IDS/IPS

Warum es wichtig ist

Intrusion Detection und Prevention Systems bieten eine kritische Schicht der Netzwerkverteidigung. Während Firewalls den Zugriff basierend auf Adressen und Ports kontrollieren, untersuchen IDS/IPS Paketinhalte, um bösartige Payloads, Angriffssignaturen und verdächtige Verhaltensweisen zu identifizieren, die sonst Netzwerkperimeter passieren würden.

IDS entstand in den 1990er Jahren, als Organisationen die Notwendigkeit erkannten, Angriffe zu erkennen, die Firewalls umgingen. Die Weiterentwicklung zu IPS fügte Präventionsfähigkeiten hinzu, die das automatische Blockieren erkannter Bedrohungen ermöglichen. Heute ist IDS/IPS-Funktionalität oft in Next-Generation-Firewalls und Cloud-Sicherheitsplattformen integriert.

Die Technologie bleibt trotz moderner Endpoint-Protection-Fortschritte relevant. Netzwerkbasierte Erkennung fängt Bedrohungen ab, bevor sie Endpunkte erreichen, identifiziert laterale Bewegung innerhalb von Netzwerken und erkennt kompromittierte IoT-Geräte, denen Endpoint-Schutz fehlt.

Für Sicherheitsexperten informiert das Verständnis von IDS/IPS die Netzwerksicherheitsarchitektur, Alert-Untersuchung und Regelentwicklung.

Wie IDS/IPS funktioniert

Erkennungsmethoden

Signaturbasierte Erkennung

• Abgleich des Datenverkehrs mit bekannten Angriffsmustern
• Hochpräzise für bekannte Bedrohungen
• Erfordert regelmäßige Signatur-Updates
• Kann neuartige (Zero-Day-)Angriffe nicht erkennen

# Beispiel-Snort-Regel zur Erkennung von SQL-Injection-Versuch
alert tcp any any -> any 80 (
msg:"SQL Injection Attempt";
content:"UNION SELECT";
nocase;
classtype:web-application-attack;
sid:1000001;
rev:1;
)

# Regelkomponenten:
# - Aktion: alert
# - Protokoll: tcp
# - Quelle/Ziel: any zu Port 80
# - Inhaltsabgleich: "UNION SELECT" (nicht case-sensitiv)
# - Metadaten: Klassifizierung, Signatur-ID, Revision

Anomaliebasierte Erkennung

• Etabliert Baseline normalen Verhaltens
• Alarmiert bei Abweichungen von der Baseline
• Kann unbekannte Angriffe erkennen
• Höhere Fehlalarmraten
• Erfordert Tuning-Periode

Protokollanalyse

• Verifiziert, dass Datenverkehr Protokollspezifikationen folgt
• Erkennt Protokollverletzungen und -missbrauch
• Identifiziert fehlerhafte Pakete
• Wirksam gegen protokollbasierte Angriffe

IDS vs. IPS

IDS (Intrusion Detection System):
- Passive Überwachung (out of band)
- Kopiert Datenverkehr zur Analyse
- Generiert Alerts
- Keine Auswirkung auf Netzwerkfluss
- Kann Angriffe nicht verhindern

IPS (Intrusion Prevention System):
- Aktive Inline-Bereitstellung
- Gesamter Datenverkehr passiert durch
- Kann bösartigen Datenverkehr blockieren
- Fügt Latenz hinzu (minimal bei moderner Hardware)
- Risiko der Blockierung legitimen Datenverkehrs

Bereitstellungstypen

Netzwerkbasiert (NIDS/NIPS)

Überwacht Netzwerkverkehr an strategischen Punkten:

• Netzwerkperimeter
• Zwischen Netzwerksegmenten
• Rechenzentragrenzen
• Cloud-VPC-Datenverkehr

Hostbasiert (HIDS/HIPS)

Überwacht Aktivitäten einzelner Systeme:

• Dateiintegritätsüberwachung
• Systemaufrufanalyse
• Log-Analyse
• Anwendungsverhalten

Beispiele:

• OSSEC
• Tripwire
• AIDE

Wireless IDS/IPS

Überwacht drahtlose Netzwerke auf:

• Rogue Access Points
• Nicht autorisierte Clients
• Wireless-Angriffe
• Richtlinienverletzungen

Schlüsselfunktionen

Alert-Management

Alert-Tuning-Strategien:

Fehlalarme reduzieren:
- Alerts für bekannt guten Datenverkehr unterdrücken
- Schwellenwerte für Umgebung anpassen
- Irrelevante Signaturen deaktivieren
- Ausnahmeregeln erstellen

Erkennung verbessern:
- Signatursätze regelmäßig aktualisieren
- Relevante Regelkategorien aktivieren
- Benutzerdefinierte Regeln für Umgebung erstellen
- Threat Intelligence integrieren

Regelverwaltung

• Signatur-Updates: Regelmäßige Updates von Anbietern
• Benutzerdefinierte Regeln: Organisationsspezifische Erkennung
• Regelkategorien: Nach Typ aktivieren/deaktivieren
• Schwellenwertanpassungen: Empfindlichkeit tunen

Protokollierung und Reporting

• Alert-Protokollierung für Untersuchungen
• Traffic-Capture für Forensik
• Compliance-Reporting
• Trendanalyse und Metriken

Beliebte IDS/IPS-Lösungen

Open Source

Snort

• Branchenpionier, etabliert 1998
• Umfassende Regelsprache
• Große Community und Regelsätze
• Jetzt im Besitz von Cisco

Suricata

• Multi-threaded für Performance
• Kompatibel mit Snort-Regeln
• Eingebaute Protokollerkennung
• Aktiv entwickeltes Open Source

# Einfache Suricata-Einrichtung auf Ubuntu
apt install suricata

# Regeln aktualisieren
suricata-update

# Suricata auf Interface starten
suricata -c /etc/suricata/suricata.yaml -i eth0

# Logs prüfen
tail -f /var/log/suricata/fast.log

Zeek (ehemals Bro)

• Netzwerkanalyse-Framework
• Umfangreiche Protokollierung und Metadaten
• Skriptsprache für benutzerdefinierte Analyse
• Ergänzend zu signaturbasiertem IDS

Kommerziell

• Cisco Firepower: Integriert mit NGFW
• Palo Alto: In Firewalls eingebaut
• Check Point: IPS-Blade
• Trend Micro TippingPoint: Dediziertes IPS

Cloud-Native

• AWS Network Firewall mit IPS
• Azure Firewall mit IDPS
• GCP Cloud IDS
• Cloud-native WAF-Lösungen

Best Practices

Bereitstellung

• Inline (IPS) erst nach Tuning im Erkennungsmodus bereitstellen
• An Netzwerkgrenzen und internen Segmenten positionieren
• Ausreichende Kapazität für Datenverkehrsvolumen sicherstellen
• Failover und Hochverfügbarkeit planen

Betrieb

Täglicher Betrieb:

Alert-Überprüfung:
- Alerts nach Schweregrad priorisieren
- Verdächtige Aktivitäten untersuchen
- Fehlalarme dokumentieren
- Regeln nach Bedarf aktualisieren

Wartung:
- Regelmäßige Signatur-Updates
- Performance-Überwachung
- Kapazitätsplanung
- Überprüfung der Regeleffektivität

Integration:
- Alerts an SIEM weiterleiten
- Mit anderen Quellen korrelieren
- Reaktion wo angemessen automatisieren

Häufige Fehler vermeiden

Karriererelevanz

IDS/IPS-Wissen ist fundamental für Netzwerksicherheitsrollen. SOC-Analysten untersuchen IDS-Alerts, Netzwerkingenieure implementieren und tunen Systeme, und Sicherheitsarchitekten integrieren IDS/IPS in Verteidigungsstrategien.