Mit einem Intrusion Prevention System (IPS) können Sie Cyberangriffe blockieren, damit Hacker nicht in sensible Bereiche der IT-Umgebung vordringen. Warum Angst vor einem ausufernden Administrationsaufwand nicht gerechtfertigt ist – egal wie groß Unternehmen und deren IT-Abteilung sind – erfahren Sie in diesem Use Case zu einem Intrusion Prevention System.
Was ist ein Intrusion Prevention System (IPS)?
Ein Intrusion Prevention System (IPS) ermöglicht eine schnelle Reaktion auf potenzielle Gefahren. Es unterbricht Cyberattacken, bevor sie erfolgreich sind oder verhindert, dass sich Angriffe in der IT-Umgebung ausbreiten. Ein IPS ergreift automatische Abwehrmaßnahmen, wenn ein IT-System von einem Hacker ins Visier genommen wird. Dazu blockiert es Datenpakete oder unterbricht Verbindungen mit der angreifenden IP-Adresse.
Durch eine permanente Überwachung des Netzwerkverkehrs werden vorbeugende Maßnahmen eingeleitet, um im Fall eines Cyberangriffs automatisiert reagieren zu können.
IDS und IPS: Das sind die Unterschiede
Verwandt mit IPS – Intrusion Prevention Systemen sind IDS – Intrusion Detection Systeme. Während ein IDS jedoch als passives Tool lediglich Angriffe erkennt und darüber informiert, handelt es sich bei einem IPS um ein aktives Tool, das Maßnahmen zur Verteidigung gegen einen Angriff ergreift.
Grundlage eines IPS sind in der Regel die Analysedaten des IDS, dessen Fähigkeiten das IPS erweitert. IDS und IPS stellen so die technische Basis von Threat Detection and Response (TDR). Sie sind Mittel der Wahl, um Cybergefahren zu erkennen und abzuwehren.
Netzwerk- und hostbasiertes IPS
Zwei technisch unterschiedliche Ansätze lassen sich bei IPS unterscheiden: hostbasierte (HIPS) und netzwerkbasierte (NIPS) Systeme. Während NIPS auf eigener Hardware installiert werden, läuft das Blocking und die Analyse von Netzwerkpaketen bei einem HIPS auf den bestehenden Systemen. Dazu wird ein Agent auf den IT-Systemen im Unternehmen ausgerollt.
Daraus resultieren unterschiedliche Konzeptionen: Ein HIDS ist sehr viel dezentraler implementiert als ein NIPS. Während ein NIPS hinter der Firewall und gegebenenfalls zwischen Netzwerksegmenten aktiv werden kann, blockiert ein hostbasiertes IPS auch zwischen Assets innerhalb des gleichen Subnetzes.
Seine Stärke kann ein HIPS ausspielen, wenn ein Angreifer bereits in der Infrastruktur Fuß gefasst hat. Ist beispielsweise der Client eines Mitarbeiters durch einen E-Mail-Anhang infiziert worden, lassen sich dessen Attacken auf andere Systeme unmittelbar blockieren. Das infizierte System ist isoliert und der Angreifer kann sich nicht weiter ausbreiten.


In dynamischen IT-Umgebungen profitiert ein HIDS zudem von seiner Flexibilität. Wächst die Infrastruktur, muss nicht in neue Hardware der NIPS-Appliance investiert werden. Die Performance des HIDS skaliert im Gegenteil automatisch mit.
Verlassen IT-Assets das Unternehmensnetzwerk (z.B. ins Homeoffice) oder befinden sich dauerhaft außerhalb des Firmennetzes (z.B. in einem Datacenter), bleibt ein hostbasiertes System zudem aktiv.
IPS und Firewall: Was ist der Unterschied?
Ein Intrusion Prevention System (IPS) hat zweifellos ein Verwandtschaftsverhältnis mit Firewall-Lösungen. Beide Produkte haben die Aufgabe, Netzwerkverkehr zu regeln und unberechtigte Zugriffe zu unterbinden. Während sich jedoch Firewalls nach Regeln richten, die definieren, das Paket durchzulassen, orientiert sich ein IPS an Regeln, Pakete aufzuhalten. Dazu untersucht ein IPS im Gegensatz zu klassischen Firewalls den Inhalt der Netzwerkpakete auf Auffälligkeiten. Eine Firewall hingegen prüft nur, ob der Absender die nötigen Rechte besitzt, die Verbindung aufzubauen, unabhängig vom konkreten Inhalt der Pakete.
Aufgrund der Verwandtschaft zueinander sind viele Firewall-Hersteller dazu übergegangen ein IPS in ihr Produkt zu integrieren. Der Vorteil integrierter Lösungen liegt auf der Hand: Die Unternehmen brauchen nicht in eine zweite Lösung zu investieren und der Verwaltungsaufwand lässt sich reduzieren. Integrierte Firewall-IPS-Lösungen sind immer netzwerkbasierte Systeme (NIDS). Aber auch hostbasierte IPS-Lösungen (HIPS) lassen sich in umfassende Security-Software integrieren, sodass Administrations- und Lizenzkosten gesenkt werden können.
Braucht Ihr Unternehmen ein IPS?
Mit einem Intrusion Prevention System (IPS) lässt sich die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs signifikant reduzieren.
Die Ziele von Hackern lassen sich prototypisch in drei Kategorien aufteilen:
- Datendiebstahl: Die Täter haben es auf Daten abgesehen. Das können ebenso Kundendaten sein wie (technisches) Know-How. Der Hacker spioniert Ihr Unternehmen aus und möchte nicht erkannt werden.
- Erpressung: Die Cyberkriminellen wollen eine Lösegeldzahlung fordern. Dazu setzen sie sich in der IT-Infrastruktur fest und verschlüsseln die Systeme (Ransomware). Nach der erfolgreichen Attacke meldet sich der Hacker.
- Einnisten: Ziel sind weniger die angegriffenen Systeme und ihre Daten. Die Systeme sollen stattdessen für andere Aktivitäten missbraucht werden (z.B. Schadsoftware verbreiten, DDoS, Crypto Mining). Der Hacker möchte nicht erkannt werden.
Angesichts der zunehmenden Bedrohung und den vielfältigen Zielen von Cyberattacken sollten sich Firmen aller Größen und Branchen mit der Implementierung eines IPS beschäftigen. Von Bedeutung ist ein IPS auch bei der Einhaltung von Compliance und bei Zertifizierungen. Die internationale Norm ISO/IEC 27001 fordert beispielsweise Netzwerksteuerungsmaßnahmen, um die Ausbreitung von Cyberattacken zu verhindern. Die Einhaltung der Vorgabe lässt sich mit einem IPS maßgeblich unterstützen.
Intrusion Prevention mit Enginsight
Das hostbasierte IPS – Intrusion Prevention System von Enginsight ist wichtiger Bestandteil der umfassenden Security-Software. Dank minimalem Konfigurationsaufwand und großer Flexibilität ist es in wenigen Schritten in allen IT-Umgebungen ausgerollt. Verzichten können Unternehmen dank Enginsight auf eine weitere Spezialsoftware.
Stattdessen haben sie mit Enginsight das IPS in die Schaltzentrale Ihres IT-Security-Managements integriert.
Das schätzen insbesondere kleine und mittlere Unternehmen, die über keine große IT-Abteilung verfügen. Doch auch IT-Dienstleister profitieren von der integrierten Lösung: Mit minimalem Aufwand können Sie ihren Kunden einen umfassenden Managed Security Service (MSSP) anbieten. Größere Unternehmen können mit Enginsight bestehende netzwerkbasierte Intrusion Prevention Systeme hinter der Firewall um ein hostbasiertes System ergänzen. Deshalb ist Enginsight für Unternehmen aller Größen die richtige Wahl, um ein IPS-Konzept umzusetzen.
Pulsar-Agent ausrollen und IPS aktivieren
Um das Intrusion Prevention System von Enginsight zu nutzen, müssen Sie den Pulsar-Agent auf allen Ihren Servern und Clients ausrollen. Dazu müssen Sie lediglich das entsprechende Installationsskript ausführen und keine weiteren Konfigurationen vornehmen. Wenn Sie möchten, können Sie dabei auf ein Softwareverteilungssystem setzen oder in Windowsumgebungen den Pulsar-Agent über eine Gruppenrichtlinie ausrollen.
Damit ist die technische Basis bereits angelegt und Sie müssen das IPS nur noch scharf stellen. Aktivieren Sie dazu den Netzwerkmitschnitt (inkl. der Erkennung aller gewünschten Attacken) und das Shield-Modul, das für das IPS zuständig ist. Dank Tags und Policy-Manager lässt sich dieser Schritt effektiv umsetzen. Wechseln Sie nun in das Modul Shield und erstellen Sie ein dynamisches Regelwerk für das Blocking von Attacken.

Mit wenigen Klicks können Sie das IPS auf Ihren Hosts aktivieren. (Zum Vergrößern klicken)
Sie können Kategorien definieren, für die das Blocking aktiv sein soll:
- PortScan: Mit Portscans werden IT-Systeme von außen untersucht. Sie stellen oft die erste Instanz eines Eindringversuchs dar und können insbesondere im internen Netz auf einen erfolgreichen Angriff hindeuten.
- TCP
- Bruteforce: Durch das massenhafte Ausprobieren von Nutzer-/Passwortkombinationen wird versucht, die Authentifizierung auszuhebeln.
- SSH
- MySQL
- MongoDB
- HTTP Basic Authentication
- FTP
- RDP
- VNC
- SMB
- Flooding: Mit massenhaft versendeten Datenpaketen und Anfragen sollen IT-Systeme lahmgelegt werden.
- SYN-Flooding
- Spoofing: Die Verschleierung der eigenen Identität dient dazu, Authentifizierungs- und Identifikationsverfahren zu untergraben.
- ARP-Spoofing
- DNS-Spoofing
- SSL/TLS: Der Scan aller verfügbaren SSL/TLS-Protokolle und Chiffren dient dazu, Schwachstellen zu erkennen, um sie im Anschluss auszunutzen.
- SSL/TLS Cipher Enumeration
- SSL/TLS Protocol Scan
- Web: Webbasierte Attacken versuchen durch die Manipulation der Webanwendung Schadsoftware zu platzieren, Nutzer zu täuschen oder an sensible Daten zu gelangen.
- SQL InjectionPath Traversal
- Remote Code Execution
Da wir false-positive anfällige Angriffsvektoren bereits entfernt haben, können Sie ohne Bedenken alle Kategorien aktivieren. Fügen Sie das Regelwerk hinzu und schon ist ihr hostbasiertes IPS mit Enginsight aktiv!
Blocking nachvollziehen und Ausnahmen erstellen
Wenn Shield Netzwerkverbindung blockiert, sehen Sie einen Eintrag in den Logs des Moduls. Sie können dann nochmals überprüfen, ob die Verbindung richtigerweise geblockt wurde.

In der Logs-Übersicht sehen Sie, ob das IPS aktiv wurde. (Zum Vergrößern klicken)
Sollten Sie feststellen, dass Verbindungen unterbunden werden, bei denen es sich um keinen Cyberangriff handelt, können Sie eine Ausnahme definieren. Ein manuelles Regelwerk, dass Netzwerkverbindungen stets akzeptiert, ist beispielsweise für die Pentest-Softwarekomponente Hacktor notwendig.
Enginsight: Vom Gesamtpaket profitieren
Mit Enginsight haben Sie alle wichtigen Funktionen für IT-Sicherheit, Monitoring und Management an einem Ort vereint. Dies macht Enginsight zum Kernstück Ihrer sorgfältigen IT-Sicherheitsstrategie.
Führen Sie CVE-Scans durch, unterziehen Sie Ihre gesamte IT-Infrastruktur einem automatisierten Pentest und Überwachen Sie Ihre Webanwendungen.
Sie wollen mehr erfahren?
Dann vereinbaren Sie gern einen Termin für einen persönlichen Demo-Webcast oder
melden Sie sich für einen unserer Webcast-Termine an, bei denen wir speziell für ITler die Software vorstellen oder für IT-Systemhäuser, wie sie ihren Endkunden als Managed Security Provider Mehrwert in Sachen Sicherheit bieten können.
Wir zeigen praxisnah, wie Sie Ihre IT mit Enginsight sofort sicherer machen!