www.wikidata.de-de.nina.az

Intrusion Detection System Ein englisch intrusion Eindringen IDS bzw Angriffserkennungssystem ist ein System zur Erkennu

Intrusion Detection System

Ein Intrusion Detection System (englisch intrusion „Eindringen“, IDS) bzw. Angriffserkennungssystem ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Rechnernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken und Computersystemen erhöhen. Erkannte Angriffe werden meistens in Log-Dateien gesammelt und Benutzern oder Administratoren mitgeteilt; hier grenzt sich der Begriff von Intrusion Prevention System (englisch prevention „Verhindern“, IPS) ab, welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert.

Architekturen Bearbeiten

Man unterscheidet drei Arten von IDS:

  • Host-basierte IDS (HIDS)
  • Netzwerk-basierte IDS (NIDS)
  • Hybride IDS

Host-basierte IDS Bearbeiten

HIDS stellen die älteste Art von Angriffserkennungssystemen dar. Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren. Ein HIDS muss auf jedem zu überwachenden System installiert werden. Der Begriff „Host“ ist im Sinne der Informationstechnik zu verstehen, und nicht etwa als Synonym eines Großrechners.

Ein HIDS muss das Betriebssystem unterstützen. Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank. Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt. Eine Unterart der HIDS sind sogenannte „System Integrity Verifiers“, die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.

Vorteile:

  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.

Nachteile:

  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basierte IDS Bearbeiten

NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden. Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen. Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen. Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden. Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen. Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.

Vorteile:

  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Nachteile:

  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (Abhilfe: Einsatz von Network-TAPs oder bei geringer Datendurchsatz durch die Funktion eines Mirror-Port auf einem Switch).
  • Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybride IDS Bearbeiten

Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können. Man spricht in diesem Zusammenhang von netz- und hostbasierten Sensortypen, die an ein zentrales Managementsystem angeschlossen sind. Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise.

Ein hybrides IDS besteht zumeist aus folgenden Komponenten:

  • Management
  • Hostbasierte Sensoren (HIDS)
  • Netzbasierte Sensoren (NIDS)

Funktionsweise Bearbeiten

Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die so genannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.

Der Prozess ist in drei Schritte unterteilt: Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst. Dieser kann vielfältiger Natur sein. Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen. Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.

In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung. Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist. Ein Hauptproblem beim praktischen Einsatz von IDS ist, dass sie entweder viele falsche Warnungen (falsch positiv) generieren oder einige Angriffe nicht entdecken (Falsch negativ).

Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern. Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung. Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.

Darüber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich, wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection.

Nachteile Bearbeiten

  • Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird. Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d. h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
  • Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.

Honeypot Bearbeiten

Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen. Auf diesem Computer befinden sich weder wichtige Daten noch Dienste, die regulär genutzt werden. Er dient lediglich dazu, die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken, indem bewusst Sicherheitslöcher geöffnet bleiben. Werden Aktivitäten auf diesem Computer wahrgenommen, handelt es sich höchstwahrscheinlich um einen Angriff. Außerdem kann mit Hilfe eines Honeypots mehr über die Vorgehensweise des Angreifers erfahren werden. Aus den beobachteten Angriffen können dann Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden. Der Honeypot ist damit ein weiterer Bestandteil des IDS. Das Konzept des Honeypots hat allerdings einen Nachteil: Ein Honeypot kann als Eintrittspunkt dienen, um weitere Angriffe auf das Netzwerk durchzuführen.

Siehe auch Bearbeiten

Einzelnachweise Bearbeiten

  1. RFC 791 – Internet Protocol – Darpa Internet Program Protocol Specification. September 1981 (englisch).
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Ein Intrusion Detection System englisch intrusion Eindringen IDS bzw Angriffserkennungssystem ist ein System zur Erkennung von Angriffen die gegen ein Computersystem oder Rechnernetz gerichtet sind Das IDS kann eine Firewall erganzen oder auch direkt auf dem zu uberwachenden Computersystem laufen und so die Sicherheit von Netzwerken und Computersystemen erhohen Erkannte Angriffe werden meistens in Log Dateien gesammelt und Benutzern oder Administratoren mitgeteilt hier grenzt sich der Begriff von Intrusion Prevention System englisch prevention Verhindern IPS ab welches ein System beschreibt das Angriffe automatisiert und aktiv verhindert Inhaltsverzeichnis 1 Architekturen 1 1 Host basierte IDS 1 2 Netzwerk basierte IDS 1 3 Hybride IDS 2 Funktionsweise 3 Nachteile 4 Honeypot 5 Siehe auch 6 EinzelnachweiseArchitekturen BearbeitenMan unterscheidet drei Arten von IDS Host basierte IDS HIDS Netzwerk basierte IDS NIDS Hybride IDSHost basierte IDS Bearbeiten HIDS stellen die alteste Art von Angriffserkennungssystemen dar Sie wurden ursprunglich vom Militar entwickelt und sollten die Sicherheit von Grossrechnern garantieren Ein HIDS muss auf jedem zu uberwachenden System installiert werden Der Begriff Host ist im Sinne der Informationstechnik zu verstehen und nicht etwa als Synonym eines Grossrechners Ein HIDS muss das Betriebssystem unterstutzen Es erhalt seine Informationen aus Log Dateien Kernel Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank Es schlagt Alarm sobald es in den uberwachten Daten einen vermeintlichen Angriff erkennt Eine Unterart der HIDS sind sogenannte System Integrity Verifiers die mit Hilfe von Prufsummen bestimmen ob Veranderungen am System vorgenommen wurden Vorteile Sehr spezifische Aussagen uber den Angriff Kann ein System umfassend uberwachen Nachteile Kann durch einen DoS Angriff ausgehebelt werden Wenn das System ausser Gefecht gesetzt wurde ist auch das IDS lahmgelegt Netzwerk basierte IDS Bearbeiten NIDS versuchen alle Pakete im Netzwerk aufzuzeichnen zu analysieren und verdachtige Aktivitaten zu melden Diese Systeme versuchen ausserdem aus dem Netzwerkverkehr Angriffsmuster zu erkennen Da heutzutage uberwiegend das Internetprotokoll eingesetzt wird muss auch ein Angriff uber dieses Protokoll erfolgen Mit nur einem Sensor kann ein ganzes Netzsegment uberwacht werden Jedoch kann die Datenmenge eines modernen 1 GBit LANs die Bandbreite des Sensors ubersteigen Dann mussen Pakete verworfen werden was keine luckenlose Uberwachung mehr garantiert Vorteile Ein Sensor kann ein ganzes Netz uberwachen Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefahrdet Nachteile Keine luckenlose Uberwachung bei Uberlastung der Bandbreite des IDS Keine luckenlose Uberwachung in geswitchten Netzwerken Abhilfe Einsatz von Network TAPs oder bei geringer Datendurchsatz durch die Funktion eines Mirror Port auf einem Switch Keine luckenlose Uberwachung bei verschlusselter Kommunikation kann zwar moglicherweise die Datenpakete sehen aber nicht den verschlusselten Inhalt Hybride IDS Bearbeiten Hybride IDS verbinden beide Prinzipien um eine hohere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewahrleisten zu konnen Man spricht in diesem Zusammenhang von netz und hostbasierten Sensortypen die an ein zentrales Managementsystem angeschlossen sind Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise Ein hybrides IDS besteht zumeist aus folgenden Komponenten Management Hostbasierte Sensoren HIDS Netzbasierte Sensoren NIDS Funktionsweise BearbeitenGrundsatzlich gibt es zwei Verfahren zur Einbruchserkennung den Vergleich mit bekannten Angriffssignaturen und die so genannte statistische Analyse Die meisten IDS arbeiten mit Filtern und Signaturen die spezifische Angriffsmuster beschreiben Der Nachteil dieses Vorgehens ist dass nur bereits bekannte Angriffe erkannt werden konnen Der Prozess ist in drei Schritte unterteilt Die Wahrnehmung eines IDS wird durch Sensoren ermoglicht die Logdaten HIDS oder Daten des Netzwerkverkehrs NIDS sammeln Wahrend der Mustererkennung uberpruft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank Treffen Ereignisse auf eines der Muster zu so wird ein Intrusion Alert Einbruchs Alarm ausgelost Dieser kann vielfaltiger Natur sein Es kann sich dabei lediglich um eine E Mail oder SMS handeln die dem Administrator zugestellt wird oder je nach Funktionsumfang eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen nbsp Andere IDS verwenden heuristische Methoden um auch bisher unbekannte Angriffe zu erkennen Ziel ist nicht nur bereits bekannte Angriffe sondern auch ahnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen In der Praxis haben signaturbasierte Systeme mit Abstand die grosste Verbreitung Ein Grund dafur ist dass ihr Verhalten leichter voraussehbar ist Ein Hauptproblem beim praktischen Einsatz von IDS ist dass sie entweder viele falsche Warnungen falsch positiv generieren oder einige Angriffe nicht entdecken Falsch negativ Anstatt nur einen Alarm auszulosen wie ein IDS ist ein Intrusion Prevention System kurz IPS in der Lage Datenpakete zu verwerfen die Verbindung zu unterbrechen oder die ubertragenen Daten zu andern Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt durch das dann bestimmte durch das IPS definierte Regeln angewandt werden IPS IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection Pattern Matching und Anomalieerkennung Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation wie beispielsweise dem Internet Protocol RFC 791 1 erkennen und verhindern Daruber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich wie beispielsweise der Schutz von Telefonanlagen durch intelligente signaturbasierte Intrusion Detection Nachteile BearbeitenDa ein Intrusion Detection oder Intrusion Prevention System in der Regel eine aktive Komponente ist besteht die Moglichkeit dass es als Angriffsziel genutzt wird Intrusion Detection bzw Intrusion Prevention Systeme die sich in line d h ohne gebundenen IP Stack und IP Adressen in ein Netzwerk einbinden lassen und als transparent arbeitende Layer 2 Netzwerkkomponente arbeiten sind von dieser Gefahr nur begrenzt betroffen Im Gegensatz zu Intrusion Prevention Systemen werden Angriffe nur erkannt aber nicht verhindert Honeypot Bearbeiten Hauptartikel Honeypot Ein Honeypot Koder ist ein Computer im Netzwerk der Hacker verleiten soll genau diesen anzugreifen Auf diesem Computer befinden sich weder wichtige Daten noch Dienste die regular genutzt werden Er dient lediglich dazu die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken indem bewusst Sicherheitslocher geoffnet bleiben Werden Aktivitaten auf diesem Computer wahrgenommen handelt es sich hochstwahrscheinlich um einen Angriff Ausserdem kann mit Hilfe eines Honeypots mehr uber die Vorgehensweise des Angreifers erfahren werden Aus den beobachteten Angriffen konnen dann Verteidigungsstrategien fur das ubrige Netzwerk abgeleitet werden Der Honeypot ist damit ein weiterer Bestandteil des IDS Das Konzept des Honeypots hat allerdings einen Nachteil Ein Honeypot kann als Eintrittspunkt dienen um weitere Angriffe auf das Netzwerk durchzufuhren Siehe auch BearbeitenIntrusion Prevention System IPS Einzelnachweise Bearbeiten RFC 791 Internet Protocol Darpa Internet Program Protocol Specification September 1981 englisch Abgerufen von https de wikipedia org w index php title Intrusion Detection System amp oldid 238711450