S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Netzwerk

Intrusion Prevention System

Abkürzung: IPS

Sicherheitssystem, das Netzwerkverkehr in Echtzeit überwacht und aktiv bösartigen Traffic blockiert, bevor er sein Ziel erreicht.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Ein IDS schlägt Alarm wenn jemand einbricht. Ein IPS schlägt nicht nur Alarm — es hält den Einbrecher aktiv auf. Wie ein Sicherheitsmann der nicht nur ruft sondern auch eingreift. Das IPS steht im Datenstrom und blockiert bösartigen Traffic bevor er sein Ziel erreicht.

Ausführliche Erklärung

Ein IPS (Intrusion Prevention System) erweitert ein IDS (Intrusion Detection System) um aktive Blocking-Fähigkeiten. Platzierung: inline im Netzwerkpfad (alle Pakete durchlaufen das IPS). Erkennungsmethoden: Signaturbasiert (bekannte Angriffsmuster), Anomalie-basiert (Abweichung vom Normalverhalten), Policy-basiert (definierte Regeln). Typen: NIPS (Netzwerk), HIPS (Host). Risiko: False Positives können legitimen Traffic blockieren. Moderne Next-Generation-Firewalls integrieren IPS-Funktionalität.

>Wie funktioniert das?

1

IPS sitzt inline im Netzwerkpfad — alle Pakete durchlaufen es

2

Pakete werden gegen Signaturen bekannter Angriffe geprüft

3

Anomalie-Erkennung vergleicht Traffic mit Baseline-Profilen

4

Bei Erkennung eines Angriffs: Paket wird sofort verworfen, Verbindung wird resettet

5

Alert wird generiert, Quelle kann temporär geblockt werden.

?Häufig gestellte Fragen
Antwort

Unternehmen aller Größen — oft als integrierte Funktion in Next-Generation-Firewalls. Standalone-IPS-Appliances werden typischerweise von größeren Unternehmen und Rechenzentren eingesetzt.

Antwort

Eine Firewall filtert Traffic nach Port, Protokoll und IP-Adresse (Layer 3-4). Ein IPS analysiert den Paketinhalt auf Angriffsmuster (Layer 7) — beide sind komplementär und oft in NGFWs integriert.

Antwort

Weil ein False Positive legitimen Traffic blockiert — eine wichtige Geschäftsanwendung könnte ausfallen. IPS müssen sorgfältig getuned werden, besonders bei hochsensitiven Umgebungen.

Antwort

Moderne NGFWs integrieren IPS-Funktionalität, SSL-Inspektion, Application Awareness und Threat Intelligence in einer Appliance — separate IPS-Geräte sind meist nur für sehr hohe Datendurchsätze nötig.

Antwort

Durch Learning Mode (Baseline erfassen ohne zu blockieren), schrittweise Aktivierung von Signaturen, Whitelist-Erstellung für legitime Anwendungen, regelmäßige Überprüfung von Alerts und Vendor-Signatur-Updates.

Quick Facts
KategorieNetzwerk
AbkürzungIPS
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC