IDS / IPS (Intrusion Detection/Prevention System)
Intrusion Detection Systems (IDS) erkennen verdächtige Netzwerkaktivitäten und Angriffe, während Intrusion Prevention Systems (IPS) zusätzlich aktiv eingreifen und Angriffe blockieren. Moderne Next-Gen IPS kombinieren Signaturen, Verhaltensanalyse und Threat Intelligence zu einer mehrschichtigen Netzwerkverteidigung.
IDS und IPS bilden eine kritische Erkennungsschicht im Netzwerk: Während Firewalls auf Erlaubt/Verboten-Regeln basieren, analysieren IDS/IPS den tatsächlichen Inhalt des Traffics auf Anzeichen von Angriffen. Ein IPS kann erkannte Angriffe in Echtzeit blockieren, bevor sie das Ziel erreichen.
IDS vs. IPS - Der Unterschied
IDS (Intrusion Detection System)
- Modus: Passiv - hört mit, greift nicht ein
- Erkennt: Angriffsmuster, Anomalien
- Aktion: Alert → SOC → Analyst entscheidet
- Positionierung: Mirror/SPAN-Port (Kopie des Traffics)
- Vorteil: kein Traffic-Einfluss, kein Latency-Impact
- Nachteil: kein Auto-Block, Reaktion dauert
IPS (Intrusion Prevention System)
- Modus: Aktiv - sitzt inline im Traffic-Fluss
- Erkennt + Blockiert: Angriffe werden gestoppt
- Aktion: Drop oder Reset der Verbindung
- Positionierung: Inline (Traffic muss durch IPS)
- Vorteil: sofortige Reaktion, kein menschlicher Eingriff nötig
- Nachteil: False Positives können legitimen Traffic blockieren
NIDS/NIPS (Netzwerk-basiert)
- Analysiert Netzwerkpakete zwischen Systemen
- Erkennt: Netzwerk-Angriffe, Portscans, Exploits
HIDS/HIPS (Host-basiert)
- Läuft als Agent auf einem einzelnen System
- Analysiert: lokale Prozesse, Dateisystem, System-Calls
- Beispiele: OSSEC, Wazuh, CrowdStrike HIPS-Mode
- Heute oft Teil von EDR-Lösungen
Erkennungsmethoden
1. Signatur-basierte Erkennung
- Datenbank bekannter Angriffsmuster (Snort-Rules, ET Rules)
- Schnell und zuverlässig für bekannte Angriffe
- Problem: Zero-Day-Exploits haben keine Signatur
Snort-Regel-Beispiel (EternalBlue / MS17-010):
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"ET EXPLOIT Possible EternalBlue Probe MS17-010";
flow:to_server,established;
content:"|00 00 00 23 ff 53 4d 42 72 00 00 00 00|";
depth:13; offset:4; nocase;
sid:2024217; rev:2;)2. Anomalie-basierte Erkennung (Behavioral)
- Baseline des normalen Traffics definieren
- Abweichungen → Alarm
- Erkennt: Zero-Days, unbekannte Angriffe, Insider Threats
- Problem: höhere False-Positive-Rate
Beispiel: Normalerweise 1.000 DNS-Queries/Stunde von einer Workstation → plötzlich 100.000 DNS-Queries/Stunde → DNS-Tunneling-Verdacht.
3. Protokoll-Analyse (Protocol State Tracking)
- RFC-Konformität prüfen
- Beispiel: HTTP-Request mit ungültigem Header → Fuzzing?
- Erkennt: Protokoll-Missbrauch, Evasion-Techniken
4. Reputations-basierte Erkennung
- Threat Intelligence Feeds: bekannte böse IPs, Domains, Hashes
- Snort ET Pro: täglich aktualisierte Reputation-Listen
- Verbindung zu bekanntem C2-Server → sofortiger Block
Open-Source IDS/IPS Tools
Suricata (empfohlen - moderner Nachfolger von Snort)
Installation (Ubuntu):
apt install suricataKonfiguration (/etc/suricata/suricata.yaml):
vars:
address-groups:
HOME_NET: "[192.168.0.0/16,10.0.0.0/8]"
EXTERNAL_NET: "!$HOME_NET"
rules:
- /etc/suricata/rules/suricata.rules
- /etc/suricata/rules/emerging-threats.rules # ET Open Rules# ET Rules herunterladen:
suricata-update # Aktualisiert alle Rules
# Im IDS-Modus (passiv):
suricata -c /etc/suricata/suricata.yaml -i eth0
# Im IPS-Modus (inline, nfqueue):
suricata -c /etc/suricata/suricata.yaml -q 0Output: /var/log/suricata/fast.log (Alerts), eve.json (Structured)
Snort 3 (Marktführer bei Signaturen)
- Größte Regel-Datenbank (VRT Rules)
- Snort 3: neue Architektur, Multi-Threaded
- Integration mit Cisco Firepower
Zeek (früher Bro) - Netzwerk-Analyse, kein IPS
- Generiert Netzwerk-Aktivitäts-Logs (kein Alert-Fokus)
- HTTP-Logs, DNS-Logs, SSL-Logs, Verbindungs-Logs
- Sehr wertvoll für Threat Hunting und Forensik
- Zeek Scripts für Custom-Analysen
Beispiel - Zeek HTTP-Log:
ts uid orig_h resp_h method host uri
1709123456 C4BHgr 10.0.1.50 93.184.216.34 GET example.com /index.htmlWazuh (HIDS + NIDS)
- Open Source Security Platform
- Host-basiertes IDS, Log-Analyse, Vulnerability Detection
- Gute SIEM-Integration (Elasticsearch)
- Kostenlos, skalierbar
IPS Deployment - Positionierung im Netzwerk
Internet → Firewall → IPS → Switch → Interne Systeme
↑
Inline: sieht und blockiert allen TrafficDeployment-Varianten
1. Perimeter-IPS (North-South Traffic)
- Zwischen Internet und Firewall oder zwischen Firewall und DMZ
- Erkennt/blockiert externe Angriffe
2. Internal Segmentation IPS (East-West Traffic)
- Zwischen internen Netz-Segmenten
- Erkennt laterale Bewegung im Netz
- Besonders wichtig bei Ransomware-Erkennung
3. Campus IPS / Datacenter IPS
- Vor kritischen Servern
- Feinere Kontrolle für Server-Zugriffe
Bypass-Mechanismus
- Wenn das IPS ausfällt, lässt ein Bypass-Relais den Traffic durch - kein Totalausfall
- Fail-Open: Bei IPS-Ausfall läuft Traffic weiter → kein Ausfall, aber kein Schutz
- Fail-Closed: Bei IPS-Ausfall kein Traffic → kein Angriff, aber Ausfall
Tuning-Aufwand
Ein IPS ohne Tuning erzeugt viele False Positives, die legitimen Traffic blockieren.
- Discovery-Phase (2-4 Wochen): nur Detection, kein Block
- Schritt-für-Schritt aktivieren: erst kritische Signaturen, dann mehr
- Regelmäßiges Review: neue False Positives durch neue Anwendungen
