https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Intrusion_Prevention_SystemIntrusion Prevention System - Versionsgeschichte2026-05-25T04:44:59ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Intrusion_Prevention_System&diff=498326&oldid=previmported>Horst Gräbner: keine Verbesserung, zulässige Schreibung; bitte WP:KORR beachten2025-11-07T18:11:47Z<p>keine Verbesserung, zulässige Schreibung; bitte <a href="/index.php?title=WP:KORR&action=edit&redlink=1" class="new" title="WP:KORR (Seite nicht vorhanden)">WP:KORR</a> beachten</p>
<p><b>Neue Seite</b></p><div>Als '''Intrusion-Prevention-Systeme''' (kurz: '''IPS''') werden ''[[Intrusion Detection System|Intrusion-Detection-System]]e'' (kurz: '''IDS''') bezeichnet, die über die reine Generierung von Ereignissen (''Events'') hinaus Funktionen bereitstellen, die einen entdeckten Angriff abwehren können.<br />
<br />
== Funktion ==<br />
Intrusion-Detection- und Intrusion-Prevention-Systeme sind Werkzeuge, die den Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen. Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.<ref>{{Internetquelle|url=https://www.oeffentliche-it.de/trendsonar|titel=Das ÖFIT-Trendsonar der IT-Sicherheit|titelerg=Intrusion Detection und Intrusion Prevention - Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS)|autor=Fraunhofer FOKUS Kompetenzzentrum Öffentliche IT|hrsg=|werk=|datum=April 2016|sprache=|zugriff=26. Mai 2016|archiv-datum=2016-07-06|archiv-url=https://web.archive.org/web/20160706220335/https://www.oeffentliche-it.de/trendsonar|zitat=Intrusion Detection und Intrusion Prevention Systeme sind Werkzeuge, die IT-Systeme oder Netze aktiv überwachen. Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten (...). Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden. Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.}}</ref> Während ''IDS'' Angriffe nur erkennen, sollen ''IPS'' diese auch abwehren bzw. verhindern. Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem ''Intrusion-Prevention-System'' gesprochen werden kann. Die durch die Untersuchung der Daten durch ein ''IPS'' hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 [[Mikrosekunde|Mikrosekunden]]<ref>{{Internetquelle|url=https://www.trendmicro.de/cloud-content/us/pdfs/business/datasheets/ds_tps_440t.pdf|titel=Datasheet Tippingpoint 440T|autor=|hrsg=[[Trend Micro]]|werk=|datum=|sprache=|zugriff=2017-04-12|format=PDF; 160&nbsp;KB}}</ref>. Eine weitere Funktion von einigen [[OSI-Modell#Schicht 2 – Sicherungsschicht|OSI-Layer-2]]-basierten ''IPS'' ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des Systems (''Zero Power [[High Availability]]'').<br />
<br />
Folgende Charakteristika werden häufig als Attribute eines ''Network-based IPS'' hervorgehoben:<br />
* das ''IPS'' wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern<br />
* das ''IPS'' verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen – somit kann indirekt der Datenstrom unterbrochen oder verändert werden<br />
<br />
Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von ''IPS'':<br />
* Das '''HIPS''' (''Host-based IPS'') wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.<br />
* Das '''NIPS''' (''Network-based IPS'') hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.<br />
** Das '''CBIPS''' (''Content-based IPS'') untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.<br />
** Das '''PAIPS''' (''Protocol-analysis IPS'') analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.<br />
** Das '''RBIPS''' (''Rate-based IPS'') überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.<br />
** das '''NIPS''' kann als Mitglied eines Netzwerkes gefährliche Verbindungen durch TCP Resets trennen<br />
<br />
Beispiele für [[Open-Source]]-Implementierungen von ''IPS'' sind [[Snort]], [[Untangle NIPS]] oder auch [[Lokkit]].<br />
== Siehe auch ==<br />
* [[Fail2ban]]<br />
* [[DenyHosts]]<br />
* [[Open Source Tripwire]]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Intrusion Detection/Prevention| Prevention]]<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Netzwerktechnik]]</div>imported>Horst Gräbner