Intrusion Prevention System (IPS) für Unternehmen aller Größen

Inhalt

Mit einem Intrusion Prevention System (IPS) können Sie Cyberangriffe blockieren, damit Hacker nicht in sensible Bereiche der IT-Umgebung vordringen. Warum Angst vor einem ausufernden Administrationsaufwand nicht gerechtfertigt ist – egal wie groß Unternehmen und deren IT-Abteilung sind – erfahren Sie in diesem Use Case.

Was ist ein Intrusion Prevention System (IPS)?

Ein Intrusion Prevention System (IPS) ermöglicht eine schnelle Reaktion auf potenzielle Gefahren. Es unterbricht Cyberattacken, bevor sie erfolgreich sind oder verhindert, dass sich Angriffe in der IT-Umgebung ausbreiten. Ein IPS ergreift automatische Abwehrmaßnahmen, wenn ein IT-System von einem Hacker ins Visier genommen wird. Dazu blockiert es Datenpakete oder unterbricht Verbindungen mit der angreifenden IP-Adresse.

IDS und IPS

Verwandt mit Intrusion Prevention Systemen sind Intrusion Detection Systeme (IDS). Während ein IDS jedoch als passives Tool lediglich Angriffe erkennt und darüber informiert, handelt es sich bei einem IPS um ein aktives Tool. Grundlage eines IPS sind in der Regel die Analysedaten des IDS, dessen Fähigkeiten das IPS erweitert. IDS und IPS stellen so die technische Basis von Threat Detection and Response (TDR). Sie sind Mittel der Wahl, um Cybergefahren zu erkennen und abzuwehren.

Netzwerk- und hostbasiertes IPS

Zwei technisch unterschiedliche Ansätze lassen sich bei IPS unterscheiden: hostbasierte (HIPS) und netzwerkbasierte (NIPS) Systeme. Während NIPS auf eigener Hardware installiert werden, läuft das Blocking und die Analyse von Netzwerkpaketen bei einem HIPS auf den bestehenden Systemen. Dazu wird ein Agent auf den IT-Systemen im Unternehmen ausgerollt.

Daraus resultieren unterschiedliche Konzeptionen: Ein HIDS ist sehr viel dezentraler implementiert als ein NIPS. Während ein NIPS hinter der Firewall und gegebenenfalls zwischen Netzwerksegmenten aktiv werden kann, blockiert ein hostbasiertes IPS auch zwischen Assets innerhalb des gleichen Subnetzes. Seine Stärke kann ein HIPS ausspielen, wenn ein Angreifer bereits in der Infrastruktur Fuß gefasst hat. Ist beispielsweise der Client eines Mitarbeiters durch einen E-Mail-Anhang infiziert worden, lassen sich dessen Attacken auf andere Systeme unmittelbar blockieren. Das infizierte System ist isoliert und der Angreifer kann sich nicht weiter ausbreiten.

Cyberangriff von außen und Blocking von netzwerkbasiertem und hostbasiertem IPS.

Einen Angriff von außerhalb des Netzwerks (z.B. Internet) oder Netzwerksegments können netzwerkbasierte (NIPS) ebenso wie hostbasierte (HIPS) Intrusion Prevention Systeme blocken. (Zum Vergrößern klicken)

Cybernangriff von innen und Blocking durch hostbasiertes IPS, während netzwerkbasiertes IPS nicht blocken kann.

Ein Angriff aus dem internen Netzwerk bzw. Netzwerksegment kann allerdings nur ein hostbasiertes (HIPS) Intrusion Prevention System blocken. (Zum Vergrößern klicken)

In dynamischen IT-Umgebungen profitiert ein HIDS zudem von seiner Flexibilität. Wächst die Infrastruktur, muss nicht in neue Hardware der NIPS-Appliance investiert werden. Die Performance des HIDS skaliert im Gegenteil automatisch mit. Verlassen IT-Assets das Unternehmensnetzwerk (z.B. ins Homeoffice) oder befinden sich dauerhaft außerhalb des Firmennetzes (z.B. in einem Datacenter), bleibt ein hostbasiertes System zudem aktiv.

IPS und Firewall: Was ist der Unterschied?

Ein Intrusion Prevention System (IPS) hat zweifellos ein Verwandtschaftsverhältnis mit Firewall-Lösungen. Beide Produkte haben die Aufgabe, Netzwerkverkehr zu regeln und unberechtigte Zugriffe zu unterbinden. Während sich jedoch Firewalls nach Regeln richten, die definieren, das Paket durchzulassen, orientiert sich ein IPS an Regeln, Pakete aufzuhalten. Dazu untersucht ein IPS im Gegensatz zu klassischen Firewalls den Inhalt der Netzwerkpakete auf Auffälligkeiten. Eine Firewall hingegen prüft nur, ob der Absender die nötigen Rechte besitzt, die Verbindung aufzubauen, unabhängig vom konkreten Inhalt der Pakete.

Aufgrund der Verwandtschaft zueinander sind viele Firewall-Hersteller dazu übergegangen ein IPS in ihr Produkt zu integrieren. Der Vorteil integrierter Lösungen liegt auf der Hand: Die Unternehmen brauchen nicht in eine zweite Lösung zu investieren und der Verwaltungsaufwand lässt sich reduzieren. Integrierte Firewall-IPS-Lösungen sind immer netzwerkbasierte Systeme (NIDS). Aber auch hostbasierte IPS-Lösungen (HIPS) lassen sich in umfassende Security-Software integrieren, sodass Administrations- und Lizenzkosten gesenkt werden können.

Braucht Ihr Unternehmen ein IPS?

Mit einem Intrusion Prevention System (IPS) lässt sich die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs signifikant reduzieren.

Die Ziele von Hackern lassen sich prototypisch in drei Kategorien aufteilen:

  1. Datendiebstahl: Die Täter haben es auf Daten abgesehen. Das können ebenso Kundendaten sein wie (technisches) Know-How. Der Hacker spioniert Ihr Unternehmen aus und möchte nicht erkannt werden.
  2. Erpressung: Die Cyberkriminellen wollen eine Lösegeldzahlung fordern. Dazu setzen sie sich in der IT-Infrastruktur fest und verschlüsseln die Systeme (Ransomware). Nach der erfolgreichen Attacke meldet sich der Hacker.
  3. Einnisten: Ziel sind weniger die angegriffenen Systeme und ihre Daten. Die Systeme sollen stattdessen für andere Aktivitäten missbraucht werden (z.B. Schadsoftware verbreiten, DDoS, Crypto Mining). Der Hacker möchte nicht erkannt werden.

Angesichts der zunehmenden Bedrohung und den vielfältigen Zielen von Cyberattacken sollten sich Firmen aller Größen und Branchen mit der Implementierung eines IPS beschäftigen. Von Bedeutung ist ein IPS auch bei der Einhaltung von Compliance und bei Zertifizierungen. Die internationale Norm ISO/IEC 27001 fordert beispielsweise Netzwerksteuerungsmaßnahmen, um die Ausbreitung von Cyberattacken zu verhindern. Die Einhaltung der Vorgabe lässt sich mit einem IPS maßgeblich unterstützen.

Intrusion Prevention mit Enginsight

Das hostbasierte Intrusion Prevention System von Enginsight ist wichtiger Bestandteil der umfassenden Security-Software. Dank minimalem Konfigurationsaufwand und großer Flexibilität ist es in wenigen Schritten in allen IT-Umgebungen ausgerollt. Verzichten können Unternehmen dank Enginsight auf eine weitere Spezialsoftware. Stattdessen haben sie mit Enginsight das IPS in die Schaltzentrale Ihres IT-Security-Managements integriert.

Wir zeigen Ihnen, wie Sie das IPS von Enginsight aktivieren.

Das schätzen insbesondere kleine und mittlere Unternehmen, die über keine große IT-Abteilung verfügen. Doch auch IT-Dienstleister profitieren von der integrierten Lösung: Mit minimalem Aufwand können Sie ihren Kunden einen umfassenden Managed Security Service (MSSP) anbieten. Größere Unternehmen können mit Enginsight bestehende netzwerkbasierte Intrusion Prevention Systeme hinter der Firewall um ein hostbasiertes System ergänzen. Deshalb ist Enginsight für Unternehmen aller Größen die richtige Wahl, um ein IPS-Konzept umzusetzen.

Pulsar-Agent ausrollen und IPS aktivieren

Um das Intrusion Prevention System von Enginsight zu nutzen, müssen Sie den Pulsar-Agent auf allen Ihren Servern und Clients ausrollen. Dazu müssen Sie lediglich das entsprechende Installationsskript ausführen und keine weiteren Konfigurationen vornehmen. Wenn Sie möchten, können Sie dabei auf ein Softwareverteilungssystem setzen oder in Windowsumgebungen den Pulsar-Agent über eine Gruppenrichtlinie ausrollen.

Damit ist die technische Basis bereits angelegt und Sie müssen das IPS nur noch scharf stellen. Aktivieren Sie dazu den Netzwerkmitschnitt (inkl. der Erkennung aller gewünschten Attacken) und das Shield-Modul, das für das IPS zuständig ist. Dank Tags und Policy-Manager lässt sich dieser Schritt effektiv umsetzen. Wechseln Sie nun in das Modul Shield und erstellen Sie ein dynamisches Regelwerk für das Blocking von Attacken.

IPS in Enginsight aktivieren.

Mit wenigen Klicks können Sie das IPS auf Ihren Hosts aktivieren. (Zum Vergrößern klicken)

Sie können Kategorien definieren, für die das Blocking aktiv sein soll:

  • PortScan: Mit Portscans werden IT-Systeme von außen untersucht. Sie stellen oft die erste Instanz eines Eindringversuchs dar und können insbesondere im internen Netz auf einen erfolgreichen Angriff hindeuten.
    • TCP
  • Bruteforce: Durch das massenhafte Ausprobieren von Nutzer-/Passwortkombinationen wird versucht, die Authentifizierung auszuhebeln.
    • SSH
    • MySQL
    • MongoDB
    • HTTP Basic Authentication
    • FTP
    • RDP
    • VNC
    • SMB
  • Flooding: Mit massenhaft versendeten Datenpaketen und Anfragen sollen IT-Systeme lahmgelegt werden.
    • SYN-Flooding
  • Spoofing: Die Verschleierung der eigenen Identität dient dazu, Authentifizierungs- und Identifikationsverfahren zu untergraben.
    • ARP-Spoofing
    • DNS-Spoofing
  • SSL/TLS: Der Scan aller verfügbaren SSL/TLS-Protokolle und Chiffren dient dazu, Schwachstellen zu erkennen, um sie im Anschluss auszunutzen.
    • SSL/TLS Cipher Enumeration
    • SSL/TLS Protocol Scan
  • Web: Webbasierte Attacken versuchen durch die Manipulation der Webanwendung Schadsoftware zu platzieren, Nutzer zu täuschen oder an sensible Daten zu gelangen.
    • SQL Injection
    • Path Traversal
    • Remote Code Execution

Da wir false-positive anfällige Angriffsvektoren bereits entfernt haben, können Sie ohne Bedenken alle Kategorien aktivieren. Fügen Sie das Regelwerk hinzu und schon ist ihr hostbasiertes IPS mit Enginsight aktiv!

Blocking nachvollziehen und Ausnahmen erstellen

Wenn Shield Netzwerkverbindung blockiert, sehen Sie einen Eintrag in den Logs des Moduls. Sie können dann nochmals überprüfen, ob die Verbindung richtigerweise geblockt wurde.

Blocking des IPS in Logs nachvollziehen.

In der Logs-Übersicht sehen Sie, ob das IPS aktiv wurde. (Zum Vergrößern klicken)

Sollten Sie feststellen, dass Verbindungen unterbunden werden, bei denen es sich um keinen Cyberangriff handelt, können Sie eine Ausnahme definieren. Ein manuelles Regelwerk, dass Netzwerkverbindungen stets akzeptiert, ist beispielsweise für die Pentest-Softwarekomponente Hacktor notwendig.

Enginsight: Vom Gesamtpaket profitieren

Enginsight vereint die wichtigsten Funktionen der Themenfelder IT-Sicherheit, IT-Monitoring und IT-Management. So wird Enginsight zum Fundament Ihrer umsichtigen IT-Security-Strategie. Führen Sie CVE-Scans durch, unterziehen Sie Ihre gesamte IT-Infrastruktur einem automatisierten Pentest und Überwachen Sie Ihre Webanwendungen.

Lernen Sie den gesamten Funktionsumfang kennen: Vereinbaren Sie einen Termin für einen persönlichen Webcast oder testen Sie Enginsight kostenfrei und unverbindlich für 14 Tage.

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

ISO 27001 und ISO 9001

Enginsight ist ISO 27001 und ISO 9001 zertifiziert

Als IT-Security-Softwarehersteller ist es für uns selbstverständlich, dass wir höchste Maßstäbe an unser Qualitäts- und Informationssicherheitsmanagement legen. Der TÜV Thüringen hat uns die regelwerkskonforme Anwendung der ISO-Normen 27001 und 9001 in einem Zertifizierungsverfahren bescheinigt.

Weiterlesen »
NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo