Der beste Weg, ein Netzwerk oder ein einzelnes Com­pu­ter­sys­tem zu schützen, besteht darin, Angriffe früh­zei­tig zu erkennen und ab­zu­weh­ren, noch bevor diese Schaden ver­ur­sa­chen können. Eine sinnvolle Ergänzung zur Firewall sind Intrusion-Detection- sowie Intrusion-Pre­ven­ti­on-Systeme. Wir erklären, was IDS vs. IPS verbindet und trennt.

Bevor wir näher auf IDS vs. IPS eingehen, stellen wir Ihnen die beiden Systeme kurz vor. IDS steht für Intrusion-Detection-System, also ein System, das Angriffe auf einen Client oder ein Netzwerk möglichst früh­zei­tig erkennt. Stößt das IDS bei seiner Analyse auf un­ge­wöhn­li­chen Da­ten­ver­kehr, sendet es eine Warnung an den Ad­mi­nis­tra­tor oder die Ad­mi­nis­tra­to­rin. Bei IDS un­ter­schei­det man zwischen host­ba­sier­ten und netz­werk­ba­sier­ten An­griffs­er­ken­nungs­me­tho­den. IPS bedeutet Intrusion-Pre­ven­ti­on-System und be­zeich­net ein System, das po­ten­zi­el­le Angriffe nicht nur erkennt und meldet, sondern diesen auch mit aktiven Ge­gen­maß­nah­men begegnet. IPS greift ebenso auf host- und netz­werk­ba­sier­te Sensoren zurück, um Sys­tem­da­ten und Netz­werk­pa­ke­te zu be­ur­tei­len.

IDS vs. IPS: Welche Ge­mein­sam­kei­ten gibt es?

Durch diese kurze Ein­füh­rung wird bereits klar, dass IDS vs. IPS keine kom­plet­ten Ge­gen­sät­ze sind. Es gibt durchaus einige Faktoren, die die beiden Systeme mit­ein­an­der verbinden. Folgende Ge­mein­sam­kei­ten weisen Intrusion-Detection-Systeme und Intrusion-Pre­ven­ti­on-Systeme auf:

Analyse

Die Ana­ly­se­me­tho­den, die beide Systeme nutzen, sind in vielen Fällen fast oder komplett de­ckungs­gleich. IPS und IDS setzen beide Sensoren auf dem Host, im Netzwerk oder an beiden Punkten ein, um Sys­tem­da­ten und Da­ten­pa­ke­te im Netzwerk zu über­prü­fen und auf Gefahren hin zu durch­leuch­ten. Sie verwenden dafür fest­ge­leg­te Parameter, sodass sie Ab­wei­chun­gen zwar erkennen, harmlose Anomalien aber häufig auch als solche iden­ti­fi­zie­ren. Die Analyse erfolgt – je nach System – über die Misuse Detection oder die Anomaly Detection. Dadurch ähneln sich auch die po­ten­zi­el­len Schwach­stel­len: Bei der Misuse Detection können un­be­kann­te Be­dro­hun­gen übersehen werden, die Anomaly Detection meldet häufiger un­ge­fähr­li­che Da­ten­pa­ke­te.

Datenbank

Für die Ge­fah­re­n­er­ken­nung setzen beide Systeme auf eine Datenbank, die dazu dient, Be­dro­hun­gen schneller und exakter zu iden­ti­fi­zie­ren. Je um­fang­rei­cher diese Bi­blio­thek aus­ge­stat­tet ist, desto höher ist auch die Tref­fer­quo­te der beiden Systeme. Aus diesem Grund sind IDS und IPS auch nicht als statische Ein­rich­tung zu verstehen, sondern als wan­del­ba­re und lern­fä­hi­ge Systeme, die durch Ak­tua­li­sie­run­gen besser werden.

Einsatz von KI

Ein Faktor, der für IDS vs. IPS eine große Rolle spielt, ist die Künst­li­che In­tel­li­genz. Durch ma­schi­nel­les Lernen ver­bes­sern moderne Systeme ihre Ge­fah­re­n­er­ken­nung und erweitern ihre Da­ten­ban­ken. So verstehen sie neue An­griffs­mus­ter besser, erkennen sie früher und melden gleich­zei­tig seltener un­be­denk­li­che Pakete.

Ein­stel­lungs­op­tio­nen

Beide Systeme lassen sich in­di­vi­dua­li­sie­ren und an die Be­dürf­nis­se eines Netzwerks oder eines Com­pu­ter­sys­tems anpassen. Diese Kon­fi­gu­ra­ti­on sorgt dafür, dass Abläufe nicht gestört werden und alle Kom­po­nen­ten trotz der Über­wa­chung rei­bungs­los funk­tio­nie­ren. Da IDS und IPS beide in Echtzeit scannen und ana­ly­sie­ren, ist dies ebenfalls ein wichtiger Faktor.

Au­to­ma­ti­sie­rung

IDS und IPS arbeiten beide au­to­ma­ti­siert und autark. Einmal kon­fi­gu­riert, benötigen sie keine Aufsicht durch das Si­cher­heits­per­so­nal, sondern führen ihre Aufgaben wie gewünscht aus. Rück­mel­dun­gen gibt es nur, wenn eine Ge­fah­ren­si­tua­ti­on vorliegt.

Ge­fah­re­n­er­ken­nung und Warnung

Zwar gibt es einige Faktoren, die IDS vs. IPS von­ein­an­der abgrenzen, eine Grund­funk­ti­on teilen sie sich al­ler­dings: Beide Systeme erkennen Be­dro­hun­gen nicht nur, sondern warnen den Ad­mi­nis­tra­tor oder die Ad­mi­nis­tra­to­rin auch umgehend. Diese Warnung kann per E-Mail, als Be­nach­rich­ti­gung auf einem mobilen Device oder direkt als Sys­tem­alarm erfolgen. Die Ver­ant­wort­li­chen haben so die Mög­lich­keit, über das weitere Vorgehen zu ent­schei­den.

Pro­to­koll­funk­ti­on

Sowohl IDS als auch IPS verfügen über eine wichtige Pro­to­koll­funk­ti­on. Das er­mög­licht ihnen, Be­dro­hun­gen nicht nur zu melden (oder zu bekämpfen), sondern diese auch der eigenen Datenbank hin­zu­zu­fü­gen. So wird diese noch stärker und po­ten­zi­el­le Schwach­stel­len werden iden­ti­fi­ziert und idea­ler­wei­se ge­schlos­sen.

Zu­sam­men­ar­beit mit einer Firewall

Auch wenn es einige Un­ter­schie­de zwischen IDS vs. IPS gibt, sind beide als Ergänzung zu einer Firewall zu verstehen. Sämtliche Si­cher­heits­me­cha­nis­men sollten auf­ein­an­der ab­ge­stimmt sein, um das System best­mög­lich vor Angriffen zu schützen. Setzen Sie lediglich ein Intrusion-Detection-System oder ein Intrusion-Pre­ven­ti­on-System ein, sind Ihr Netzwerk oder Ihr Computer nicht aus­rei­chend gesichert.

IDS vs. IPS: Was un­ter­schei­det die beiden Ansätze?

Es gibt also einige Ge­mein­sam­kei­ten zwischen den beiden Systemen. Insgesamt finden sich al­ler­dings auch mehrere Un­ter­schie­de, wenn man IDS vs. IPS ver­gleicht. Dies sind die wich­tigs­ten:

Ge­fah­ren­ab­wehr

Wie bereits weiter oben erwähnt, über­wa­chen IDS und IPS beide das jeweilige System, melden Gefahren und pro­to­kol­lie­ren diese. Während das Auf­ga­ben­ge­biet eine Intrusion-Detection-Systems an dieser Stelle al­ler­dings erschöpft ist, geht das Intrusion-Pre­ven­ti­on-System noch deutlich weiter. Bei IPS handelt es sich um ein aktives Si­cher­heits­sys­tem, das Be­dro­hun­gen selbst­stän­dig abwehrt. Dafür un­ter­bricht es bei Bedarf Ver­bin­dun­gen oder stoppt und verwirft Da­ten­pa­ke­te, falls diese Auf­fäl­lig­kei­ten aufweisen. Ein IDS ist hingegen als passives System zu sehen, welches lediglich die Über­wa­chung übernimmt und mögliche Gefahren meldet.

Po­si­tio­nie­rung

Auch die möglichen Po­si­tio­nie­run­gen von IDS vs. IPS un­ter­schei­den sich: Das IDS wird entweder auf einem Rechner oder am Rande eines Netzwerks platziert. Dort ist die Kontrolle der ein- und aus­ge­hen­den Da­ten­pa­ke­te am ein­fachs­ten. Das IPS wird hingegen hinter der Firewall po­si­tio­niert. Hier kann es nicht nur Be­dro­hun­gen melden, sondern diese auch best­mög­lich aufhalten.

Arten

Während beide Lösungen host­ba­siert (HIPS) oder netz­werk­ba­siert (NIPS) arbeiten, gibt es auch IPS-Lösungen, die in einem WLAN platziert werden. Diese Aus­füh­rung nennt man WIPS.

Un­ab­hän­gig­keit

IPS arbeiten wei­test­ge­hend ei­gen­stän­dig und finden in der Regel Lösungen für un­ter­schied­li­che Be­dro­hungs­sze­na­ri­en. IDS über­wa­chen Da­ten­pa­ke­te zwar ebenfalls ohne fremdes Zutun, entdecken sie al­ler­dings eine ver­däch­ti­ge Über­tra­gung, können sie nicht selbst handeln. Wenn die Warnung aus­ge­sen­det wurde, müssen der Ad­mi­nis­tra­tor oder die Ad­mi­nis­tra­to­rin die nötigen Ge­gen­maß­nah­men selbst einleiten.

Kon­fi­gu­ra­ti­on von IDS vs. IPS

IDS arbeitet in der Regel inline und hat daher keine negativen Aus­wir­kun­gen auf die Netz­werk­leis­tung. Trotzdem muss diese Ar­beits­wei­se auch bei der Kon­fi­gu­ra­ti­on be­rück­sich­tigt werden. So ist es möglich, dass das IDS eine erkannte Bedrohung direkt an den Router oder die Firewall wei­ter­lei­tet und dazu den Ad­mi­nis­tra­tor oder die Ad­mi­nis­tra­to­rin in Kenntnis setzt. Ein IPS kann negative Aus­wir­kun­gen auf die Netz­werk­leis­tung haben. Daher ist es auch umso wichtiger, dass das System passgenau kon­fi­gu­riert wird. Lässt es ge­fähr­li­che Da­ten­pa­ke­te passieren, ist der Schutz nicht mehr ge­währ­leis­tet. Blockiert es al­ler­dings an sich harmlose Über­tra­gun­gen, wird dadurch das gesamte Netzwerk be­ein­träch­tigt.

My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung
Zum Hauptmenü