Zum Inhalt springen

Nächste Bootcamp-Ausgabe
4. Mai 2026

Tools

IDS/IPS

Intrusion Detection Systems (IDS) überwachen den Netzwerkverkehr auf verdächtige Aktivitäten und alarmieren Sicherheitsteams, während Intrusion Prevention Systems (IPS) erkannte Bedrohungen aktiv in Echtzeit blockieren können.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Warum es wichtig ist

Intrusion Detection und Prevention Systems bieten eine kritische Schicht der Netzwerkverteidigung. Während Firewalls den Zugriff basierend auf Adressen und Ports kontrollieren, untersuchen IDS/IPS Paketinhalte, um bösartige Payloads, Angriffssignaturen und verdächtige Verhaltensweisen zu identifizieren, die sonst Netzwerkperimeter passieren würden.

IDS entstand in den 1990er Jahren, als Organisationen die Notwendigkeit erkannten, Angriffe zu erkennen, die Firewalls umgingen. Die Weiterentwicklung zu IPS fügte Präventionsfähigkeiten hinzu, die das automatische Blockieren erkannter Bedrohungen ermöglichen. Heute ist IDS/IPS-Funktionalität oft in Next-Generation-Firewalls und Cloud-Sicherheitsplattformen integriert.

Die Technologie bleibt trotz moderner Endpoint-Protection-Fortschritte relevant. Netzwerkbasierte Erkennung fängt Bedrohungen ab, bevor sie Endpunkte erreichen, identifiziert laterale Bewegung innerhalb von Netzwerken und erkennt kompromittierte IoT-Geräte, denen Endpoint-Schutz fehlt.

Für Sicherheitsexperten informiert das Verständnis von IDS/IPS die Netzwerksicherheitsarchitektur, Alert-Untersuchung und Regelentwicklung.

Wie IDS/IPS funktioniert

Erkennungsmethoden

Signaturbasierte Erkennung

  • Abgleich des Datenverkehrs mit bekannten Angriffsmustern
  • Hochpräzise für bekannte Bedrohungen
  • Erfordert regelmäßige Signatur-Updates
  • Kann neuartige (Zero-Day-)Angriffe nicht erkennen
snort-regel.txt
Text

Anomaliebasierte Erkennung

  • Etabliert Baseline normalen Verhaltens
  • Alarmiert bei Abweichungen von der Baseline
  • Kann unbekannte Angriffe erkennen
  • Höhere Fehlalarmraten
  • Erfordert Tuning-Periode

Protokollanalyse

  • Verifiziert, dass Datenverkehr Protokollspezifikationen folgt
  • Erkennt Protokollverletzungen und -missbrauch
  • Identifiziert fehlerhafte Pakete
  • Wirksam gegen protokollbasierte Angriffe

IDS vs. IPS

ids-vs-ips.txt
Text

Bereitstellungstypen

Netzwerkbasiert (NIDS/NIPS)

Überwacht Netzwerkverkehr an strategischen Punkten:

  • Netzwerkperimeter
  • Zwischen Netzwerksegmenten
  • Rechenzentragrenzen
  • Cloud-VPC-Datenverkehr

Hostbasiert (HIDS/HIPS)

Überwacht Aktivitäten einzelner Systeme:

  • Dateiintegritätsüberwachung
  • Systemaufrufanalyse
  • Log-Analyse
  • Anwendungsverhalten

Beispiele:

  • OSSEC
  • Tripwire
  • AIDE

Wireless IDS/IPS

Überwacht drahtlose Netzwerke auf:

  • Rogue Access Points
  • Nicht autorisierte Clients
  • Wireless-Angriffe
  • Richtlinienverletzungen

Schlüsselfunktionen

Alert-Management

alert-tuning.txt
Text

Regelverwaltung

  • Signatur-Updates: Regelmäßige Updates von Anbietern
  • Benutzerdefinierte Regeln: Organisationsspezifische Erkennung
  • Regelkategorien: Nach Typ aktivieren/deaktivieren
  • Schwellenwertanpassungen: Empfindlichkeit tunen

Protokollierung und Reporting

  • Alert-Protokollierung für Untersuchungen
  • Traffic-Capture für Forensik
  • Compliance-Reporting
  • Trendanalyse und Metriken

Beliebte IDS/IPS-Lösungen

Open Source

Snort

  • Branchenpionier, etabliert 1998
  • Umfassende Regelsprache
  • Große Community und Regelsätze
  • Jetzt im Besitz von Cisco

Suricata

  • Multi-threaded für Performance
  • Kompatibel mit Snort-Regeln
  • Eingebaute Protokollerkennung
  • Aktiv entwickeltes Open Source
suricata-setup.sh
Bash

Zeek (ehemals Bro)

  • Netzwerkanalyse-Framework
  • Umfangreiche Protokollierung und Metadaten
  • Skriptsprache für benutzerdefinierte Analyse
  • Ergänzend zu signaturbasiertem IDS

Kommerziell

  • Cisco Firepower: Integriert mit NGFW
  • Palo Alto: In Firewalls eingebaut
  • Check Point: IPS-Blade
  • Trend Micro TippingPoint: Dediziertes IPS

Cloud-Native

  • AWS Network Firewall mit IPS
  • Azure Firewall mit IDPS
  • GCP Cloud IDS
  • Cloud-native WAF-Lösungen

Best Practices

Bereitstellung

  • Inline (IPS) erst nach Tuning im Erkennungsmodus bereitstellen
  • An Netzwerkgrenzen und internen Segmenten positionieren
  • Ausreichende Kapazität für Datenverkehrsvolumen sicherstellen
  • Failover und Hochverfügbarkeit planen

Betrieb

betriebspraktiken.txt
Text

Häufige Fehler vermeiden

Karriererelevanz

IDS/IPS-Wissen ist fundamental für Netzwerksicherheitsrollen. SOC-Analysten untersuchen IDS-Alerts, Netzwerkingenieure implementieren und tunen Systeme, und Sicherheitsarchitekten integrieren IDS/IPS in Verteidigungsstrategien.

No salary data available.

Im Bootcamp

Wie wir IDS/IPS unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur IDS/IPS in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 5: Sicherheitstools und Labor-Grundlagen

Verwandte Themen, die Sie beherrschen werden:Kali LinuxVMwareWiresharktcpdump
Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote