Aktueller Channel Fokus:

Storage und Datamanagement

Definition

Was ist ein Intrusion Detection System?

| Autor / Redakteur: Laimingas / Sarah Böttcher

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business (Bild: © adiruch na chiangmai - Fotolia.com)

Ein Intrusion Detection System (IDS) erkennt Angriffe auf Computer und Rechnernetzwerke. Es kann als Hardware installiert sein oder als Software direkt auf den Systemen laufen, die überwacht werden sollen, oder als Ergänzung zu einer Firewall dienen.

Ein IDS kann auf zwei unterschiedliche Arten funktionieren. Der größte Teil arbeitet mit Hilfe bestimmter Filter und Signaturen, in denen spezifische Angriffsmuster beschrieben werden. Gesammelte Daten werden dann mit den bekannten Signaturen verglichen, die in der Musterdatenbank niedergelegt sind. Sobald ein neues Ereignis mit einem der Muster übereinstimmt, wird ein Einbruchsalarm ausgelöst. Voraussetzung für eine dauerhaft sichere Funktionsweise ist aber, dass neue Signaturen permanent eingepflegt werden.

Ein kleinerer Teil der eingesetzten IDS bedient sich heuristischer Methoden, um nach Möglichkeit auch bisher noch nicht bekannte Angriffsmuster oder Abweichungen vom Normalzustand zu erkennen.

Im Gegensatz zu Intrusion Prevention Systemen (IPS) beschränkt sich ein IDS lediglich auf die Erkennung von Angriffen, ohne diese aktiv zu verhindern oder abzuwehren. Erkennt es ein Angriffsmuster, sendet es eine Information darüber an den Administrator oder Anwender, der dann entsprechende Gegenmaßnahmen einleiten kann.

Architekturen von Intrusion Detection Systemen

IDS werden je nach ihrer Architektur in drei verschiedene Arten unterteilt: Host-basiert, Netzwerk-basiert und hybrid.

Host-basierte IDS wurden vom Militär entwickelt und sind die älteste Variante. Sie dienen der Sicherheit von Großrechnern, müssen auf jedem einzelnen System installiert sein und das jeweilige Betriebssystem unterstützen. Sie sammeln Systemdaten aus den Log-Dateien, der Registrierungsdatenbank oder Kerneldaten und vergleichen diese mit bekannten Angriffsmustern.

Ein Netzwerk-basiertes IDS wird so installiert, dass es alle Datenpakete innerhalb des Netzwerks aufzeichnen und auf verdächtige Angriffsmuster hin analysieren kann. Es muss allerdings eine hohe Leistung erbringen, um mit der Bandbreite moderner Netzwerke mithalten zu können. Ist dies nicht der Fall, kann keine lückenlose Überwachung mehr erfolgen.

Ein hybrides IDS kombiniert beide vorherigen Verfahren und bietet daher einen besseren Schutz. Es besteht in der Regel aus drei Komponenten: einem zentralen Managementsystem sowie Host- und Netz-basierten Sensoren.

Welche IDS gibt es?

Marktführer ist Snort, das von der Firma Sourcefire entwickelt wurde. Es handelt sich dabei um ein Intrusion Detection System aus der Open-Source-Gemeinde, das auch in einer kommerziellen Version erhältlich ist. Diese schließt unter anderem einen Support sowie sofortige Updates ein. Das Intrusion Detection System ist für Linux, Windows und MacOS erhältlich.

Weitere bekannte IDS sind Botshield, Tripwire, Bro, Prelude, Tiger, Samahain und Xray, die aber meist nur auf ein Betriebssystem zugeschnitten sind.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45464383 / IT-BUSINESS Definitionen)