IDS vs. IPS

Eine Firewall kontrolliert, was ins Netz darf. Aber was, wenn ein Angreifer bereits durch die Firewall gekommen ist – weil er Port 443 nutzt, der für HTTPS geöffnet sein muss? Hier kommen IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) ins Spiel. Sie analysieren den Netzwerkverkehr auf Anzeichen von Angriffen und können – im Fall des IPS – aktiv eingreifen.

Der Unterschied zwischen beiden ist im Kern ein Architekturunschied: Das IDS ist ein passiver Beobachter, das IPS ein aktiver Eingreifer. Das IDS sitzt „neben" dem Datenstrom (out-of-band), erhält eine Kopie des Traffics über einen Netzwerk-Tap oder Port-Mirror und schlägt Alarm, ohne den Verkehr zu unterbrechen. Das IPS ist dagegen direkt in den Datenpfad eingebunden (inline) und kann Pakete in Echtzeit blockieren.

1) Positionierung im Netzwerk

Wo IDS und IPS im Netzwerk platziert werden, bestimmt, was sie sehen und wie effektiv sie eingreifen können. Die typische Platzierung ist direkt hinter der äußeren Firewall oder vor dem internen Netz – aber auch für die Überwachung interner Segmente werden IDS-Sensoren eingesetzt.

Netzwerkpositionierung – IDS (out-of-band) vs. IPS (inline)

🌐 Internet

→

🛡️ Firewall

→

IPS (inline)

direkt im Datenpfad · kann blockieren

→

🏢 Internes Netz

🌐 Internet

→

🛡️ Firewall

→ (Kopie)

IDS (out-of-band)

Tap/Spiegel · nur Alarm · kein Blockieren

→

🏢 Internes Netz

Der IPS-Inline-Betrieb hat einen kritischen Nachteil: Fällt das IPS aus, ist der Datenverkehr unterbrochen – es sei denn, Fail-Open ist konfiguriert (dann geht Traffic durch, ohne geprüft zu werden). Ein IDS dagegen kann ausfallen, ohne den Netzwerkbetrieb zu stören – allerdings auch ohne Schutzwirkung.

2) Erkennungsmethoden

Wie erkennt ein IDS/IPS überhaupt einen Angriff? Es gibt drei grundlegend verschiedene Ansätze, die in der Praxis kombiniert werden. Jeder hat eigene Stärken und charakteristische Schwächen.

Erkennungsmethoden – Klicke zum Vergleichen

In der Praxis kombinieren moderne IDS/IPS-Systeme alle drei Ansätze. Signaturbasierte Erkennung ist die primäre Schicht für bekannte Angriffe; Anomalieerkennung ergänzt sie für Zero-Days und unbekannte Bedrohungen. Die Qualität der Signaturdatenbank – und die Regelmäßigkeit ihrer Aktualisierung – ist entscheidend für die Effektivität des Systems.

3) IDS vs. IPS in der Praxis

IDS vs. IPS – Vergleich

IDS – Intrusion Detection

✓ Passiv – kein Eingriff in Traffic

✓ Kein Single Point of Failure

✓ Gut für Forensik und Compliance

✗ Reagiert nur mit Alarm

✗ Angriff läuft durch, bis Mensch reagiert

Einsatz: interne Überwachung, SIEM-Zulieferer

IPS – Intrusion Prevention

✓ Blockt Angriffe in Echtzeit

✓ Keine manuelle Reaktion nötig

✓ In NGFW oft integriert

✗ False Positives können legitimen Traffic blocken

✗ Inline = potenzieller Flaschenhals

Einsatz: Perimeter, kritische Segmente

4) Angriffserkennung Schritt für Schritt

Die folgende Animation zeigt, wie ein IPS einen klassischen Port-Scan erkennt und darauf reagiert – von der Erkennung der ersten verdächtigen Pakete über die Signaturkorrelation bis zum automatischen Block.

Erkennungs- und Reaktionsablauf – Port-Scan-Erkennung

14:02:013 SYN-Pakete von 45.33.32.156 auf verschiedene Ports (21, 22, 23) in 50msVerdächtig

14:02:01Signatur-Match: SCAN:PORT-SWEEP – Schwellenwert: 5 Ports in 100ms überschrittenSignatur-Match

14:02:01Korrelation: Quell-IP 45.33.32.156 in Threat-Intelligence-Datenbank bekannt (Shodan-Scanner)TI-Treffer

14:02:01IPS-Aktion: Block + Drop aller weiteren Pakete von 45.33.32.156 für 3600sBLOCKIERT

14:02:01Alert an SIEM gesendet: Severity HIGH, Kategorie RECONNAISSANCE, Quell-IP gesperrtLOG/SIEM

Drücke „Simulation starten" um den Erkennungsablauf zu sehen.

Der SIEM-Eintrag (Schritt 5) ist wichtig für die Nachverfolgung und Compliance: Wann wurde die IP gesperrt, von welcher Signatur, welche Ports wurden gescannt? Diese Informationen sind bei Sicherheitsvorfällen und für den Nachweis nach BSI-Grundschutz essenziell.

Zusammenfassung

IDS erkennt Angriffe passiv (out-of-band) und alarmiert; IPS greift aktiv inline ein und kann blocken. Erkennungsmethoden: Signaturbasiert (bekannte Muster, wenig False Positives), Anomaliebasiert (Abweichung vom Normalverhalten, erkennt Zero-Days, aber mehr False Positives), Hybrid (Kombination). Moderne NGFWs integrieren IPS direkt. IDS-Alarme fließen typischerweise in ein SIEM für Wirksamkeitsprüfung und Incident Response.

IDS vs. IPS

1) Positionierung im Netzwerk

2) Erkennungsmethoden

3) IDS vs. IPS in der Praxis

4) Angriffserkennung Schritt für Schritt

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title