Ein Intrusion Detection System (IDS) überwacht den Traffic in Ihrem Netzwerk, untersucht ihn auf Signaturen bekannter Angriffe und benachrichtigt Sie, wenn etwas Verdächtiges passiert. Bis es soweit ist, fließt der Traffic ungehindert weiter.
Auch ein Intrusion Prevention System (IPS) überwacht den Traffic. Aber wenn etwas Ungewöhnliches passiert, wird der Traffic komplett gestoppt, bis Sie der Sache auf den Grund gehen und entscheiden, die Routen wieder zu öffnen.
Wofür werden Sie sich in der Frage IDS vs. IPS entscheiden? Wenn Sie in der IT-Branche arbeiten, werden Sie sich dieser Frage wahrscheinlich irgendwann stellen müssen. Und wenn Sie sich nicht sicher sind, wie Sie antworten sollen, sind Sie damit nicht allein.
Beide Systeme haben ihre Vor- und Nachteile. Aus diesem Grund sind einige Experten der Meinung, dass eine Kombination aus IDS und IPS der beste Weg ist, einen Server zu schützen.
Was ist IDS?
Sie möchten die Assets auf Ihrem Server schützen. Sie möchten den Traffic aber nicht beeinträchtigen – selbst, wenn ein Problem auftritt. Dann könnte ein Intrusion Detection System (IDS) die Lösung sein, nach der Sie gesucht haben.
Es gibt fünf unterschiedliche Typen von IDS.
- Netzwerk: Wählen Sie einen Punkt in Ihrem Netzwerk und überwachen Sie den gesamten Traffic aller Geräte von diesem Punkt aus.
- Host: Überwachen Sie den Traffic von und zu unabhängigen Geräten in Ihrem Netzwerk und lassen Sie alle anderen Geräte außen vor.
- Protokollbasiert: Setzten Sie einen Checkpoint zwischen Gerät und Server und überwachen Sie den gesamten Traffic dazwischen.
- Anwendungsprotokollbasiert: Setzen Sie einen Checkpoint innerhalb einer Gruppe von Servern und überwachen Sie, wie diese miteinander kommunizieren.
- Hybrid: Kombinieren Sie einige oder alle der oben genannten Ansätze zu einem System, das genau auf Ihre Bedürfnisse zugeschnitten ist.
Unabhängig davon, für welche Art von IDS Sie sich entscheiden, ist die grundlegende Funktionsweise vergleichbar. Sie alle verwenden passive Technologie, um einen Breach zu erkennen. Wird etwas gefunden, erhalten Sie eine entsprechende Benachrichtigung.
Ihr System erkennt Probleme anhand von:
- Mustern. Die Technologie markiert verdächtige Requests, sehr große Pakete und alles, was für Ihr System zu diesem Zeitpunkt ungewöhnlich erscheint.
- Früheren Angriffen. Die Technologie markiert alle Vorgänge und Ereignisse auf Ihrem Server, die bereits bei einem bekannten und erfolgreichen Angriff auf einen anderen Server verwendet wurden..
- Machine Learning. Das System sammelt Informationen über alles, was an einem gewöhnlichen Tag auf Ihrem Server passiert, und nutzt diese Daten, um seine Schutzmaßnahmen kontinuierlich zu optimieren.
Ein solches System bietet viele Vorteile. Es lässt sich sehr schnell einrichten und macht es Angreifern schwer, Ihre Schutzmaßnahmen zu erkennen. Bis Sie jedoch über einen laufenden Angriff benachrichtigt werden, haben Sie möglicherweise bereits wertvolle Zeit verloren, die Sie für den Schutz Ihrer Assets hätten nutzen können.
Was ist IPS?
Sie möchten einen Angriff stoppen, sobald er entdeckt wird – auch wenn dies bedeutet, dass legitimer Traffic aus Sicherheitsgründen unterbrochen wird. Dann könnte ein Intrusion Protection System (IPS) genau das Richtige für Sie sein.
Das Ziel eines IPS ist es, Schaden zu verhindern. Während Sie über den Angriff informiert werden, arbeitet das System bereits daran, die Sicherheit zu gewährleisten.
Ein IPS kann vor Angriffen von außen schützen. Aber auch die Mitarbeitenden Ihres Unternehmens können Ihre Sicherheit gefährden. Auch davor kann Sie ein IPS schützen und dazu beitragen, Ihre Mitarbeitenden dafür zu sensibilisieren, was erlaubt ist und was nicht.
Es gibt vier verschiedene Arten von IPS:
- Netzwerk: Analysieren und schützen Sie den Traffic in Ihrem Netzwerk.
- Drahtlos: Überwachen Sie alles, was in Ihrem drahtlosen Netzwerk geschieht, und wehren Sie Angriffe ab, die von dort ausgehen.
- Netzwerkverhalten: Erkennen Sie Angriffe anhand von verdächtigem Traffic in Ihrem Netzwerk.
- Host-basiert: Scannen Sie Ereignisse, die innerhalb eines von Ihnen festgelegten Hosts auftreten.
Die meisten Administratoren installieren ein IPS direkt hinter der Firewall. Sie können jedoch verschiedene Konfigurationen einrichten, um Ihre Assets ganz individuell zu schützen.
Unabhängig davon, für welchen Typ Sie sich entscheiden, führt das IPS bestimmte Schritte aus.
Ein IPS überwacht Ihr Netzwerk auf verdächtige Aktivitäten oder laufende Angriffe. Wird eine Anomalie festgestellt, werden Sie benachrichtigt. In der Zwischenzeit reagiert das System. Es könnte:
- Sessions beenden. Es kann den Ursprung verdächtiger Aktivitäten identifizieren und diese unterbinden. Das kann bedeuten, dass eine TCP-Session beendet, eine IP-Adresse gesperrt wird oder Ähnliches.
- Firewalls optimieren. Das System kann Lücken in der Firewall identifizieren, die Angriffe ermöglichten. Dann wird es die Konfiguration anpassen, um Ähnliches in Zukunft zu verhindern.
- Bereinigen. Das System kann nach beschädigten oder bösartigen Inhalten auf dem Server suchen und diese entfernen.
Das IPS arbeitet in Echtzeit und überprüft jedes Paket, das den geschützten Bereich passiert. Als Reaktion auf einen Angriff kann es schnell und umfassend eingreifen und Sie schützen – es kann allerdings auch False Positives ausgeben. In diesem Fall kann der Traffic grundlos beeinträchtigt werden.
Nach einem Angriff und dem Bereinigen erhalten Sie einen Bericht darüber, was schief gelaufen ist und was das System unternommen hat, um das Problem zu beheben. Diese Informationen können Sie nutzen, um Ihr System gegen zukünftige Angriffe zu wappnen. Und Sie können die Schutzmaßnahmen, die das System ergriffen hat, nachvollziehen und rückgängig machen, wenn Sie der Meinung sind, dass sie nicht sinnvoll sind.
IDS vs. IPS: Unterschiede und Gemeinsamkeiten
Sollten Sie sich für ein IDS oder ein IPS entscheiden? Sehen wir uns an, was sie gemeinsam haben und was sie unterscheidet.
Beide Systeme können:
- Überwachen. Nach dem Einrichten können diese Programme den Traffic innerhalb der von Ihnen festgelegten Parameter überwachen – so lange, bis Sie sie abschalten.
- Alarm schlagen. Beide Systeme senden eine Benachrichtigung an die von Ihnen festgelegten Personen, wenn ein Problem festgestellt wird.
- Lernen. Beide können Muster und neu aufkommende Bedrohungen mithilfe von Machine Learning erkennen.
- Protokollieren. Beide loggen Angriffe und Reaktionen, sodass Sie Ihre Schutzmaßnahmen entsprechend anpassen können.
Sie unterscheiden sich jedoch in folgenden Punkten:
- Response. Ein IDS ist passiv, während ein IPS ein aktives Kontrollsystem ist.Sie müssen Maßnahmen ergreifen, nachdem ein IDS Sie benachrichtigt hat, da Ihr System immer noch angegriffen wird.
- Sicherheit. Ein IDS bietet Ihnen im Ernstfall weniger Unterstützung. Sie müssen herausfinden, was Sie tun müssen, wann Sie es tun müssen und wie Sie das Chaos beseitigen können. Ein IPS übernimmt all diese Aufgaben für Sie.
- False Positives. Wenn ein IDS Ihnen ein False Positive liefert, sind Sie der einzige, der sich mit den Falschmeldungen auseinandersetzen muss. Wenn ein IPS den Traffic unterbricht, könnten viele Anwender betroffen sein.
Vergleichen Sie diese Checklisten – und Sie werden sofort ein Gefühl dafür bekommen, welches System für Sie am besten geeignet ist. Kann sich Ihr Unternehmen beispielsweise keine Unterbrechung aufgrund eines technischen Fehlers leisten, ist ein IDS wohl die beste Lösung. Wenn Sie jedoch nicht einmal eine Sekunde eines Angriffs überstehen werden, ohne Geschäftsgeheimnisse oder Ihren Ruf zu verlieren, ist ein IPS eher die bessere Wahl.
Kombination aus IDS und IPS
Viele Unternehmen umgehen das Problem IDS vs. IPS, indem sie beide Lösungen zum Schutz ihrer Assets und Server einsetzen.
Wenn Sie sich für diese Option entscheiden, können Sie das IPS für die aktive Netzwerksicherheit einsetzen, während das IDS Ihnen dabei hilft, den Traffic in Ihrem Netzwerk besser zu verstehen.
Mit einer solchen Lösung erhalten Sie Informationen, auf denen Sie aufbauen können, um Ihr gesamtes System zu schützen. Uns Sie verhindern, dass Angreifer unerkannt bleiben.
Bei Okta nutzen wir den Kontext der Identity, um eine schlanke Kombination aus IDS und IPS bereitzustellen, die den Datenschutz und die Sicherheit unserer Kunden gewährleistet. Durch den Einsatz einer solchen Kombination erhalten Ihre Kunden das Beste aus beiden Welten: Sie schützen ihre Assets und vermeiden gleichzeitig zu viele False Positives.
Haben wir Ihr Interesse geweckt? Kontaktieren Sie uns, um mehr zu erfahren.
Referenzen
Intrusion Detection System (IDS). (Januar 2020). Geeks for Geeks.
What Is an Intrusion Detection System? How an IDS Spots Threats. (Februar 2018). CSO.
How Do Intrusion Detection Systems (IDS) Work? (May 2020). EC-Council.
Intrusion Detection and Prevention Systems. (September 2014). The InfoSec Handbook.
Intrusion Prevention System. (September 2019). Geeks for Geeks.
7 Ways to Get the Most from Your IDS/IPS. (April 2019). DarkReading.