defense.at Onlinemagazin

Intrusion Detection oder Intrusion Prevention

Intrusion Detection Systeme erkennen Angriffe aus dem Netzwerk und können im Fall des Intruison Prevention darauf reagieren

Bei Intrusion Detection handelt es sich um ein Angrifferkennungssystem, das einen Computernetz überwacht und direkt auf dem Computersystem oder ergänzend zu einer  Firewall läuft.
 
Es gibt drei verschiedene Arten von Intrusion Detection Systemen (IDS) und zwar sind das
Host-basierte, Netzwerk-basierte und Hybride Systeme.

Vom Militär entwickeltes Host-basiertes IDS gehört zu einem der ältesten Systemen, das zur Überwachung der Großrechner installiert wurde, wobei das HIDS auf jedem Computersystem einzeln installiert werden muss.
Die Aufgabe eines Host-basierten Intrusion Detection Systems ist die Unterstützung eines Betriebssystem, dessen Informationen aus Kernel-Daten, Log-Dateien, Registry und sonstigen Systemdaten an das HIDS übertragen und dort überwacht werden. Der Angriff auf diese Informationen wird sofort vom System erkannt und der Alarm wird ausgelöst.
Das HIDS verfügt außerdem über zusätzliche Hilfsprogramme, bezeichnet als „System Integrity Verifiers“, die angriffsbedingte Veränderungen am Computersystem erkennen.
Ein HIDS bietet eine umfassende Systemüberwachung und kann über den Angriff detaillierte Angaben machen, aber ist einem DoS-Angriff nicht widerstandsfähig.
Ein Intrusion Detection System kann angegriffen werden, wenn aktive Elemente verfügbar sind. Der Angriff auf IDS kann deutlich abgemildert werden, wenn die Einbindung des Systems in ein Netzwerk in-line verläuft. 

Netzwerk-basierte Intrusion Detection Systeme (NIDS) analysieren und zeichnen alle Netzwerkpakete auf. Sie melden alle verdächtige Systemaktivitäten und versuchen aus dem Verkehr im Netzwerk einen Muster zu erkennen. Das Netzwerk-basierte IDS überwacht den gesamten Computernetz. Die Überwachung kann aber gestört werden, wenn die Bandbreite überlastet wird sowie in geswitchten Netzwerksystemen.

Hybride Intrusion Detection Systeme stellen eine Kombination aus HIDS und NIDS dar und gewährleisten dadurch eine bessere Angriffserkennung im Netzwerk. Dabei handelt es sich um host- und netzbasierte an ein zentrales System angeschlossene Sensoren.

Allgemein erfolgt die Angriffserkennung über den Vergleich der Angriffssignaturen oder über eine statistische Überprüfung. Signaturen und Filter eines Intrusion Detection Systems beschreiben dabei die Angriffsmuster.  
Von IDS werden mittlerweile auch heuristische Erkennungsmethoden angewendet, die zusätzlich unbekannte und ungewöhnliche Angriffe und Musterabweichungen erkennen.

Intrusion Prevention Systeme (IPS) generieren Angriffsereignisse und stellen zusätzlich
Funktionen zum Abwehr der Angriffe bereit. Ein IPS kann Datenpakete verwerfen, Daten ändern und Verbindungen unterbrechen. Dafür wird meistens eine Firewallverbindung verwendet.
Aktuelle IPS und IDS Versionen arbeiten mit einer Kombination aus Anomalieerkennung, Stateful inspection und Pattern Matching, womit sich die Abweichungen von festgelegten
Protokolldaten verhindern lassen.

Einer der Bestandteile des Intrusion Detection Systems ist der Honeypot.
Bei einem Honeypot handelt es sich um ein Computer im Netzwerksystem, der nicht regelmäßig benutzt wird und keine wichtige Daten enthält.  Durch die bewusst geöffnete Sicherheitslücken soll dieser Netzwerkteil die Aufmerksamkeit eines Hackers auf sich lenken und zum Angriff verleiten. Die Wahrscheinlichkeit, dass es bei den wahrgenommenen Aktivitäten um ein Angriff handelt, ist bei einem Honeypot sehr hoch. Außerdem kann ein Honeypot helfen, die Vorgehensweise des Hackers zu bestimmen und daraus die Verteidigungsstrategien zu entwickeln.
Ein Honeypot kann leider auch als Basis für die Angriffe auf das gesamte Netzwerk dienen.