qualität und demnach auch das Sicherheitslevel. Die Datenbank, auf die das System zurückgreift, die wiederum mit den entsprechenden Signaturen von Malware gefüllt ist, sollte dabei immer aktualisiert werden. Im besten Falle ist ein IPS aber nie allein. Die beste Nutzung ist nämlich, wenn es so flexibel wie möglich und an so vielen Punkten im Netzwerk eingebunden ist, dass ein möglichst großer Bereich abgedeckt wird.

Ein weiterer Punkt, der nicht nur die Sicherheit anhebt, sondern auch die administrative Arbeit erleichtert, ist die Vernetzung aller IPS Systeme untereinander. Denn gerade wenn eine umfangreiche Vernetzung in einem Unternehmen herrscht, reicht eine Überwachungssoftware allein nicht mehr aus. Es müssen mehrere paar Augen her, wodurch gleichzeitig viel gemanagt werden muss. Sind die Systeme aber miteinander vernetzt, brauchen sie nur eine Oberfläche, die Sie alles einfach und schnell administrieren lässt.

Welche Vorteile bringt ein IPS?

Neben dem enorm gesteigerten Schutzlevel bietet ein IPS noch zwei weitere Vorteile, die gar nicht so direkt hervorgehen:

Alles läuft fast vollkommen automatisiert, wodurch ein großer arbeitstechnischer Aufwand wegfällt und Ressourcen gespart werden
Ein gutes IPS erkennt herstellerunabhängig vorhandene Sicherheitslücken und schließt diese provisorisch, bis die Hersteller eigene Patches veröffentlicht hat

Wie nutzt die suresecure das IPS?

Um einen äußerst umfangreichen Schutz des gesamten Netzwerks zu erwirken, arbeiten wir mit der Kombination aus zwei Systemen. Wir vernetzen ein aktives System, das Intrusion Prevention System mit einem passiven System, dem Intrusion Detection System (IDS). Dabei arbeiten wir mit den Systemen unsers best-of-breed Trend Micro.

Um bei einem so weitreichenden Einsatz mehrerer IPS Systeme, sowie weiterer Überwachungssoftware des Netzwerkbetriebs, nicht den Überblick zu verlieren, setzen wir Splunk ein. Splunk dient uns in diesem Zusammenhang als eine übergeordnete Monitoring Plattform, um alle Logs und Reports, aus allen Ecken eines Netzwerks, an einem zentralen Ort überwachen zu können.

Die Korrelation aller Daten und das automatische Alarmschlagen bei Anomalien, ermöglicht uns einen gut aufbereiteten Gesamtüberblick über das Vorgehen im Netzwerk und die Reduzierung von Sicherheitslücken auf ein Minimum.

Max Mustermann

Wenn Sie genaueres über unser Vorgehen erfahren möchten, kommen sie gerne auf uns zu. Wir beraten Sie gern und vor allem sicher!