Durch einen einzigen Kontrollpunkt sind damit alle nachfolgenden Bereiche geschützt. Mit solchen Tools lassen sich beispielsweise auch [D]DoS-Attacken ([Distributed] Denial of Service) abwehren, die das Netzwerk mit irrelevantem Traffic überfluten und lahm legen wollen.
Ein Host-IPS wiederum ist ein Software-Programm, das auf Server, Workstations oder Notebooks aufgespielt wird. Das Host-IPS verhindert zum einen die Ausführung schädlicher Programme auf dem Host und untersucht zum anderen den Traffic, der von einzelnen Systemen ausgeht oder diese erreicht.
Es wirkt in zwei Richtungen: Zum einen wird verdächtiger Traffic, der vom Host ausgeht, direkt an der Netzwerkschnittstelle geblockt. Dies ist zum Beispiel von Bedeutung, wenn ein Mitarbeiter auf seinem Desktop den infizierten Dateianhang einer E-Mail öffnet oder Viren per CD, Floppy oder Flash-Speicher einschleppt - ob unbedacht oder mit Absicht.
Zum anderen ist das IPS eine letzte Verteidigungslinie für den Host, falls andere Sicherheitstools versagen. Außerdem bietet es Schutz, falls ein Angriff zwischen Systemen innerhalb eines Netzsegmentes stattfindet. In diesem Fall würde der Datenstrom kein Netzwerk-IPS passieren, denn diese sitzen jeweils zwischen den einzelnen Netzwerksegmenten. Ein Host-IPS sorgt dafür, dass der Angriff trotzdem entdeckt wird. Daher ist die Kombination aus beiden Technologien der effektivste Schutz.
Der kleine Unterschied
Für die Auswahl eines IPS sollten IT-Verantwortliche folgendes beachten: Wirksame Intrusion Prevention umfasst alle relevanten Kommunikationsebenen ab Layer 2 und untersucht möglichst viele Protokolle. Angriffe müssen in Echtzeit geblockt werden. Das IPS sollte sich unabhängig von der Netzwerktopologie und innerhalb des LANs (inline) implementieren lassen, denn nur so lässt sich der Traffic wirklich umfassend überwachen.
Besonders kritisch für ein Inline-IPS ist das Thema Geschwindigkeit: Je nachdem, wo das System zum Einsatz kommt, muss es bestimmte Bandbreiten unterstützen - sonst wird die Intrusion Prevention schnell zum verstopften Flaschenhals. IPS dürfen die Ressourcen nicht schmälern, sondern müssen dafür sorgen, dass die Daten das Netz in ungebremster Performance passieren. Gleichzeitig sollte sich das IPS analog zum Netzwerk skalieren lassen.
Ein IPS sollte schadhafte Codes simultan analysieren, und zwar anhand von Signatur-basierten Algorithmen als auch von Policy-, Behaviour- und Anomalie-basierten Algorithmen. Gleichzeitig muss die Zahl der Fehlalarme auf ein Minimum begrenzt sein - wird legitimer Traffic aktiv geblockt, steigt die Gefahr eines hausgemachten Denial of Service.