IPS
Intrusion Prevention System
IPS überwacht UND blockiert bösartigen Traffic. Aktiv – greift direkt ein.
Funktionsweise
IPS Mode (Active):
Network Traffic
│
▼
IPS Engine (Inline)
│
├─► Analyze
├─► Pattern Match
│
├─► Malicious? → DROP ✗
│
└─► Benign? → PASS ✓
Eigenschaften
- Inline Mode: Traffic läuft durch IPS
- In-Band Blocking: Kann Traffic droppen
- Aktive Prevention: Blockiert automatisch
- Benötigt spezielle NIC: Netmap-Support notwendig
Unterschied zu IDS
| Eigenschaft | IDS | IPS |
|---|---|---|
| Betrieb | Out-of-Band | Inline |
| Aktion | Alert | Alert + Block |
| Traffic | Kopie | Original |
| Hardware | Normale NIC | Spezielle NIC |
Risiken
False Positives:
- Legitimer Traffic wird fälschlicherweise blockiert
- Service-Unterbrechung möglich
Performance:
- Zusätzliche Latenz durch Inline-Prüfung
- Benötigt mehr Ressourcen
Erkennungsmethoden
Gleich wie IDS:
- Signature-Based: Bekannte Angriffe
- Anomaly-Based: Abweichungen vom Normalverhalten
Beliebte IPS-Systeme
- Suricata (mit spezieller NIC)
- Snort (IPS-Mode)
- Cisco Firepower
Einsatz
Internet → IPS (Inline) → Firewall → Internes Netzwerk
oder
Internet → Firewall → IPS (Inline) → Internes Netzwerk
Hardware-Anforderung
IPS benötigt Netzwerkkarte mit Netmap-Support. Ohne spezielle Hardware nur IDS-Mode möglich.