Intrusion Detection System: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
(44 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Intrusion Detection System''' - | '''Intrusion Detection System''' - Erkennung von Angriffen gegen [[Computersystem]]e oder [[Rechnernetz]]e | ||
== Beschreibung == | == Beschreibung == | ||
[[Intrusion Detection System]]e - Erkennung von Angriffen gegen [[Computersystem]]e oder [[Rechnernetz]]e | |||
=== Motivation === | === Motivation === | ||
Sicherheit von Netzwerken und Computersystemen erhöhen | |||
; | ; Unsichere Netzwerke und Geräte | ||
Böswilligen Akteure machen sich unsichere Netzwerke und Geräte zunutze | |||
; Unternehmen, Behörden, Privatanwender | |||
Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein. | |||
; Phishing-Angriffe | |||
* in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender. | |||
* Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken. | * Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken. | ||
; [[Router]] und [[IoT]] | |||
* Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger. | * Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger. | ||
* Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden. | ; Updates | ||
* Software- und [[Firmware-Updates]] für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden. | |||
; Viele Router bieten Intrusion Detection | ; Viele Router bieten Intrusion Detection | ||
Zusätzliche Sicherheitsfunktion | |||
* Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren. | * Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren. | ||
* Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene. | * Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene. | ||
Zeile 80: | Zeile 31: | ||
=== Detection === | === Detection === | ||
; Begriffe | |||
{| class="wikitable options big" | |||
! Begriff !! Beschreibung | |||
|- | |||
| Intrusion || Eindringen | |||
|- | |||
| Detection || Bemerken | |||
|} | |||
; Wo detektieren? | |||
{| class="wikitable options big" | |||
! Begriff !! Beschreibung | |||
|- | |||
| [[Firewall]] || | |||
|- | |||
| Auf zu überwachenden System | |||
|} | |||
=== Angriffe aufzeichnen === | |||
; Angriffe werden in Log-Dateien gesammelt | ; Angriffe werden in Log-Dateien gesammelt | ||
* Benutzern oder Administratoren mitgeteilt | * Benutzern oder Administratoren mitgeteilt | ||
; hier grenzt sich der Begriff von [[Intrusion Prevention System]] ( | ; hier grenzt sich der Begriff von [[Intrusion Prevention System]] ("Verhindern", '''IPS''') ab | ||
* welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert | * welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert | ||
=== Nachteile === | |||
* Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird | * Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird | ||
* Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line | * Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line - d.h. ohne gebundenen IP-Stack und IP-Adressen - in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerk/Hardware arbeiten, sind von dieser Gefahr nur begrenzt betroffen. | ||
* Im Gegensatz zu [[Intrusion Prevention System|Intrusion-Prevention-Systemen]] werden Angriffe nur erkannt, aber nicht verhindert. | * Im Gegensatz zu [[Intrusion Prevention System|Intrusion-Prevention-Systemen]] werden Angriffe nur erkannt, aber nicht verhindert. | ||
== Intrusion-Prevention-Systeme == | |||
; [[Intrusion-Prevention-Systeme]] ([[IPS]]) | |||
Systeme | |||
* die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen | * die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen | ||
* die einen entdeckten Angriff abwehren können | |||
=== Praktischer Einsatz === | === Praktischer Einsatz === | ||
Zeile 130: | Zeile 93: | ||
#* überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. | #* überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. | ||
# Intrusion Alert | # Intrusion Alert | ||
#* Treffen Ereignisse auf eines der Muster zu, so wird ein | #* Treffen Ereignisse auf eines der Muster zu, so wird ein "Intrusion Alert" (Einbruchs-Alarm) ausgelöst. | ||
#: Dieser kann vielfältiger Natur sein. | #: Dieser kann vielfältiger Natur sein. | ||
#* Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen. | #* Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen. | ||
Zeile 139: | Zeile 102: | ||
* Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen | * Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen | ||
; | ;"Intrusion Detection and Prevention System" (auch kurz IDS, IPS oder IDPS) | ||
Der Hauptunterschied zwischen IDS und IPS ist der Schutz | Der Hauptunterschied zwischen IDS und IPS ist der Schutz | ||
* während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein | * während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein | ||
Zeile 233: | Zeile 196: | ||
* Netzbasierte Sensoren (NIDS) | * Netzbasierte Sensoren (NIDS) | ||
== Intrusion Prevention == | |||
==== Funktion ==== | ==== Funktion ==== | ||
; Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen | ; Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen | ||
Zeile 239: | Zeile 202: | ||
* Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. | * Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. | ||
* Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. | * Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. | ||
* Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden. | * Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden. | ||
;Intrusion Detection und Intrusion Prevention Systeme sind Werkzeuge, die IT-Systeme oder Netze aktiv überwachen | |||
* Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten (...). | * Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten (...). | ||
* Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. | * Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. | ||
* Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. | * Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. | ||
* Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden. | * Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden. | ||
* Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.}} | * Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.}} | ||
Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern. | |||
* Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem ''Intrusion-Prevention-System'' gesprochen werden kann. | * Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem ''Intrusion-Prevention-System'' gesprochen werden kann. | ||
* Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 [[Mikrosekunde|Mikrosekunden]] | * Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 [[Mikrosekunde|Mikrosekunden]] | ||
* Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability"). | * Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability"). | ||
Zeile 269: | Zeile 237: | ||
=== Honeypot === | === Honeypot === | ||
; Ein [[Honeypot]] (Köder) ist ein [[Computer]] im Netzwerk, der [[Hacker]] verleiten soll, genau diesen anzugreifen | ; Ein [[Honeypot]] (Köder) ist ein [[Computer]] im Netzwerk, der [[Hacker]] verleiten soll, genau diesen anzugreifen | ||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
# [[Fail2ban]] | |||
# [[DenyHosts]] | |||
# [[Open Source Tripwire]] | |||
{{Special:PrefixIndex/ntrusion Detection System}} | |||
[[Kategorie: Intrusion Detection]] | [[Kategorie: Intrusion Detection]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 13. Mai 2025, 14:37 Uhr
Intrusion Detection System - Erkennung von Angriffen gegen Computersysteme oder Rechnernetze
Beschreibung
Intrusion Detection Systeme - Erkennung von Angriffen gegen Computersysteme oder Rechnernetze
Motivation
Sicherheit von Netzwerken und Computersystemen erhöhen
- Unsichere Netzwerke und Geräte
Böswilligen Akteure machen sich unsichere Netzwerke und Geräte zunutze
- Unternehmen, Behörden, Privatanwender
Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
- Phishing-Angriffe
- in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
- Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
- Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
- Updates
- Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
- Viele Router bieten Intrusion Detection
Zusätzliche Sicherheitsfunktion
- Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
- Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
- Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
- Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).
Detection
- Begriffe
Begriff | Beschreibung |
---|---|
Intrusion | Eindringen |
Detection | Bemerken |
- Wo detektieren?
Begriff | Beschreibung |
---|---|
Firewall | |
Auf zu überwachenden System |
Angriffe aufzeichnen
- Angriffe werden in Log-Dateien gesammelt
- Benutzern oder Administratoren mitgeteilt
- hier grenzt sich der Begriff von Intrusion Prevention System ("Verhindern", IPS) ab
- welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert
Nachteile
- Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
- Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line - d.h. ohne gebundenen IP-Stack und IP-Adressen - in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerk/Hardware arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
- Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
Intrusion-Prevention-Systeme
Systeme
- die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
- die einen entdeckten Angriff abwehren können
Praktischer Einsatz
- Herausforderungen
- Falsche Warnungen (Falsch positiv)
- Angriffe werden nicht entdecken (Falsch negativ)
Arbeitsweise
- Verfahren zur Einbruchserkennung
Methode | Beschreibung |
---|---|
Mustererkennung | Vergleich mit bekannten Angriffssignaturen |
Heuristik | Statistische Analyse |
Mustererkennung
- Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
- Nachteil: Nur bekannte Angriffe werden erkannt
- Der Prozess ist in drei Schritte unterteilt
- Wahrnehmung
- eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
- Mustererkennung
- überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
- Intrusion Alert
- Treffen Ereignisse auf eines der Muster zu, so wird ein "Intrusion Alert" (Einbruchs-Alarm) ausgelöst.
- Dieser kann vielfältiger Natur sein.
- Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.
- Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
- Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
- "Intrusion Detection and Prevention System" (auch kurz IDS, IPS oder IDPS)
Der Hauptunterschied zwischen IDS und IPS ist der Schutz
- während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
- Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
- Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
- Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
- Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices
Heuristik
Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.
- Ziele
Nicht nur bereits bekannte Angriffe erkennen, sondern auch
- ähnliche Angriffe
- Abweichen von einem Normalzustand
- In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung
- Verhalten besser voraussehbar
Intrusion Prevention
- Anstatt nur einen Alarm auszulösen
ist ein Intrusion Prevention System (kurz IPS) in der Lage
- Datenpakete zu verwerfen
- die Verbindung zu unterbrechen
- übertragenen Daten zu ändern
Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.
IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.
- Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.
Ferner werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich
- wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection
Architekturen
Host-basiert
- HIDS = Host-basiertes Intrusion Detection System
- Älteste Art von Angriffserkennungssystemen
- ursprünglich vom Militär entwickelt
- Sicherheit von Großrechnern
- Host-basierte IDS werden auf zu überwachenden Systemen installiert
- Ein HIDS muss das Betriebssystem unterstützen
- Es erhält seine Informationen aus
- Log-Dateien
- Kernel-Daten
- anderen Systemdaten wie etwa der Registrierungsdatenbank
- Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt
- System Integrity Verifiers
- Unterart der HIDS
- Mithilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden
- Vorteile
- Sehr spezifische Aussagen über den Angriff.
- Kann ein System umfassend überwachen.
- Nachteile
- Kann durch einen DoS-Angriff ausgehebelt werden.
- Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.
Netzwerk-basiert
- Netzwerk-basiertes Intrusion Detection System (NIDS)
- versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden
- Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen.
- Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
- Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.
- Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen.
- Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
- Vorteile
- Ein Sensor kann ein ganzes Netz überwachen.
- Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
- Nachteile
- Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
- Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
- Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)
Hybrid
- Hybride IDS verbinden beide Prinzipien
- höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen
- Netz- und hostbasierten Sensortypen
- , die an ein zentrales Managementsystem angeschlossen sind
- Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise
- Komponenten
- Management
- Hostbasierte Sensoren (HIDS)
- Netzbasierte Sensoren (NIDS)
Intrusion Prevention
Funktion
- Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen
- Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
- Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
- Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
- Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.
- Intrusion Detection und Intrusion Prevention Systeme sind Werkzeuge, die IT-Systeme oder Netze aktiv überwachen
- Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten (...).
- Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
- Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
- Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.
- Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.}}
Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
- Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.
- Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 Mikrosekunden
- Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
- Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben
- das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
- das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
- Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
- Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
- Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
- Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
- Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
- Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
- Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.
Open-Source-Implementationen
- Snort
- Untangle NIPS
- Lokkit
Honeypot
- Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen
Anhang
Siehe auch