IT-Sicherheit

Zusammenfassung

Jedes Jahr hat seine Schlagwörter und seine dazugehörigen Abkürzungen. Auch auf die IT-Sicherheitsbranche trifft dies zu. Eines der häufigsten Schlagwörter 2003 ist sicherlich Intrusion Prevention oder Intrusion Protection als Nachfolge von Intrusion Detection. Dementsprechend spricht man von IPS (Intrusion-Prevention-System) oder auch IDP (Intrusion Detection Protection).

Was sich genau hinter IPS verbirgt, sieht aber jeder Hersteller anders. Völlig unterschiedliche Techniken nehmen die Bezeichnung IPS für sich in Anspruch. Darunter sind klassische netzwerkbasierte Intrusion-Detection- Produkte, die bei einem erkannten Angriff automatisch versuchen, den Angriff zu blockieren, ebenso wie Web- Applikations-Filter, die Angriffe auf Applikationsebene durch eine Analyse aller Webseiten, Formulare, Links und Benutzereingaben in http-Übertragungen verhindern wollen.

Nähert man sich dem Begriff Intrusion Prevention von der reinen wörtlichen Bedeutung, so handelt es sich um eine Technik, die das Ziel hat, einen Angriff zu verhindern. Diese grundsätzliche Idee ist nicht unbedingt neu. Schon Firewall-Systeme haben ja den Zweck, Angriffe zu verhindern, indem Kommunikationsverbindungen auf diejenigen IP-Adressen und Ports beschränkt sind, die unbedingt benötigt werden. Dennoch nennt derzeit keiner der großen Firewall-Hersteller seine Produkte Intrusion Prevention. Nach dem derzeit üblichen Verständnis im IT- Sicherheitsmarkt sind Intrusion-Prevention-Systeme nämlich gerade keine Firewalls, sondern Produkte, die komplementär dazu Angriffe verhindern können.

Inhaltsübersicht

1. IPS auf Basis von musterbasiertem IDS
   1. Zu wenig Zeit zum Reagieren
   2. Blockierung durch Spoofing
   3. Fehlalarme
2. IDS mit Erkennung der Intention
3. IPS bei Web-Applikationen
4. IDS bei Web-Applikationen
5. Hostbasiertes IPS
6. Zusammenfassung
7. Links zu Herstellerseiten