Was ist Intrusion Detection and Prevention (IDS/IPS)?

Was ist Intrusion Detection and Prevention (IDS/IPS)?

Intrusion Detection ist der Prozess der Überwachung von Ereignissen in Ihrem Netzwerk und deren Analyse auf Anzeichen potenzieller Vorfälle, Verstöße oder unmittelbaren Bedrohungen für Ihre Sicherheitsrichtlinien. Intrusion Prevention ist der Prozess der Durchführung der Intrusion Detection und dem anschließenden Stoppen der erkannten Vorfälle. Diese Sicherheitsmaßnahmen sind in den Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) verfügbar, die Teil des Netzwerks werden, um potenzielle Vorfälle zu erkennen und zu stoppen.

Problempunkt IDS/IPS-Adressen

Ein normales Geschäftsnetzwerk verfügt über verschiedene Zugriffspunkte auf andere öffentliche und private Netzwerke. Die Herausforderung besteht darin, die Sicherheit dieser Netzwerke aufrechtzuerhalten und sie dabei gleichzeitig für Kunden offen zu halten. Derzeit sind die Angriffe so ausgefeilt, dass sie die besten Sicherheitssysteme überwinden können. Dies gilt insbesondere für diejenigen, die immer noch unter der Annahme betrieben werden, dass Netzwerke mittels Verschlüsselung und Firewalls geschützt werden können. Leider reichen diese Technologien alleine nicht aus, um den Angriffen von heute entgegenzuwirken.

 

 

Was können Sie mit IDS/IPS erreichen?

Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) überwachen kontinuierlich Ihr Netzwerk, erkennen potenzielle Vorfälle und protokollieren die dazugehörigen Informationen, stoppen Vorfälle und melden diese den Sicherheitsadministratoren. Darüber hinaus nutzen einige Netzwerke IDS/IPS für die Erkennung von Problemen mit den Sicherheitsrichtlinien und halten Personen davon ab, gegen diese Sicherheitsrichtlinien zu verstoßen. IDS/IPS wurde zu einer notwendigen Ergänzung der Sicherheitsinfrastruktur der meisten Unternehmen, insbesondere weil sie Angreifer stoppen können, während sie Informationen zum Netzwerk erfassen.

Wie funktioniert IDS?

In der Regel werden für die Erkennung von Vorfällen drei IDS-Erkennungsmethoden verwendet:

  • Die signaturbasierte Erkennung vergleicht die Signaturen mit den beobachteten Ereignissen, um potenzielle Vorfälle zu erkennen. Dabei handelt es sich um die einfachste Erkennungsmethode, weil mittels Stringvergleich lediglich die aktuelle Aktivitätseinheit (wie ein Paket oder ein Protokolleintrag mit einer Signaturenliste) verglichen wird.
  • Die anomaliebasierte Erkennung vergleicht die Definitionen dessen, was als normal erachtet wird, mit den beobachteten Ereignissen, um drastische Abweichungen zu ermitteln. Diese Erkennungsmethode kann bei der Entdeckung bisher unbekannter Bedrohungen sehr wirksam sein.
  • Die Stateful-Protokollanalyse vergleicht vordefinierte Profile von allgemein akzeptierten Definitionen für eine gutartige Protokollaktivität für jeden Protokollstatus im Vergleich zu den beobachteten Ereignissen, um Abweichungen zu ermitteln.

Implementierung von Juniper Networks

Juniper Networks verwendet für die Intrusion Detection and Prevention (IDP) Services seine Services Gateways der SRX-Serie. Sie können selektiv verschiedene Techniken für die Erkennung und Verhinderung von Angriffen im Netzwerkverkehr erzwingen, der Ihr ausgewähltes Gerät der SRX-Serie passiert. Sie können Richtlinienregeln definieren, die basierend auf einer Zone einem Datenverkehrsabschnitt, einem Netzwerk oder einer Anwendung entsprechen, und anschließend aktive oder passive Vorkehrung für diesen Datenverkehr treffen. Das Gerät der SRX-Serie enthält eine umfassende Reihe an IPS-Signaturen, um Netzwerke gegen Angriffe zu sichern. Juniper Networks aktualisiert regelmäßig die Datenbank der vordefinierten Angriffe. Das Gerät der SRX-Serie kann mittels PCAP Syslog-Kombinationsprotokoll PCAP (Paketerfassungs)-Daten aus dem eigenen Datenverkehr an eine Juniper Secure Analytics (JSA)-Appliance weiterleiten.