Was ist ein Eindringschutzsystem?

Ein Eindringschutzsystem ist eine Maßnahme zur Netzwerksicherheit, die identifizierte Bedrohungen erkennen und verhindern soll. Eindringschutzsysteme überwachen Ihr Netzwerk kontinuierlich, suchen nach möglicherweise schädlichen Vorfällen und erfassen dazugehörige Informationen. Das Eindringschutzsystem meldet diese Ereignisse Systemadministratoren und ergreift vorbeugende Maßnahmen, wie Schließen von Zugriffspunkten und Konfigurieren von Firewalls, um künftige Angriffe zu verhindern. Eindringschutzlösungen können auch eingesetzt werden, um Probleme mit unternehmensinternen Sicherheitsrichtlinien zu ermitteln und Mitarbeiter und Netzwerkgäste davon abzuhalten, gegen die Regeln dieser Richtlinien zu verstoßen.

Da ein Unternehmensnetzwerk normalerweise zahlreiche Zugriffspunkte hat, sollten Sie unbedingt über eine Möglichkeit verfügen, Anzeichen für potenzielle Sicherheitsverletzungen, Vorfälle und akute Bedrohungen zu überwachen. Die heutigen Netzwerkbedrohungen werden immer ausgeklügelter und sind in der Lage, selbst die zuverlässigsten Sicherheitslösungen auszuhebeln.

Wenn Sie sich mit Eindringschutzsystemen befasst haben, sind Ihnen bestimmt auch Angriffserkennungssysteme begegnet. Bevor wir uns mit der Funktionsweise von Eindringschutzsystemen beschäftigen, wollen wir einen Blick auf den Unterschied zwischen Eindringschutz- und Angriffserkennungssystemen werfen.

Der Hauptunterschied besteht in den Maßnahmen, die bei Erkennung eines potenziellen Vorfalls ergriffen werden.

• Eindringschutzsysteme kontrollieren den Zugriff auf ein IT-Netzwerk und schützen es vor Missbrauch und Angriffen. Diese Systeme sind so konzipiert, dass sie Daten zu Eindringversuchen überwachen und die notwendigen Maßnahmen ergreifen, um die Entwicklung eines Angriffs zu verhindern.
• Angriffserkennungssysteme sind nicht auf die Abwehr von Angriffen ausgelegt, sondern überwachen lediglich das Netzwerk und senden Warnungen an Systemadministratoren, sobald eine potenzielle Bedrohung erkannt wird.

Eindringschutzsysteme untersuchen den gesamten Netzwerkdatenverkehr. Es gibt eine Reihe von Bedrohungen, die ein Eindringschutzsystem verhindern soll. Dazu zählen u. a.:

• DoS-Angriffe (Denial of Service)
• DDoS-Angriffe (Distributed Denial of Service)
• Verschiedene Arten von Exploits
• Würmer
• Viren

Das Eindringschutzsystem führt eine Paketüberprüfung in Echtzeit durch, bei der jedes Paket, das das Netzwerk durchläuft, eingehend untersucht wird. Wenn schädliche oder verdächtige Pakete erkannt werden, führt das Eindringschutzsystem eine der folgenden Aktionen aus:

• Es beendet die betroffene TCP-Sitzung und hindert die angreifende Quell-IP-Adresse oder das Benutzerkonto am unrechtmäßigen Zugriff auf beliebige Anwendungen, Ziel-Hosts oder andere Netzwerkressourcen.
• Es programmiert oder konfiguriert die Firewall so um, dass ein ähnlicher Angriff in Zukunft verhindert wird.
• Es entfernt oder ersetzt alle schädlichen Inhalte, die nach einem Angriff im Netzwerk verbleiben. Dies geschieht durch das Neupacken von Nutzlasten sowie das Entfernen von Informationen aus Headern und sämtlichen infizierten Anhängen auf Datei- oder E-Mail-Servern.

Ein Eindringschutzsystem wird in der Regel so konfiguriert, dass das Netzwerk mittels verschiedener Ansätze vor unberechtigtem Zugriff geschützt wird. Hier einige Beispiele:

• Signaturbasiert: Der signaturbasierte Ansatz arbeitet mit vordefinierten Signaturen bekannter Netzwerkbedrohungen. Bei einem Angriff, der mit einer dieser Signaturen oder einem dieser Muster übereinstimmt, ergreift das System die erforderlichen Maßnahmen.
• Anomaliebasiert: Beim anomaliebasierten Ansatz erfolgt eine Überprüfung auf anormales oder unerwartetes Verhalten im Netzwerk. Wenn eine Auffälligkeit erkannt wird, sperrt das System sofort den Zugriff auf den Ziel-Host.
• Richtlinienbasiert: Bei diesem Ansatz müssen Administratoren Sicherheitsrichtlinien entsprechend den Unternehmensrichtlinien und der Netzwerkinfrastruktur konfigurieren. Bei Auftreten einer Aktivität, die gegen eine Sicherheitsrichtlinie verstößt, wird eine Warnung ausgelöst und an die Systemadministratoren gesendet.

Eindringschutzlösungen bieten aktive Prävention gegen einige der momentan gefürchtetsten Netzwerk-Exploits. Bei ordnungsgemäßer Bereitstellung verhindert ein Eindringschutzsystem, dass durch schädliche oder unerwünschte Pakete und Brute-Force-Angriffe schwere Schäden verursacht werden.

Next Generation Firewall (NGFW) von Forcepoint bietet für jedes Netzwerk hochentwickelte Funktionen zur Erkennung von und Schutz vor Eindringversuchen. So können Sie innerhalb von Minuten, nicht Stunden, auf Bedrohungen reagieren und Ihre wichtigsten Daten und Anwendungen schützen.