Intrusion Detection    Arten von Intrusion Detection Systemen

• Unternehmen
•    Startseite
•    Meldungen (Archiv)
•    Firmenprofil
•    AGB
•    Menschen
•    Referenzen
•    Partner
• Lösungen
•    Firewall
•    VPN Gateway
•    Proxy Server
•    Linux Server
•    Intrusion Detection
•    Intrusion Prevention
•    Honeypots
•    Cluster
•    Traffic Shaping QoS

• Leistungen
•    Research/Consulting
•    Bestandsaufnahme
•    Netzwerkdesign
•    Analyse/Optimierung
•    Security Auditing
•    Incident Response
•    Wartung & Support
• Sonstiges
•    Kundenlogin
•    Anfahrt
•    Kontakt
•    Sitemap
•    Impressum
• Begriffserklärungen
•    Begriff IDS
•    Arten von IDS
•    Funktionsweise

   07.01.2009 - 01:59 Uhr        

Arten von Intrusion Detection Systemen

Man unterscheidet drei Arten von IDS

• Netzwerk-Basierte IDS
• Host-Basierte IDS
• Hybride IDS

Netzwerk-Basierte IDS

NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden.

Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen. Da in der heutigen Zeit überwiegend das TCP/IP-Protokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.

Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.

Vorteile:

• Ein Sensor kann ein ganzes Netz überwachen.
• Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Nachteile:

• Keine lückenlose Überwachung bei Bandbreitenproblemen.
• Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).

Host-Basierte IDS

Sie stellen die älteste Art von Intrusion Detection Systemen dar. Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren.

Ein HIDS muss auf jedem zu überwachenden System installiert werden. Der Begriff "Host" darf allerdings nicht missverstanden werden. In diesem Kontext ist als Host jedes System gemeint, auf welchem ein IDS installiert ist.

Ein HIDS muss das Betriebssystem unterstützen. Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registry. Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt.

Eine Unterart der HIDS sind so genannte "System Integrity Verifiers", die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.

Vorteile:

• sehr spezifische Aussagen über den Angriff.
• kann ein System umfassend überwachen.

Nachteile:

• kann durch einen DoS-Angriff ausgehebelt werden.
• wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahm gelegt.

Hybride IDS

Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können. Man spricht in diesem Zusammenhang von netz- und hostbasierten Sensortypen, die an ein zentrales Managementsystem angeschlossen sind.

Viele heute eingesetzte IDS verfügen über eine solche, hybride Funktionsweise. Ein hybrides IDS besteht zumeist aus folgenden Komponenten:

• Management
• hostbasierte Sensoren (vgl. HIDS)
• netzbasierte Sensoren (vgl. NIDS)

© 2004-2008 by NetSEC Ohm & Volz GbR  |   D-66424 Homburg  |  Deutschland

  Remote-IP:  38.103.63.56  Port: 47073  VIA:  | ClamAV 0.94.2/8840/Tue Jan 6 21:03:01 2009