Anders als reine Intrusion Detection Systeme (IDS), die lediglich eine Protokollierung des Netzwerkverkehrs durchführen, verhindert ein Intrusion Prevention System (IPS) die Weiterleitung von Datenpaketen im Rahmen eines Angriffs und schützt somit aktiv vor Einbrüchen und Attacken auf schützenswerte Systeme. Hierfür muss das IPS natürlich Zugriff auf den kompletten Datenverkehr erhalten, der über einen Router oder Switch läuft. Eine IPS-Software befindet sich somit entweder direkt auf den Routern oder liest den Datenverkehr über den Monitoring-Port eines Switches mit. Hierfür kommt entweder eine dedizierte Hardware-Appliance, wie beispielsweise "Secure IPS" von Cisco [1], oder eine Software auf einem regulären Computersystem zum Einsatz, die den kompletten Netzwerkverkehr mitlesen kann. In diesem Workshop beleuchten wir das softwarebasierte Snort [2].
Ein netzwerkbasiertes IDS/IPS versucht in der Regel, Angriffe und Einbruchsversuche anhand bestimmter Muster zu erkennen. Diese sind meist in umfangreichen Regelwerken oder Datenbanken hinterlegt. Da viele
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.