Netzwerk-Grundlagen – Angriffserkennung, Teil 3

Wie Netzwerk- und Host-basierte IDS- und IPS-Techniken funktionieren

08.09.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.
Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.

Intrusion-Detection- und Prevention-Systeme helfen bei der automatisierten Angriffserkennung und Gefahrenabwehr. Nachdem wir uns im zweiten Teil dieser Artikelreihe bereits mit den IDS-Grundlagen befasst haben, stellen wir nun die verschiedenen technischen Ansätze vor.

Host-Intrusion-Detection- und -Prevention-Systeme (HIDS/HIPS) haben einen komplett anderen Aufbau als netzwerkbasierte Systeme. Bei der Angriffserkennung und -abwehr setzen diese Systeme an drei Punkten an:

  • Kernel-Schutz (System Call Hooking)
  • Überwachung von Konfigurationsdateien und/oder der Registrierung
  • Prüfung der Systemintegrität

Kernel-Schutz

Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Der Anwenderbereich (Userland), in dem sich Applikationen, Benutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystem-Routinen beheimatet sind.

Vereinfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv verwaltet) und dem Userland die System Calls sind. Diese Aufrufe werden von Applikationen und Programmen genutzt, um Zugriff auf Betriebssystem-Ressourcen zu erhalten.

Ein HIDS/HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernelspace) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valid sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar machen:

  • Verhindern des Ausführens von Code auf dem Stack
  • Überschreiben von System Calls (Linux – LKM)

Überwachung von Konfigurationsdateien und Registrierung

Ein weiterer wichtiger Bestandteil eines HIDS / HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernel-Konfigurationen (Linux). So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut identifizieren.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046941 / Intrusion-Detection und -Prevention)