Intrusion Detection System

Aus Foxwiki

topic kurze Beschreibung

Beschreibung

Intrusion Detection System

Ein Intrusion Detection System ( „Eindringen“, IDS) bzw. Angriffserkennungssystem ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Rechnernetz gerichtet sind.

  • Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken und Computersystemen erhöhen.
  • Erkannte Angriffe werden meistens in Log-Dateien gesammelt und Benutzern oder Administratoren mitgeteilt; hier grenzt sich der Begriff von Intrusion Prevention System ( „Verhindern“, IPS) ab, welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert.

Intrusion Prevention System

Als Intrusion-Prevention-Systeme (kurz: IPS) werden Intrusion-Detection-Systeme (kurz: IDS) bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff abwehren können.

Architekturen

Man unterscheidet drei Arten von IDS:

  • Host-basierte IDS (HIDS)
  • Netzwerk-basierte IDS (NIDS)
  • Hybride IDS

Host-basierte IDS

HIDS stellen die älteste Art von Angriffserkennungssystemen dar.
  • Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren.
  • Ein HIDS muss auf jedem zu überwachenden System installiert werden.
  • Der Begriff „Host“ ist im Sinne der Informationstechnik zu verstehen, und nicht etwa als Synonym eines Großrechners.
Ein HIDS muss das Betriebssystem unterstützen.
  • Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank.
  • Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt.
  • Eine Unterart der HIDS sind sogenannte „System Integrity Verifiers“, die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.
Vorteile
  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.
Nachteile
  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basierte IDS

NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden.
  • Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen.
  • Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
  • Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.
  • Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen.
  • Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
Vorteile
  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
Nachteile
  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
  • Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybride IDS

Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können.
  • Man spricht in diesem Zusammenhang von netz- und hostbasierten Sensortypen, die an ein zentrales Managementsystem angeschlossen sind.
  • Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise.
Ein hybrides IDS besteht zumeist aus folgenden Komponenten
  • Management
  • Hostbasierte Sensoren (HIDS)
  • Netzbasierte Sensoren (NIDS)

Intrusion Prevention System

Funktion

Intrusion-Detection- und Intrusion-Prevention-Systeme sind Werkzeuge, die den Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen.
  • Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
  • Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
  • Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
  • Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.[1]
  • Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
  • Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.
  • Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 Mikrosekunden[2].
  • Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben
  • das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
  • das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
  • Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
  • Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
  • Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
    • Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
    • Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
    • Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.

Open-Source-Implementationen

  • Snort
  • Untangle NIPS
  • Lokkit

Anwendungen

Fehlerbehebung

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Siehe auch

  1. Fail2ban
  2. DenyHosts
  3. Open Source Tripwire

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

TMP

Nachteile

  • Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird.
  • Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
  • Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.

Honeypot

Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen
  • Auf diesem Computer befinden sich weder wichtige Daten noch Dienste, die regulär genutzt werden.
  • Er dient lediglich dazu, die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken, indem bewusst Sicherheitslöcher geöffnet bleiben.
  • Werden Aktivitäten auf diesem Computer wahrgenommen, handelt es sich höchstwahrscheinlich um einen Angriff.
  • Außerdem kann mit Hilfe eines Honeypots mehr über die Vorgehensweise des Angreifers erfahren werden.
  • Aus den beobachteten Angriffen können dann Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden.
  • Der Honeypot ist damit ein weiterer Bestandteil des IDS.
  • Das Konzept des Honeypots hat allerdings einen Nachteil: Ein Honeypot kann als Eintrittspunkt dienen, um weitere Angriffe auf das Netzwerk durchzuführen.
Abgerufen von „https://wiki.foxtom.de/index.php?title=Intrusion_Detection_System&oldid=55384