Grundlagen
Überwachungssysteme in Netzwerken
Das Wichtigste an einem IPS ist die Reaktionszeit. Um Angreifer auszusperren, muss das IPS alle Daten kontrollieren und bei Bedarf Gegenmaßnahmen einleiten, zum Beispiel temporäre Filter in der Firewall oder Unerreichbarkeitsmeldungen über ICMP an den angreifenden Rechner. Bis das alles abgeschlossen ist, kann der Angreifer schon durchgebrochen sein. Das IPS hat nur eine Chance, wenn es direkt im Übertragungsweg sitzt. So kann es Pakete sofort löschen anstatt sie weiterzuleiten. Zusätzlich kann es anschließend alle anderen ankommenden Daten der gleichen Verbindung löschen.
Verteidigungsszenarien mit IPS
IPS können auf zwei Arten arbeiten: Bei der sogenannten Fail-open-Technik werden bei einem festgestellten Angriff sofort Gegenmaßnahmen eingeleitet. Im Anschluss wird der nachfolgende Verkehr nicht überwacht, der Betrieb läuft ganz normal weiter. Anders bei der Fail-close-Strategie: Bei einem Angriff wird der Datenstrom sofort unterbrochen, ähnlich einer Firewall.
Für eines der beiden Konzepte muss sich der Administrator entscheiden, bei Fail open kann es sein, dass nach erkanntem Angriff zwar der Bösewicht beseitigt wird, nachfolgender bösartiger Verkehr kann das IPS aber ungehindert passieren. Bei Fail close dagegen ist das IPS schnell selber das Angriffsziel, welches sich durch DoS-Attacken lahmlegen ließe.
Eine andere Gefahr sind falsche Alarme (False Positives). Während ein IDS nur falsch alarmiert, schließt ein IPS unter Umständen bei falschem Alarm das ganze Netz, beziehungsweise echter bösartiger Verkehr dringt ins Netzwerk ein, weil das IPS gerade fälschlicherweise mit einem Angreifer beschäftigt ist. IPS sollten deshalb so konfiguriert sein, dass sie nur dann eingreifen, wenn es sich bei den beobachteten Datenpaketen ganz sicher um einen Angreifer handelt, ähnlich der Toleranzen eines IDS.
Fazit
IDS und IPS sind allerdings keine Garanten für ein abgeschottetes Netzwerk. Dennoch sind sie wichtige Teilbereiche in einem umfassenden Sicherheitskonzept. IDS und IPS bedürfen einer Administration und der Wartung, um zu funktionieren. Zudem müssen sie in bestehende und funktionierende IT-Infrastrukturen integriert sein. Ein sauberes Zusammenspiel zwischen den Systemen entscheidet dann langfristig über den Nutzen solcher Sicherheitswerkzeuge.