Intrusion Detection System

Aus THM-Wiki
Wechseln zu: Navigation, Suche

Ein Programm zum Erkennen von Angriffen auf meist mit dem Internet verbundene Computernetzwerke oder einzelne Computer wird als Intrusion Detection System (IDS) bezeichnet.


Überblick

Ein Intrusion Detection System ist als eine Ergänzug zur Firewall zu verstehen. Üblicherweise kommt ein IDS auf Rechnern mit Zugang / Verbindung zum Internet zum Einsatz. Mit ihm sollen Angriffe auf das Computersystem erkannt werden. Meist reicht ein IDS jedoch nicht aus, da es nur Angriffe auf das Computernetz erkennt, aber nicht dagegen Schützt oder vorgehen kann. Hierzu wird ein Intrusion Prevention System (IPS) verwendet. Man unterscheidet drei Formen eines IDS:


HOST basiertes IDS

Ein Host basiertes IDS muss auf jedem zu überwachenden System installiert werden und das Betriebssystem unterstützen. Es benötigt Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registry. Die Nachteile eines host basierten IDS bestehen in der Möglichkeit, dass das System durch DoS-Angriffe ausgehebelt werden kann. Sobald das System außer Gefecht gesetzt wurde, ist auch das IDS lahm gelegt.


Netzwerkbasiertes IDS

Ein netzwerkbasiertes IDS versucht alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden. Aus dem Netzwerkverkehr sollen insbesondere Angriffsmuster erkannt werden. Ein solches IDS ermöglicht es, mit nur einem Sensor ein ganzes Netzsegment zu überwachen (OSI Layer 3: TCP/IP). Der Nachteil in Zeiten von schnellen Netzwerkverbindungen besteht darin, dass die Datenmenge eines modernen 1 GBit-LANs die Bandbreite des Sensors übersteigen kann. Dies führt dazu, dass keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS mehr möglich ist.


Hybride IDS

Hybride ID Systeme verbinden beide Prinzipien, die des hostbasierten und die des netzwerkbasierten. Meist bestehen sie aus drei wesentlichen Bestandteilen:

* Management
* Hostbasierte Sensoren (HIDS)
* Netzbasierte Sensoren (NIDS)


Funktion von IDS

Die Funktionsweise von Intrusion Detection Systemen beruht auf dem Vergleich des Netzwerkverkehrs mit bekannten Angriffsmustern und der statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben (der Nachteil hierbei ist, dass nur bereits bekannte Strukturen erkannt werden). Signaturbasierte Systeme haben mit Abstand die größte Verbreitung. Dies liegt an der besseren Voraussehbarkeit im Falle eines Angriffs. Die Wahrnehmung eines Angriffs wird durch Sensoren ermöglicht, welche die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln und mit den gesammelten Daten und den Signaturen aus der Musterdatenbank während der Mustererkennung abgleichen. Sofern eine Übereinstimmung zwischen den Daten vorliegt, wird ein Intrusion Alert ausgelöst. Da nicht jeder Angriff auf Grund von Signaturen oder Datenschemata erkannt werden kann, wenden ID Systeme auch heuristische Methoden an. Diese erkennen Abweichungen vom Normalzustand.


Nachteile

Die Probleme von Intrusion Detection Systemen bestehen hauptsächlich in der Generierung vieler falscher Warnungen (sog. false positives) oder in der Nichterkennung einiger Angriffe (sog. false negatives). Zusätzlich werden ID Systeme oft als Angriffsziele benutzt. Hierfür benutzen viele Unternehmen eine einfache und pragmatische Lösung: Honeypot. Zudem werden viele Angriffe zwar erkannt, können jedoch nicht immer abgewehrt werden (Aufgabe eines IPS).


Weblinks

Wikipedia
http://de.wikipedia.org/wiki/Intrusion_Detection_System

Homepage von SNORT:
http://www.snort.org


--Klose-MKL 20:55, 18. Jan. 2007 (CET)