defense.at Onlinemagazin

Intrusion Detection oder Intrusion Prevention

Intrusion Detection Systeme erkennen Angriffe aus dem Netzwerk und können im Fall des Intruison Prevention darauf reagieren

Intrusion

Eine Intrusion ist ein unerlaubter Zugriff auf oder Aktivität in einem Informationssystem. Man spricht auch öfters von einem unautorisierten Eindringen in ein EDV-System. Bestes Beispiel für eine Intrusion ist ein Hackerangriff auf einen Server. Fasst man den Begriff weiter auf, kann auch ein normaler Anwender eine Intrusion verursachen, wenn er seine Arbeitsstation für andere Sachen als die Firmentätigkeit verwendet.

Was in einer Firma als Intrusion angezeigt wird, bestimmt der Systemadministrator, der für die Sicherheit zuständig ist. Dieser stellt das Intrusion Detection System so ein wie es der Firmen Policy passt.

Intrusion Detection System

Ein Intrusion Detection System ist also ein Dienst welcher automatisch alle relevanten Informationen sammelt, zusammenträgt und auswertet. Dieses System gibt je nach Einstellung dem Systemadministrator über folgende Sachverhalte Auskunft:

  1. Angriffserkennung eines Hackers
  2. Missbrauchserkennung
  3. Anomalieerkennung

Eine Intrusion Detection gibt also Auskunft darüber ob eine Intrusion versucht wurde, gerade erfolgt oder in der Vergangenheit erfolgte.

Intrusion Prevention System

Mittlerweile hat man erkannt, das es zwar höchst interessant ist, zu wissen, welche Angriffe gerade wo und auf welche Art passieren, aber es doch nett wäre, auch etwas dagegen zu tun. Daher wird das IDS in letzter Zeit vom IPS Intrusion Prevention System abgelöst. Hier wird auf die Erkennung der Attacke eine vorher festgelegte Maßnahme gesetzt, um die Wirkung der Attacke abzuschwächen, bzw. unschädlich zu machen.

Bei Intrusion Detection handelt es sich um ein Angrifferkennungssystem, das einen Computernetz überwacht und direkt auf dem Computersystem oder ergänzend zu einer  Firewall läuft.
 
Es gibt drei verschiedene Arten von Intrusion Detection Systemen (IDS) und zwar sind das
Host-basierte, Netzwerk-basierte und Hybride Systeme.

Vom Militär entwickeltes Host-basiertes IDS gehört zu einem der ältesten Systemen, das zur Überwachung der Großrechner installiert wurde, wobei das HIDS auf jedem Computersystem einzeln installiert werden muss.
Die Aufgabe eines Host-basierten Intrusion Detection Systems ist die Unterstützung eines Betriebssystem, dessen Informationen aus Kernel-Daten, Log-Dateien, Registry und sonstigen Systemdaten an das HIDS übertragen und dort überwacht werden. Der Angriff auf diese Informationen wird sofort vom System erkannt und der Alarm wird ausgelöst.
Das HIDS verfügt außerdem über zusätzliche Hilfsprogramme, bezeichnet als „System Integrity Verifiers“, die angriffsbedingte Veränderungen am Computersystem erkennen.
Ein HIDS bietet eine umfassende Systemüberwachung und kann über den Angriff detaillierte Angaben machen, aber ist einem DoS-Angriff nicht widerstandsfähig.
Ein Intrusion Detection System kann angegriffen werden, wenn aktive Elemente verfügbar sind. Der Angriff auf IDS kann deutlich abgemildert werden, wenn die Einbindung des Systems in ein Netzwerk in-line verläuft. 

Netzwerk-basierte Intrusion Detection Systeme (NIDS) analysieren und zeichnen alle Netzwerkpakete auf. Sie melden alle verdächtige Systemaktivitäten und versuchen aus dem Verkehr im Netzwerk einen Muster zu erkennen. Das Netzwerk-basierte IDS überwacht den gesamten Computernetz. Die Überwachung kann aber gestört werden, wenn die Bandbreite überlastet wird sowie in geswitchten Netzwerksystemen.

Hybride Intrusion Detection Systeme stellen eine Kombination aus HIDS und NIDS dar und gewährleisten dadurch eine bessere Angriffserkennung im Netzwerk. Dabei handelt es sich um host- und netzbasierte an ein zentrales System angeschlossene Sensoren.

Allgemein erfolgt die Angriffserkennung über den Vergleich der Angriffssignaturen oder über eine statistische Überprüfung. Signaturen und Filter eines Intrusion Detection Systems beschreiben dabei die Angriffsmuster.  
Von IDS werden mittlerweile auch heuristische Erkennungsmethoden angewendet, die zusätzlich unbekannte und ungewöhnliche Angriffe und Musterabweichungen erkennen.

Intrusion Prevention Systeme (IPS) generieren Angriffsereignisse und stellen zusätzlich
Funktionen zum Abwehr der Angriffe bereit. Ein IPS kann Datenpakete verwerfen, Daten ändern und Verbindungen unterbrechen. Dafür wird meistens eine Firewallverbindung verwendet.
Aktuelle IPS und IDS Versionen arbeiten mit einer Kombination aus Anomalieerkennung, Stateful inspection und Pattern Matching, womit sich die Abweichungen von festgelegten
Protokolldaten verhindern lassen.

Einer der Bestandteile des Intrusion Detection Systems ist der Honeypot.
Bei einem Honeypot handelt es sich um ein Computer im Netzwerksystem, der nicht regelmäßig benutzt wird und keine wichtige Daten enthält.  Durch die bewusst geöffnete Sicherheitslücken soll dieser Netzwerkteil die Aufmerksamkeit eines Hackers auf sich lenken und zum Angriff verleiten. Die Wahrscheinlichkeit, dass es bei den wahrgenommenen Aktivitäten um ein Angriff handelt, ist bei einem Honeypot sehr hoch. Außerdem kann ein Honeypot helfen, die Vorgehensweise des Hackers zu bestimmen und daraus die Verteidigungsstrategien zu entwickeln.
Ein Honeypot kann leider auch als Basis für die Angriffe auf das gesamte Netzwerk dienen.