Intrusion Detection
 
Als Intrusion Detection Systeme, kurz IDS, wird die Überwachung von Computer- Systemen (Host IDS) und / oder -Netzen (Network IDS) mit dem Ziel der Erkennung von Angriffen und Missbräuchen bezeichnet. Firewall-Systeme (Packet Filter) können „nur“ auf Ereignisse bis zur Transport-Schicht (Schicht 4 im OSI Referenzmodel) reagieren. Um auch Angriffe der Anwendungsschicht (Schicht 7 im OSI Referenzmodel) erkennen zu können, bedarf es einer Optimierung des gesamten Sicherheitskonzeptes. Das Ziel von Intrusion Detection Systemen besteht darin, aus allen im Überwachungsbereich stattfindenden Ereignissen (von Host- und Netzwerk IDS Komponenten) diejenigen herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Um Fehlalarme (false positivs) auszufiltern ist es Notwendig alle relevanten Ereignisse aus Host- und Network-IDS in die Auswertung der Alarme mit einzubeziehen. Dieser Entscheidungsprozess wird auch als „Event-Correlation“ bezeichnet. Angriffe sollten dabei zeitnah erkannt, gemeldet und wenn möglich unterbunden (Intrusion Response) werden . Zu diesem Zweck werden sogenannte Sensoren (Netzwerk- bzw. Host- Sensoren) an strategisch wichtigen Positionen im Unternehmen plaziert.

Intrusion Detection ist als Prozess zu verstehen und bedarf einer geeigneten organisatorischen Einbindung, durch entsprechend formulierten Sicherheits-Richtlinien (Security Policy), sowie der technischen Unterstützung durch geeignete Werkzeuge. Intrusion Detection Systeme untersuchen den gesamten Netzwerkverkehr auf typische Spuren von Angriffen (Angriffssignaturen). In diesem Prozess können Mustererkennungen und Methoden der künstlichen Intelligenz in Kombination verwendet werden. Intrusion Detection Systeme werden in der Regel in zwei verschiedene Kategorien unterteilt.
 
 
Signaturbasierte Intrusion Detection Systeme
 
Die meisten durchgeführten Angriffe basieren auf wiederkehrenden Mustern (Angriffssignaturen). Beispiele hiefür sind auf der Netzwerkseite Pakete mit langen Zeichenfolgen vor dem eigentlichen Befehl (Buffer Overflows) oder Pakete welche bekannte Sicherheitslücken in Implementierungen ausnutzen (Exploids). In den aufgeführten Angriffsverfahren werden legale Protokolle und Dienste verwendet und werden somit von den Firewall-Systemen nicht blockiert, da es sich um „Erlaubten Verkehr“ handelt. Signaturbasierte Intrusion Detection Systeme können nur ihnen bekannte Angriffe erkennen. 
 
 
Anomalieerkennende Intrusion Detection Systeme
 
Anomalieerkennendes Intrusion Detection wird oft auch als Protokollanalyse bezeichnet. Solche Systeme lernen selbstständig die verwendeten Protokolle im Netzwerk und deren Kommunikation untereinander. Durch diese Lernergebnisse können solche Systeme Abweichungen vom Normalzustand feststellen und entsprechende Gegenmaßnahmen einleiten (Intrusion Response). Anomalieerkennende Intrusion Detection Systeme können somit neue, noch nicht aufgetretene Angriffe erkennen.
 
 
Intrusion Prevention Systeme
 
Intrusion Prevention Systeme, kurz IPS, stellen eine Art Erweiterung von Intrusion Detection Systemen dar. Sie sind in der Lage auf erkannte Angriffsszenarien zu reagieren. Eine mögliche Reaktion könnte sein, die „Angriffs-Pakete“ zu verwerfen oder auf eine anderes System (einen sogenannten Honeypot) zur weiteren Beobachtung umzuleiten, bevor das potentielle Ziel schaden nimmt..
 
 
Welche Technik sollte zum Einsatz kommen?
 
Ein Optimum an Sicherheit stellt eine Kombination aus signaturbasierter IDS, Anomalieerkennender IDS und IPS dar. Eine werkzeugbasierte Unterstützung kann zur Generierung von Ereignissen, zur Filterung von Ereignissen, zur Auswertung und Alarmierung sowie zur Archivierung der gefundenen Ergebnisse erfolgen. Ein wirksames Intrusion Detection System bedarf daher auch einer angepassten und zusammenpassenden Auswahl geeigneter Hilfsmittel.

Besuchen Sie Message Solution

© 2021 B.I.O.S. Technologie-Partner GmbH

Impressum | Rechtshinweise | AGB´s