IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) sind deine Wachhunde im Netzwerk: Sie beobachten den Datenverkehr und erkennen Angriffe in Echtzeit.
IDS: Schaut zu und protokolliert verdächtige Aktivitäten („Hey, da ist was komisch!“).
IPS: Schaut zu und blockt Angriffe aktiv („STOP! Keine Chance!“).
🧬 Wie funktionieren IDS/IPS?
Netzwerkverkehr → IDS/IPS → Analyse → Alert/Block → Logs
Erkennungsmethoden:
Signatur-basiert
„Wenn Paket X genau so aussieht → Exploit bekannt → ALARM!“
- Vorteil: Sehr genau bei bekannten Angriffen
- Nachteil: Null-Day-Exploits (neue, unbekannte Angriffe) nicht erkannt
- Beispiel: SQL-Injection-Signatur:
' OR 1=1 --
Anomalie-basier
„Normalverkehr = Baseline → Abweichung > 20% → Verdächtig!“
- Vorteil: Erkennt auch neue Angriffe
- Nachteil: False Positives (normale Aktivität als Angriff erkannt)
🔍 IDS vs IPS vs Firewall
| System | Funktion | Erkennung | Aktion | Performance |
|---|---|---|---|---|
| Firewall | Filter nach Regeln | Port/Protokoll/State | Block | Schnell |
| IDS | Erkennt Angriffe | Signatur/Anomalie | Nur Alert | Mittel |
| IPS | Erkennt + blockt | Signatur/Anomalie | Block | Langsamer |
Regel: Firewall → IDS/IPS → Netzwerk (Schutzschicht für Schutzschicht)
🏢 Typische Einsatzorte
Internet ←→ Firewall ←→ [IPS inline] ←→ DMZ ←→ [IDS SPAN] ←→ LAN
- Inline (IPS): Sitzt direkt im Datenpfad, kann blocken
- SPAN-Port/Mirror (IDS): Passiv, kopiert Traffic zur Analyse
- NGFW: Moderne Next-Gen-Firewalls haben oft integrierte IPS