Was ist Intrusion Detection and Prevention (IDS/IPS)?

Was ist Intrusion Detection and Prevention (IDS/IPS)?

Mit Intrusion Detection wird der Datenverkehr im Netzwerk überwacht und auf Anzeichen möglicher Eindringungsversuche analysiert, z. B. auf Exploit-Versuche und Vorfälle, die eine unmittelbare Bedrohung für Ihr Netzwerk darstellen könnten. Bei der Intrusion Prevention geht es um die Erkennung von Eindringlingen und die anschließende Unterbindung der erkannten Vorfälle, was in der Regel durch das Verwerfen von Paketen oder das Beenden von Sitzungen geschieht. Diese Sicherheitsmaßnahmen sind als Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) verfügbar, die Teil der Netzsicherheitsmaßnahmen zur Erkennung und Unterbindung potenzieller Vorfälle sind und zu den Funktionen von Firewalls der nächsten Generation (NGFW) gehören.

 

Welche Vorteile bringen IS/IPS?

IDS/IPS überwachen Datenverkehr im Netzwerk, um jedes bekannte schädliche Verhalten zu identifizieren. Ein Angreifer versucht unter anderem, ein Netzwerk zu kompromittieren, indem er eine Schwachstelle in einem Gerät oder in der Software ausnutzt. IDS/IPS identifiziert diese Exploit-Versuche und blockiert sie, bevor sie irgendwelche Endgeräte innerhalb des Netzwerks gefährden. IDS/IPS sind notwendige Sicherheitstechnologien, sowohl am Netzwerk-Edge als auch im Datencenter, gerade weil sie Angreifer stoppen können, während sie Informationen über Ihr Netzwerk sammeln.

 

Wie funktioniert IDS?

In der Regel werden für die Erkennung von Vorfällen drei IDS-Erkennungsmethoden verwendet:

  • Die signaturbasierte Erkennung vergleicht die Signaturen mit den beobachteten Ereignissen, um potenzielle Vorfälle zu erkennen. Dabei handelt es sich um die einfachste Erkennungsmethode, weil mittels Stringvergleich lediglich die aktuelle Aktivitätseinheit (wie ein Paket oder ein Protokolleintrag mit einer Signaturenliste) verglichen wird.
  • Die anomaliebasierte Erkennung vergleicht die Definitionen dessen, was als normal erachtet wird, mit den beobachteten Ereignissen, um drastische Abweichungen zu ermitteln. Diese Erkennungsmethode kann bei der Entdeckung bisher unbekannter Bedrohungen sehr wirksam sein.
  • Die Stateful-Protokollanalyse vergleicht vordefinierte Profile von allgemein akzeptierten Definitionen für eine gutartige Protokollaktivität für jeden Protokollstatus im Vergleich zu den beobachteten Ereignissen, um Abweichungen zu ermitteln.

 

 

Was können Sie mit IDS/IPS erreichen?

Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) überwachen kontinuierlich Ihr Netzwerk, erkennen potenzielle Vorfälle und protokollieren die dazugehörigen Informationen, stoppen Vorfälle und melden diese den Sicherheitsadministratoren. Darüber hinaus nutzen einige Netzwerke IDS/IPS für die Erkennung von Problemen mit den Sicherheitsrichtlinien und halten Personen davon ab, gegen diese Sicherheitsrichtlinien zu verstoßen. IDS/IPS wurde zu einer notwendigen Ergänzung der Sicherheitsinfrastruktur der meisten Unternehmen, insbesondere weil sie Angreifer stoppen können, während sie Informationen zum Netzwerk erfassen.

 

IDS und IPS von Juniper

Die Firewalls der SRX-Serie von Juniper Networks, einschließlich vSRX und cSRX, sind vollständig für Intrusion Detection and Prevention (IDP) Services ausgerüstet. Sie können selektiv verschiedene Techniken für die Erkennung und Verhinderung von Angriffen im Netzwerkverkehr erzwingen, der Ihr ausgewähltes Gerät der SRX-Serie oder den Secure Edge-Service passiert, der Firewall-as-a-Service bietet. Sie können Richtlinienregeln definieren, die basierend auf einer Zone einem Datenverkehrsabschnitt, einem Netzwerk oder einer Anwendung entsprechen, und anschließend aktive oder passive Vorkehrung für diesen Datenverkehr treffen. Sowohl die SRX-Serie als auch der Secure Edge-Service enthalten robuste und ständig aktualisierte IPS-Signaturen, um Netzwerke vor Angriffen zu schützen. Die SRX-Serie kann IDP-Protokolle an beliebige SIEMs (Security Incident and Event Management Systems) weiterleiten, z. B. an Juniper Secure Analytics (JSA).

IDS und IPS – FAQs

Ist eine Firewall ein IDS oder ein IPS?

Ja. Echte Firewalls der nächsten Generation enthalten IDS- und IPS-Funktionen. Allerdings sind nicht alle Firewalls Firewalls der nächsten Generation. Außerdem blockiert und filtert eine Firewall den Netzwerkverkehr, während IDS und IPS je nach Konfiguration einen Angriffsversuch erkennen und melden oder blockieren. IDS und IPS reagieren auf den Datenverkehr, nachdem die Firewall den Datenverkehr entsprechend der konfigurierten Richtlinie gefiltert hat.

Wie werden IDS und IPS implementiert?

 Ein Intrusion Detection System (IDS) ist für die Erkennung von Angriffen und Techniken zuständig und wird häufig außerhalb des Bandes in einem reinen Abhörmodus eingesetzt, sodass es den gesamten Datenverkehr analysieren und Eindringungsereignisse aus verdächtigem oder bösartigem Datenverkehr generieren kann. 

Ein Intrusion Prevention System (IPS) wird im Pfad des Datenverkehrs eingesetzt, sodass der gesamte Datenverkehr die Anwendung passieren muss, um an sein Ziel zu gelangen. Bei Erkennung von böswilligem Datenverkehr unterbricht das IPS die Verbindung und beendet die Sitzung oder den Datenverkehr.

Kann ein IPS den Datenverkehr blockieren?

Ja. Ein IPS überwacht den Datenverkehr ständig auf bekannte Schwachstellen, um das Netzwerk zu schützen. Das IPS vergleicht dann den Datenverkehr mit vorhandenen Signaturen. Wenn ein Match auftritt, wird IPS eine von drei Aktionen durchführen: 1) den Datenverkehr erkennen und protokollieren, 2) den Datenverkehr erkennen und blockieren oder 3) (die empfohlene Option) den Datenverkehr erkennen, protokollieren und blockieren. 

Was kann ein IDS erkennen?

Ein IDS erkennt Bedrohungen anhand von Mustern bekannter Exploits, böswilliger Verhaltensweisen und Angriffstechniken. Ein effektives IDS erkennt auch Ausweichtechniken, die Angreifer verwenden, um ihre Angriffe zu verbergen, wie z. B. die Fragmentierung von Remote Procedure Calls (RPC), HTML-Padding und andere Arten der TCP/IP-Manipulation.

Erfahren Sie mehr darüber, was Juniper IDS/IPS erkennen und blockieren kann, auf unserer Signaturen- Seite.

Kann ein IPS DDoS verhindern?

Ein IPS kann bestimmte Arten von DDoS-Angriffen (Distributed Denial of Service) verhindern. So sind beispielsweise AppDoS-Angriffe (Application Denial of Service) eine der Bedrohungskategorien, die IPS-Funktionen erkennen und vor denen sie schützen können. Für volumetrische DDoS-Bedrohungen ist jedoch eine dedizierte Lösung wie das Corero DDoS-Angebot von Juniper erforderlich.

Welche IDS- und IPS-Technologien, -Lösungen und -Produkte bietet Juniper an?

Juniper bietet sowohl IDS- als auch IPS-Lösungen über ein einziges Software-Abonnement an, das auf allen Firewall-Produkten und -Services der nächsten Generation von Juniper eingesetzt wird: physische, virtuelle und containerisierte SRX-Firewalls oder als Service innerhalb von Juniper Secure Edge.