Kapitel 9. Intrusion Detection

Wertvolle Güter müssen vor Diebstahl und Zerstörung geschützt werden. Einige Häuser sind mit Alarmanlagen ausgerüstet, die Einbrecher abwehren, Behörden nach einem Einbruch benachrichtigen oder sogar die Besitzer bei einem Hausbrand warnen können. Solche Maßnahmen sind notwendig, um die Integrität der Häuser und die Sicherheit der Hausbesitzer zu gewährleisten.

Die gleiche Gewährleistung von Integrität und Sicherheit sollte auch auf Computersysteme und Daten angewandt werden. Das Internet hat den Informationsfluss, von persönlichen bis zu finanziellen Daten möglich gemacht. Zur gleichen Zeit hat es genauso viele Gefahren heraufbeschworen. Bösartige Benutzer und Cracker suchen sich verletzbare Angriffsziele wie ungepatchte Systeme, mit Trojanern infizierte Systeme und Netzwerke mit unsicheren Services. Es wird ein Alarm benötigt, der Administratoren und Mitglieder des Sicherheitsteams warnt, dass ein Bruch vorgefallen ist, so dass diese in Echtzeit reagieren können. Intrusion Detection Systems wurden als ein solches Alarmsystem entworfen.

9.1. Definition der Intrusion Detection Systeme

Ein Intrusion Detection System (IDS) ist ein aktiver Prozess oder ein aktives Gerät, das die System- und Netzwerkaktivität auf unbefugte Zugriffe und/oder bösartige Aktivitäten analysiert. Die Methode, wie IDS Anomalien entdeckt, kann variieren; das ultimative Ziel einer jeden IDS ist jedoch das Ertappen auf frischer Tat, bevor ernsthafte Schäden am System angerichtet werden.

IDS schützen ein System vor einer Attacke, vor Missbrauch und Kompromittierung. Sie können auch Netzwerkaktivitäten überwachen, Netzwerk- und Systemkonfigurationen auf Schwachstellen prüfen, Datenintegrität analysieren und vieles mehr. Abhängig von der Methode, die Sie einsetzen möchten, gibt es verschiedene direkte und indirekte Vorteile von IDS.

9.1.1. Typen von IDS

Das Verständnis, was ein IDS ist, und welche Funktionen bereitgestellt werden, ist der Schlüssel zu der Entscheidung, welche Art IDS in Ihrer Computersicherheitspolice angemessen ist. In diesem Abschnitt werden die Konzepte hinter IDS, die Funktionalitäten jeder IDS-Art und das Auftauchen hybrider IDS, die mehrere Erkennungstaktiken und Tools in einem Paket integrieren, behandelt.

Einige IDS sind wissens-basiert, und warnen im Voraus Sicherheitsadministratoren vor einem Einbruch mit Hilfe einer Datenbank über häufige Attacken. Alternativ dazu gibt es verhaltens-basierte IDS, die Ressourcen auf Anomalien untersuchen, was meistens ein Zeichen für bösartige Aktivitäten ist. Einige IDS sind Standalone-Services, die im Hintergrund arbeiten und passiv auf Aktivitäten abhören und alle verdächtigen Pakete von außen aufzeichnen. Andere kombinieren Standard-System-Tools, veränderte Konfigurationen und detailliertes Logging mit der Intuition eines Administrators und der Erfahrung, ein leistungsstarkes Einbruch-Erkennungs-Kit zu erstellen. Das Auswerten dieser vielen Intrusion-Detection-Technologien kann Ihnen beim Finden des für Sie richtigen Programms helfen.