IPS vs. IDS – wofür stehen die Abkürzungen und was sind die Unterschiede?

Der Bereich der IT-Sicherheit entwickelt sich rasant. Zur Abwehr von immer gefährlicheren Bedrohungen entstehen somit neue Lösungen. Zu diesen zählen auch IPS und IDS. Bei beiden handelt es sich um Systeme, die mithilfe von spezieller Software Aktivitäten im Netzwerk überwachen und analysieren. Gleichzeitig bestehen zwischen diesen beiden Konzepten große Unterschiede, was die Herangehensweise sowie Fähigkeiten betrifft.

Die Abkürzung IDS steht für Intrusion Detection System (Angriffserkennungssystem). Die zentrale Aufgabe eines solchen Systems ist es somit, Angriffe auf ein Network oder einen Rechner zu erkennen. Dies geht deutlich über die Funktionen einer Firewall hinaus. Jedoch kommt IDS oftmals als Ergänzung zu einer Firewall zum Einsatz.

Die Funktionsweise ist hingegen eine grundlegend andere. Im Fokus steht die Analyse von Ereignissen im Netzwerk. Dies funktioniert, indem die Software nach Mustern sucht, die von der Norm abweichen. Dafür steht eine Musterdatenbank zur Verfügung. Mit dieser gleicht IDS die Signaturen ab und identifiziert unerwünschte Vorgänge. Solche ungewöhnlichen und unvorhergesehenen Aktivitäten deuten auf unbefugte Zugriffe hin. Das abgedeckte Spektrum reicht von Sicherheitsverletzungen über Missbrauch durch interne Anwender bis hin zu externen Angriffen.

IDS arbeitet in Echtzeit und ist somit in der Lage, auffällige Vorkommnisse faktisch ohne Verzögerung zu melden. Damit gibt ein Intrusion Detection System den Netzwerkadministratoren die Option, Vorfälle zeitnah zu kontrollieren und gegebenenfalls einzuschreiten. In der Regel protokolliert ein IDS die Vorfälle in Log-Files, sodass diese als Basis für eine manuelle Auswertung verdächtiger Aktivitäten dienen.

IDS gruppieren sich in drei unterschiedliche Klassen. Da sind zunächst NIDS, die Netzwerk-basierten Intrusion Detection Systeme. Weiterhin gibt es Host-basierte Lösungen, die als HIDS bezeichnet werden. Hybride Lösungen kombinieren die beiden Ansätze miteinander und bieten so das Beste aus beiden Welten.

Bei HIDS handelt es sich um rein lokale Lösungen. Sie werden direkt auf einem System installiert und sind auch nur in der Lage, diese eine Plattform zu überwachen. Zu den Stärken dieser Variante gehört es, eine sehr genaue Kontrolle eines spezifischen Systems zu erlauben. Der Nachteil ist hingegen, dass sich HIDS zum Beispiel durch DoS-Attackendeaktivieren lassen, sodass auch der Schutz des Systems ausgeschaltet ist.

NIDS hingegen sind netzwerkbasiert und fokussieren sich auf den Traffic zwischen den Systemen. Somit erlauben NIDS die Überwachung von einer Vielzahl von Systemen innerhalb eines Networks, was ein Vorteil ist. Da Unternehmensnetzwerke mit zunehmender Größe jedoch enorme Mengen an Traffic erzeugen, sinkt die Wahrscheinlichkeit für eine lückenlose Detektion aller Vorfälle. Ebenfalls kommt NIDS an seine Grenzen, wenn der Datenverkehr verschlüsselt ist, da die Inhalte nicht auf Angriffsmuster geprüft werden können.

Ein grundsätzlicher Nachteil von IDS ist, dass es nur in der Lage ist, bekannte Angriffsmuster zu erkennen. Diese müssen in der Musterdatenbank verzeichnet sein.

Hinter der Abkürzung IPS steht das Intrusion Prevention System, eine Technik, um unbefugtes Eindringen in Netzwerke und Computersysteme zu unterbinden. Auch hier kommen Softwarelösungen zum Einsatz, die Teil der Network Security sind.

Während IDS und die Firewall zu den passiven Tools für die Sicherheit gehört, ermöglicht IPS eine aktive Abwehr von Angriffen. Dementsprechend agieren Lösungen dieser Art in einem vordefinierten Rahmen selbstständig. Über die Automatisierung ist es möglich, Datenverkehr zu blockieren und Verbindungen zu unterbrechen. Intrusion Prevention Systeme analysieren hierfür Vorgänge im Netzwerk. Das Datenmonitoring umfasst eine Reihe von Informationen. IPS greifen so auf Log-Daten von Servern, Workstations und Anwendungen zu. Auch nutzen die Lösungen Systeminformationen, um verdächtige Vorgänge zu finden. Dazu zählen die CPU-Auslastung, Anzahl der aktiven Datenverbindungen oder Log-in-Versuche.

Die Analyse dieser gesammelten Daten ist ein zentraler Punkt der IPS-Lösungen. Hierzu gehören die Missbrauchs- und Anomalie-Erkennung. Moderne IPS-Lösungen setzen hier zusätzlich Künstliche Intelligenz ein. Bei der Missbrauchserkennung sucht die Software nach bekannten Signaturen und Angriffsmustern. Hier erfolgt, ähnlich wie bei IDS, ein Abgleich mit den Informationen in einer Datenbank. Darüber hinaus ist die Anomalie-Erkennung in der Lage, selbst unbekannte Angriffsmethoden zu identifizieren. Hier geht es darum, Vorgänge und Aktivitäten zu finden, die vom normalen Geschehen in einem Netzwerk abweichen. Das können Log-ins zu unnormalen Zeiten oder von unbekannten IP-Adressen sein.

IPS ist ebenfalls in der Lage, Vorfälle zu protokollieren und erstellt so Log-Dateien von den Vorkommnissen. Im letzten Schritt informiert IPS die Verantwortlichen für das Netzwerk über die festgestellten Aktivitäten sowie die eingeleiteten Maßnahmen. Auch dies geschieht wie bei IDS in Echtzeit. Somit sind im Nachhinein eine Kontrolle und gegebenenfalls eine Korrektur möglich.

Auf den ersten Blick haben IDS und IPS somit sehr ähnliche Funktionen und Einsatzgebiete. In der Praxis unterscheiden sich die beiden Lösungen in vielen Punkten und kommen somit auch in anderen Szenarien zum Einsatz.

Der erste Unterschied ist die Positionierung. Während IDS vor allem direkt auf einem System oder am Rand eines Netzwerks platziert ist, kommen IPS primär zentralisiert zum Einsatz. Dementsprechend gibt es auch IPS-Lösungen in der Cloud. Eine Reihe von Dienstleistern bieten Managed Services dieser Art an.

Ebenfalls sind IPS-Lösungen so konzipiert, dass diese weitestgehend autark arbeiten. Die Intrusion Detection hingegen benötigt immer eine manuelle Zusammenarbeit. Ohne diese sind die Warnhinweise im Prinzip nutzlos. IPS hingegen ist in der Lage, durch die Automatisierung die Network Security selbstständig zu verbessern. Damit können Angriffe aktiv und exakt in dem Moment, in dem diese identifiziert sind, unterbunden werden.

Der passive Ansatz von IDS ohne Eingriffe in die Funktionen sorgt dafür, dass diese Form der Network Security keine negativen Einflüsse auf den Datenverkehr hat. Bei IPS hingegen sorgt die selbstständige und aktive Angriffsprävention dafür, dass bei identifizierten Bedrohungen im Netzwerk ein Eingriff erfolgt. Dies beeinträchtigt eventuell weite Teile des Netzwerks im Unternehmen und unterbricht Services, Anwendungen oder Datentransfers, sorgt aber für mehr Sicherheit.

Um die Network Security in Unternehmen zu gewährleisten und auf ein möglichst hohes Level zu bringen, sind heutzutage neue sowie intelligente Lösungen erforderlich. Rein passive Technologien wie eine Firewall reichen nicht mehr aus, um Advanced Persistent Threats und ähnlich raffinierte sowie gezielte Angriffe abzuwehren.

Eine solche moderne und intelligente Technology ist die aktive Anomalie-Erkennung, die mit IPS möglich ist. IDS gibt Netzwerkadministratoren hingegen mehr Einblicke in den Datenverkehr an bestimmten Punkten und gewährt gleichzeitig die volle Kontrolle über Eingriffe. Dank der Möglichkeit, IPS über die Cloud zu implementieren, ist eine Integration in faktische jede IT-Umgebung möglich.

Mit diesen Eigenschaften sorgen Intrusion Prevention und Intrusion Detection für mehr Schutz und sind eine sinnvolle Ergänzung zu passiven Sicherheitstechnologien.