Intrusion Detection System
Intrusion Detection System - System zur Erkennung von Angriffen gegen Computersysteme oder Rechnernetze
Beschreibung
Motivation
- Rechner und Netzwerke schützen
- Sicherheit von Netzwerken und Computersystemen erhöhen
- Das Internet ist voll von böswilligen Akteuren
- die sich unsichere Netzwerke und Geräte zunutze machen wollen
- Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
- Phishing-Angriffe, in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
- Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
- Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
- Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
- Viele Router bieten Intrusion Detection als zusätzliche Sicherheitsfunktion
- Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
- Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
- Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
- Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).
Detection
- Intrusion = Eindringen
- Detection = Bemerken
Wo detektieren?
- Firewall
- Auf zu überwachenden System
Angriffe aufzeichnen
- Angriffe werden in Log-Dateien gesammelt
- Benutzern oder Administratoren mitgeteilt
- hier grenzt sich der Begriff von Intrusion Prevention System („Verhindern“, IPS) ab
- welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert
Nachteile
- Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
- Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
- Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
Prevention
- Intrusion-Prevention-Systeme (IPS)
- Intrusion-Detection-Systeme (kurz: IDS) bezeichnet
- die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
- die einen entdeckten Angriff abwehren können.
Praktischer Einsatz
- Herausforderungen
- Falsche Warnungen (Falsch positiv)
- Angriffe werden nicht entdecken (Falsch negativ)
Arbeitsweise
- Verfahren zur Einbruchserkennung
- Mustererkennung
- Vergleich mit bekannten Angriffssignaturen
- Heuristik
- Statistische Analyse
Mustererkennung
- Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
- Nachteil
- nur bekannte Angriffe werden erkannt
- Der Prozess ist in drei Schritte unterteilt
- Wahrnehmung
- eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
- Mustererkennung
- überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
- Intrusion Alert
- Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
- Dieser kann vielfältiger Natur sein.
- Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.
Muster-Erkennung
- Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
- Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
- „Intrusion Detection and Prevention System“ (auch kurz IDS, IPS oder IDPS)
Der Hauptunterschied zwischen IDS und IPS ist der Schutz
- während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
- Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
- Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
- Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
- Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices
Heuristik
- Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.
- Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.
- In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung.
- Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist.
Intrusion Prevention
Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern.
- Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.
IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.
- Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.
Darüber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich, wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection.
TMP
Siehe auch
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5