Was verschiedene Intrusion Detection Systeme tatsächlich leisten

IDS – Angreifer und Anomalien im Netzwerk erkennen

23.05.2008 | Autor / Redakteur: Marko Rogge / Stephan Augsten

Verschiedene Kriterien entscheiden über das passende Intrusion Detection System.
Verschiedene Kriterien entscheiden über das passende Intrusion Detection System.

Unter Fachleuten sind Intrusion Detection Systeme fast nur noch unter der Abkürzung IDS bekannt. Unterschiedliche Formen und Varianten existieren derzeit davon auf dem Software- und Hardwaremarkt. Security-Insider.de gibt Ihnen einen kleinen Einblick und hebt hervor, welches IDS für welchen Einsatz am sinnvollsten ist.

IDS ist die Abkürzung für Intrusion Detection System. Im einzelnen bedeutet es, dass es sich hier um sehr wirksame und durchaus lernfähige Abwehr- und Meldesysteme für Netzwerke handelt. Diese IDS arbeiten fast immer in Verbindung mit Firewallsystemen, da somit ein erhöhter Schutzgrad erreicht werden kann.

Eine sehr wirksame Kombination scheint hierbei fast immer aus Firewall, IDS sowie einem zusätzlichen Intrusion Response System (IRS) zu bestehen. IRS sind eine Weiterentwicklung von IDS und leiten bei einem Einbruchsversuch aktive Gegenmaßnahmen ein.

Hierbei ist es von großem Vorteil, dass IRS sowie IDS bereits reagieren können, bevor ein Systemadministrator die Auswertung eines Angriffes vorgenommen hat. Dieser Vorgang kann durchaus sehr viel Zeit in Anspruch nehmen – durch IDS/IRS ist es möglich, wertvolle Zeit einzusparen.

Regelauszug UDP Flood des IDS/IPS Snort:

alert udp $EXTERNAL_NET !53 <> $HOME_NET !53 (msg:“COMMUNITY DOS Single-<a href='/index.cfm?pid=8087&pk=184243&keyword=Byte' id ='glossar' title='Schlagen Sie diesen Begriff in unserem Glossar nach.'>Byte</a> UDP Flood“; content:“0“; dsize:1; classtype:attempted-dos; threshold: type threshold, track by_dst, count 200, seconds 60; sid:100000923; rev:1;)

IDS und IRS können in Echtzeit arbeiten, schneller auswerten und bereits einen „Gegenschlag“ in Auftrag geben, der den Angreifer schon am IDS oder IRS zum Erliegen bringen sollte. Somit ist eine Leistung erreicht, die es dem Angreifer nicht mehr ermöglicht in das System vorzudringen, welches er angreifen möchte. Es gibt verschiedene IDS- oder IRS-Arten, auf die wir hier eingehen und ein wenig genauer erörtern möchten.

Angemerkt sei an dieser Stelle, dass der Einsatz von IRS in Deutschland aus rechtlicher Sicht nicht unumstritten ist. Daher ist es unbedingt ratsam, sich vor dem Einsatz eines solchen Sicherheitssystems darüber zu informieren, ob dies gesetzlich erlaubt ist.

Ein so genannter „Gegenschlag“ entspräche dabei einem Angriff, der nach § 303b des deutschen StGB strafbar ist. Tatbestand wäre hierbei Computersabotage, da eine Störung einer Computeranlage herbeigeführt werden soll.

Seite 2: NNIDS – Network Node-based Intrusion Detection System

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012939 / Intrusion-Detection und -Prevention)