Intrusion Prevention System (IPS) für Unternehmen aller Größen

Max Tarantik
23. April 2021

Mit einem Intrusion Prevention System (IPS) können Sie Cyberangriffe blockieren, damit Hacker nicht in sensible Bereiche der IT-Umgebung vordringen. Warum Angst vor einem ausufernden Administrationsaufwand nicht gerechtfertigt ist – egal wie groß Unternehmen und deren IT-Abteilung sind – erfahren Sie in diesem Use Case zu einem Intrusion Prevention System.

Was ist ein Intrusion Prevention System (IPS)?

Ein Intrusion Prevention System (IPS) ermöglicht eine schnelle Reaktion auf potenzielle Gefahren. Es unterbricht Cyberattacken, bevor sie erfolgreich sind oder verhindert, dass sich Angriffe in der IT-Umgebung ausbreiten. Ein IPS ergreift automatische Abwehrmaßnahmen, wenn ein IT-System von einem Hacker ins Visier genommen wird. Dazu blockiert es Datenpakete oder unterbricht Verbindungen mit der angreifenden IP-Adresse.

Durch eine permanente Überwachung des Netzwerkverkehrs werden vorbeugende Maßnahmen eingeleitet, um im Fall eines Cyberangriffs automatisiert reagieren zu können.

IDS und IPS: Das sind die Unterschiede

Verwandt mit IPS – Intrusion Prevention Systemen sind IDS – Intrusion Detection Systeme. Während ein IDS jedoch als passives Tool lediglich Angriffe erkennt und darüber informiert, handelt es sich bei einem IPS um ein aktives Tool, das Maßnahmen zur Verteidigung gegen einen Angriff ergreift.

Grundlage eines IPS sind in der Regel die Analysedaten des IDS, dessen Fähigkeiten das IPS erweitert. IDS und IPS stellen so die technische Basis von Threat Detection and Response (TDR). Sie sind Mittel der Wahl, um Cybergefahren zu erkennen und abzuwehren.

Netzwerk- und hostbasiertes IPS

Zwei technisch unterschiedliche Ansätze lassen sich bei IPS unterscheiden: hostbasierte (HIPS) und netzwerkbasierte (NIPS) Systeme. Während NIPS auf eigener Hardware installiert werden, läuft das Blocking und die Analyse von Netzwerkpaketen bei einem HIPS auf den bestehenden Systemen. Dazu wird ein Agent auf den IT-Systemen im Unternehmen ausgerollt.

Daraus resultieren unterschiedliche Konzeptionen: Ein HIDS ist sehr viel dezentraler implementiert als ein NIPS. Während ein NIPS hinter der Firewall und gegebenenfalls zwischen Netzwerksegmenten aktiv werden kann, blockiert ein hostbasiertes IPS auch zwischen Assets innerhalb des gleichen Subnetzes.

Seine Stärke kann ein HIPS ausspielen, wenn ein Angreifer bereits in der Infrastruktur Fuß gefasst hat. Ist beispielsweise der Client eines Mitarbeiters durch einen E-Mail-Anhang infiziert worden, lassen sich dessen Attacken auf andere Systeme unmittelbar blockieren. Das infizierte System ist isoliert und der Angreifer kann sich nicht weiter ausbreiten.

Cyberangriff von außen und Blocking von netzwerkbasiertem und hostbasiertem IPS. IDS/IPS — *Einen Angriff von außerhalb des Netzwerks (z.B. Internet) oder Netzwerksegments können netzwerkbasierte (NIPS) ebenso wie hostbasierte (HIPS) Intrusion Prevention Systeme blocken.*

Cybernangriff von innen und Blocking durch hostbasiertes IPS, während netzwerkbasiertes IPS nicht blocken kann. — *Ein Angriff aus dem internen Netzwerk bzw. Netzwerksegment kann allerdings nur ein hostbasiertes (HIPS) Intrusion Prevention System blocken.*

In dynamischen IT-Umgebungen profitiert ein HIDS zudem von seiner Flexibilität. Wächst die Infrastruktur, muss nicht in neue Hardware der NIPS-Appliance investiert werden. Die Performance des HIDS skaliert im Gegenteil automatisch mit.

Verlassen IT-Assets das Unternehmensnetzwerk (z.B. ins Homeoffice) oder befinden sich dauerhaft außerhalb des Firmennetzes (z.B. in einem Datacenter), bleibt ein hostbasiertes System zudem aktiv.

IPS und Firewall: Was ist der Unterschied?

Ein Intrusion Prevention System (IPS) hat zweifellos ein Verwandtschaftsverhältnis mit Firewall-Lösungen. Beide Produkte haben die Aufgabe, Netzwerkverkehr zu regeln und unberechtigte Zugriffe zu unterbinden. Während sich jedoch Firewalls nach Regeln richten, die definieren, das Paket durchzulassen, orientiert sich ein IPS an Regeln, Pakete aufzuhalten. Dazu untersucht ein IPS im Gegensatz zu klassischen Firewalls den Inhalt der Netzwerkpakete auf Auffälligkeiten. Eine Firewall hingegen prüft nur, ob der Absender die nötigen Rechte besitzt, die Verbindung aufzubauen, unabhängig vom konkreten Inhalt der Pakete.

Aufgrund der Verwandtschaft zueinander sind viele Firewall-Hersteller dazu übergegangen ein IPS in ihr Produkt zu integrieren. Der Vorteil integrierter Lösungen liegt auf der Hand: Die Unternehmen brauchen nicht in eine zweite Lösung zu investieren und der Verwaltungsaufwand lässt sich reduzieren. Integrierte Firewall-IPS-Lösungen sind immer netzwerkbasierte Systeme (NIDS). Aber auch hostbasierte IPS-Lösungen (HIPS) lassen sich in umfassende Security-Software integrieren, sodass Administrations- und Lizenzkosten gesenkt werden können.

Braucht Ihr Unternehmen ein IPS?

Mit einem Intrusion Prevention System (IPS) lässt sich die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs signifikant reduzieren.

Die Ziele von Hackern lassen sich prototypisch in drei Kategorien aufteilen:

Datendiebstahl: Die Täter haben es auf Daten abgesehen. Das können ebenso Kundendaten sein wie (technisches) Know-How. Der Hacker spioniert Ihr Unternehmen aus und möchte nicht erkannt werden.
Erpressung: Die Cyberkriminellen wollen eine Lösegeldzahlung fordern. Dazu setzen sie sich in der IT-Infrastruktur fest und verschlüsseln die Systeme (Ransomware). Nach der erfolgreichen Attacke meldet sich der Hacker.
Einnisten: Ziel sind weniger die angegriffenen Systeme und ihre Daten. Die Systeme sollen stattdessen für andere Aktivitäten missbraucht werden (z.B. Schadsoftware verbreiten, DDoS, Crypto Mining). Der Hacker möchte nicht erkannt werden.

Angesichts der zunehmenden Bedrohung und den vielfältigen Zielen von Cyberattacken sollten sich Firmen aller Größen und Branchen mit der Implementierung eines IPS beschäftigen. Von Bedeutung ist ein IPS auch bei der Einhaltung von Compliance und bei Zertifizierungen. Die internationale Norm ISO/IEC 27001 fordert beispielsweise Netzwerksteuerungsmaßnahmen, um die Ausbreitung von Cyberattacken zu verhindern. Die Einhaltung der Vorgabe lässt sich mit einem IPS maßgeblich unterstützen.

Intrusion Prevention mit Enginsight

Das hostbasierte IPS – Intrusion Prevention System von Enginsight ist wichtiger Bestandteil der umfassenden Security-Software. Dank minimalem Konfigurationsaufwand und großer Flexibilität ist es in wenigen Schritten in allen IT-Umgebungen ausgerollt. Verzichten können Unternehmen dank Enginsight auf eine weitere Spezialsoftware.

Stattdessen haben sie mit Enginsight das IPS in die Schaltzentrale Ihres IT-Security-Managements integriert.

Wir zeigen Ihnen, wie Sie das IPS von Enginsight aktivieren. IPS einfach erklärt.

Das schätzen insbesondere kleine und mittlere Unternehmen, die über keine große IT-Abteilung verfügen. Doch auch IT-Dienstleister profitieren von der integrierten Lösung: Mit minimalem Aufwand können Sie ihren Kunden einen umfassenden Managed Security Service (MSSP) anbieten. Größere Unternehmen können mit Enginsight bestehende netzwerkbasierte Intrusion Prevention Systeme hinter der Firewall um ein hostbasiertes System ergänzen. Deshalb ist Enginsight für Unternehmen aller Größen die richtige Wahl, um ein IPS-Konzept umzusetzen.

Pulsar-Agent ausrollen und IPS aktivieren

Um das Intrusion Prevention System von Enginsight zu nutzen, müssen Sie den Pulsar-Agent auf allen Ihren Servern und Clients ausrollen. Dazu müssen Sie lediglich das entsprechende Installationsskript ausführen und keine weiteren Konfigurationen vornehmen. Wenn Sie möchten, können Sie dabei auf ein Softwareverteilungssystem setzen oder in Windowsumgebungen den Pulsar-Agent über eine Gruppenrichtlinie ausrollen.

Damit ist die technische Basis bereits angelegt und Sie müssen das IPS nur noch scharf stellen. Aktivieren Sie dazu den Netzwerkmitschnitt (inkl. der Erkennung aller gewünschten Attacken) und das Shield-Modul, das für das IPS zuständig ist. Dank Tags und Policy-Manager lässt sich dieser Schritt effektiv umsetzen. Wechseln Sie nun in das Modul Shield und erstellen Sie ein dynamisches Regelwerk für das Blocking von Attacken.

Mit wenigen Klicks können Sie das IPS auf Ihren Hosts aktivieren. (Zum Vergrößern klicken)

Sie können Kategorien definieren, für die das Blocking aktiv sein soll:

PortScan: Mit Portscans werden IT-Systeme von außen untersucht. Sie stellen oft die erste Instanz eines Eindringversuchs dar und können insbesondere im internen Netz auf einen erfolgreichen Angriff hindeuten.
- TCP
Bruteforce: Durch das massenhafte Ausprobieren von Nutzer-/Passwortkombinationen wird versucht, die Authentifizierung auszuhebeln.
- SSH
- MySQL
- MongoDB
- HTTP Basic Authentication
- FTP
- RDP
- VNC
- SMB
Flooding: Mit massenhaft versendeten Datenpaketen und Anfragen sollen IT-Systeme lahmgelegt werden.
- SYN-Flooding
Spoofing: Die Verschleierung der eigenen Identität dient dazu, Authentifizierungs- und Identifikationsverfahren zu untergraben.
- ARP-Spoofing
- DNS-Spoofing
SSL/TLS: Der Scan aller verfügbaren SSL/TLS-Protokolle und Chiffren dient dazu, Schwachstellen zu erkennen, um sie im Anschluss auszunutzen.
- SSL/TLS Cipher Enumeration
- SSL/TLS Protocol Scan
Web: Webbasierte Attacken versuchen durch die Manipulation der Webanwendung Schadsoftware zu platzieren, Nutzer zu täuschen oder an sensible Daten zu gelangen.
- SQL InjectionPath Traversal
- Remote Code Execution

Da wir false-positive anfällige Angriffsvektoren bereits entfernt haben, können Sie ohne Bedenken alle Kategorien aktivieren. Fügen Sie das Regelwerk hinzu und schon ist ihr hostbasiertes IPS mit Enginsight aktiv!

Blocking nachvollziehen und Ausnahmen erstellen

Wenn Shield Netzwerkverbindung blockiert, sehen Sie einen Eintrag in den Logs des Moduls. Sie können dann nochmals überprüfen, ob die Verbindung richtigerweise geblockt wurde.

Blocking des IPS in Logs nachvollziehen.

In der Logs-Übersicht sehen Sie, ob das IPS aktiv wurde. (Zum Vergrößern klicken)

Sollten Sie feststellen, dass Verbindungen unterbunden werden, bei denen es sich um keinen Cyberangriff handelt, können Sie eine Ausnahme definieren. Ein manuelles Regelwerk, dass Netzwerkverbindungen stets akzeptiert, ist beispielsweise für die Pentest-Softwarekomponente Hacktor notwendig.

Enginsight: Vom Gesamtpaket profitieren

Mit Enginsight haben Sie alle wichtigen Funktionen für IT-Sicherheit, Monitoring und Management an einem Ort vereint. Dies macht Enginsight zum Kernstück Ihrer sorgfältigen IT-Sicherheitsstrategie.

Führen Sie CVE-Scans durch, unterziehen Sie Ihre gesamte IT-Infrastruktur einem automatisierten Pentest und Überwachen Sie Ihre Webanwendungen.

Sie wollen mehr erfahren?

Dann vereinbaren Sie gern einen Termin für einen persönlichen Demo-Webcast oder

melden Sie sich für einen unserer Webcast-Termine an, bei denen wir speziell für ITler die Software vorstellen oder für IT-Systemhäuser, wie sie ihren Endkunden als Managed Security Provider Mehrwert in Sachen Sicherheit bieten können.

Intrusion Prevention System Live-Demo
Jetzt einen persönlichen Termin vereinbaren

Wir zeigen praxisnah, wie Sie Ihre IT mit Enginsight sofort sicherer machen!

Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Cookie	Dauer	Beschreibung
__cf_bm	30 minutes	Dieses Cookie wird von Cloudflare gesetzt und dient der Unterstützung des Cloudflare Bot Managements.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Dieser Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers zu den Cookies der Kategorie "Werbung" zu erfassen.
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies in der Kategorie "Funktional" aufzuzeichnen.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies der Kategorie "Notwendig" zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Andere" zu speichern.
cookielawinfo-checkbox-performance	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Leistung" zu speichern.
CookieLawInfoConsent	1 year	Zeichnet den Standard-Schaltflächenstatus der entsprechenden Kategorie und den Status der CCPA auf. Es funktioniert nur in Koordination mit dem primären Cookie.
elementor	never	Dieses Cookie wird vom WordPress-Theme der Website verwendet. Es ermöglicht dem Eigentümer der Website, den Inhalt der Website in Echtzeit zu implementieren oder zu ändern.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten.

Cookie	Dauer	Beschreibung
bcookie	2 years	LinkedIn setzt dieses Cookie von LinkedIn-Share-Buttons und Anzeigen-Tags, um die Browser-ID zu erkennen.
bscookie	2 years	LinkedIn setzt dieses Cookie, um durchgeführte Aktionen auf der Website zu speichern.
lang	session	LinkedIn setzt dieses Cookie, um sich die Spracheinstellung eines Benutzers zu merken.
lidc	1 day	LinkedIn setzt das lidc-Cookie, um die Auswahl des Rechenzentrums zu erleichtern.
UserMatchHistory	1 month	LinkedIn setzt dieses Cookie für die Synchronisierung der LinkedIn Ads ID.

Cookie	Dauer	Beschreibung
_ga	2 years	Das _ga-Cookie, das von Google Analytics installiert wird, berechnet Besucher-, Sitzungs- und Kampagnendaten und verfolgt auch die Nutzung der Website für den Analysebericht der Website. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um eindeutige Besucher zu erkennen.
_ga_DRTYFQM2KE	2 years	Dieser Cookie wird von Google Analytics installiert, um Seitenaufrufe zu speichern und zu zählen.
_gat_UA-28041458-15	1 minute	Eine Variante des _gat-Cookies, das von Google Analytics und Google Tag Manager gesetzt wird, um Website-Besitzern zu ermöglichen, das Besucherverhalten zu verfolgen und die Leistung der Website zu messen. Das Musterelement im Namen enthält die eindeutige Identitätsnummer des Kontos oder der Website, auf die es sich bezieht.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Das von Google Analytics installierte _gid-Cookie speichert Informationen darüber, wie Besucher eine Website nutzen, und erstellt einen Analysebericht über die Leistung der Website. Zu den gesammelten Daten gehören die Anzahl der Besucher, ihre Quelle und die Seiten, die sie anonym besuchen.
_lfa	2 years	Dieser Cookie wird vom Anbieter Leadfeeder gesetzt, um die IP-Adresse von Geräten zu identifizieren, die die Website besuchen, damit mehrere Nutzer, die von derselben IP-Adresse kommen, erneut angesprochen werden können.
_lfa_test_cookie_stored	past	Wird im Zusammenhang mit Account-Based-Marketing (ABM) verwendet. Das Cookie registriert Daten wie IP-Adressen, die auf der Website verbrachte Zeit und die Seitenanfragen für den Besuch. Dies wird für das Retargeting von mehreren Benutzern verwendet, die von den gleichen IP-Adressen stammen. ABM erleichtert in der Regel B2B-Marketingzwecke.
CONSENT	2 years	YouTube setzt dieses Cookie über eingebettete YouTube-Videos und registriert anonyme statistische Daten.

Cookie	Dauer	Beschreibung
_fbp	3 months	Dieses Cookie wird von Facebook gesetzt, um nach dem Besuch der Website entweder auf Facebook oder auf einer digitalen Plattform, die von Facebook-Werbung unterstützt wird, Werbung anzuzeigen.
fr	3 months	Facebook setzt dieses Cookie, um Nutzern relevante Werbung zu zeigen, indem es das Nutzerverhalten im gesamten Web auf Websites verfolgt, die mit dem Facebook-Pixel oder dem Facebook Social Plugin ausgestattet sind.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Ein Cookie, das von YouTube gesetzt wird, um die Bandbreite zu messen, die bestimmt, ob der Nutzer die neue oder die alte Playeroberfläche erhält.
YSC	session	Das YSC-Cookie wird von Youtube gesetzt und dient dazu, die Aufrufe von eingebetteten Videos auf Youtube-Seiten zu verfolgen.

Cookie	Dauer	Beschreibung
AnalyticsSyncHistory	1 month	Mit diesem Cookie wird gespeichert, wann eine Synchronisierung mit dem Cookie „lms_analytics cookie“ stattgefunden hat.
li_gc	2 years	Mit diesem Cookie wird die Einwilligung von Gästen zur Verwendung von nicht zwingend erforderlichen Cookies gespeichert.
ln_or	1 day	No description