Intrusion Detection Systeme


Ein Intrusion Detection System (kurz IDS) stellt fest, ob es trotz aller Vorsichts­maßnahmen einem Angreifer gelungen ist, in das eigene Netz einzudringen. Es ver­sucht also, erfolgreiche Einbrüche in das Netz oder die Rechner zu erkennen. Daher teilen sich IDS-Systeme in zwei Gruppen ein, nämlich in netzwerk- und rechner­basierte. Erstere suchen nach Eindringlingen im Netz, letztere überprüfen die Server, ob sich Spuren von Einbrüchen finden lassen. IDS-Systeme, ganz gleich welcher Ausrichtung, funktionieren nach demselben Prinzip. Sie suchen nach typischen Angriffsschematas. Ein Angreifer, der die Firewall überwunden hat, wird im Netz nach Rechnern suchen, in die er eindringen und nach Informationen abgrasen kann.Tauchen plötzlich Portscann-Pakete im Netz auf oder gibt es Anzeichnen dafür,dass ein Sniffer eingesetzt wird, schlägt ein Netzwerk-IDS Alarm. Gleiches gilt für einen Server. Wenn log-Dateien in schneller Folge gelöscht werden oder ein ganz normaler Anwender versucht, mit Prozessen zu kommunizieren, die mit admi­nistrativen Berechtigungen laufen, dann sind dieses Hinweise darauf, dass jemand auf dem Rechner eingebrochen hat und nun versucht, sich weiter vorzuarbeiten. Das Problem von IDS-Systemen ist, dass sie nur nach typischen, klassischen "Standard-Mustern" Ausschau halten können, denn nur die sind in ihrer Datenbasis abgelegt. Unorthodoxe Angriffe werden meist nicht bemerkt.

Oftmals gibt es Schwierigkeiten, die Begriffe IDS und Firewall zu unterscheiden bzw. auseinander zu halten, welche Systeme für was zuständig sind.

Anhand eines Beispiels wollen wir Ihnen den Unterschied erläutern:

Man stelle sich das eigene, interne Netzwerk als einen exklusiven und nur für Mitglieder zugänglichen Nachtclub vor. Der Eingang eines solchen Nachtclubs ist meist mit einer schweren Tür, in der sich eine Sichtklappe befindet, gesichert. Hinter dieser Tür steht dann ein stiernackiger, gewaltiger Türsteher im Smoking, der entweder das Kennwort hören möchte oder den Mitgliedsausweis sehen will. Dieser Türsteher ist die Firewall. An ihm prallt alles ab, was nicht reingehört. Aber möglicherweise hat der Nachtclub auf der Rückseite ja ein offenes Toilettenfensler. Vielleicht hat jemand einen Mitgliedsausweis gefunden oder hinter einem Müllcontainer gelauscht, als das Kennwort genannt wurde. Jedenfalls wäre es so möglich, den Türsteher (Firewall) auszutricksen und dennoch in den Nachtclub zu gelangen.

Gegen solche ungebetenen Gäste gibt es die hausinterne Security. Diese "Mitarbeiter" sitzen an der Bar, sind gekleidet wie Gäste, trinken ihre Cocktails und lassen den Blick beiläufig über die Besucher schweifen, um festzustellen, ob es irgendwo Probleme gibt oder sich irgendwo jemand auffällig benimmt. Diese Angestellten sind das IDS. Es kann durchaus sein, dass im Laufe eines Abends einer dieser Security-Leute zum Geschäftsführer (deSystemadministrator) kommt und ihm ins Ohr raunt: "Hey Boss, der Typ da am Ende der Theke, der trinkt zwar kaum was, stellt aber schon die ganze Zeit so komische Fragen...". Dann versagte zwar das Firewall-System, aber das IDS funktionierte prima.

Für eine individuelle Lösung sprechen Sie uns an oder benutzen Sie unser Kontaktformular.

 

Copyright © 2013
All Rights Reserved.

MARLA IT-Service