Intrusion Detection System
Intrusion Detection System - System zur Erkennung von Angriffen gegen Computersysteme oder Rechnernetze
Beschreibung
Intrusion Detection System dinen der Erkennung von Angriffen gegen Computersysteme oder Rechnernetze
Motivation
- Sicherheit von Netzwerken und Computersystemen erhöhen
- Das Internet ist voll von böswilligen Akteuren
- Machen sich unsichere Netzwerke und Geräte zunutze
- Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
- Phishing-Angriffe, in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
- Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
- Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
- Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
- Viele Router bieten Intrusion Detection als zusätzliche Sicherheitsfunktion
- Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
- Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
- Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
- Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).
Detection
- Intrusion = Eindringen
- Detection = Bemerken
Wo detektieren?
- Firewall
- Auf zu überwachenden System
Angriffe aufzeichnen
- Angriffe werden in Log-Dateien gesammelt
- Benutzern oder Administratoren mitgeteilt
- hier grenzt sich der Begriff von Intrusion Prevention System („Verhindern“, IPS) ab
- welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert
Nachteile
- Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
- Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
- Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
- Intrusion-Prevention-Systeme (IPS)
- Intrusion-Detection-Systeme (kurz: IDS) bezeichnet
- die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
- die einen entdeckten Angriff abwehren können.
Praktischer Einsatz
- Herausforderungen
- Falsche Warnungen (Falsch positiv)
- Angriffe werden nicht entdecken (Falsch negativ)
Arbeitsweise
- Verfahren zur Einbruchserkennung
Methode | Beschreibung |
---|---|
Mustererkennung | Vergleich mit bekannten Angriffssignaturen |
Heuristik | Statistische Analyse |
Mustererkennung
- Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
- Nachteil: Nur bekannte Angriffe werden erkannt
- Der Prozess ist in drei Schritte unterteilt
- Wahrnehmung
- eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
- Mustererkennung
- überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
- Intrusion Alert
- Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
- Dieser kann vielfältiger Natur sein.
- Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.
- Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
- Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
- „Intrusion Detection and Prevention System“ (auch kurz IDS, IPS oder IDPS)
Der Hauptunterschied zwischen IDS und IPS ist der Schutz
- während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
- Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
- Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
- Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
- Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices
Heuristik
Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.
- Ziele
Nicht nur bereits bekannte Angriffe erkennen, sondern auch
- ähnliche Angriffe
- Abweichen von einem Normalzustand
- In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung
- Verhalten besser voraussehbar
Intrusion Prevention
- Anstatt nur einen Alarm auszulösen
ist ein Intrusion Prevention System (kurz IPS) in der Lage
- Datenpakete zu verwerfen
- die Verbindung zu unterbrechen
- übertragenen Daten zu ändern
Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.
IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.
- Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.
Ferner werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich
- wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Anwendung
Fehlerbehebung
Konfiguration
Dateien
Anhang
Siehe auch
Siehe auch
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5