Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 3 Wie Netzwerk- und Host-basierte IDS- und IPS-Techniken funktionieren

| Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Intrusion-Detection- und Prevention-Systeme helfen bei der automatisierten Angriffserkennung und Gefahrenabwehr. Nachdem wir uns im zweiten Teil dieser Artikelreihe bereits mit den IDS-Grundlagen befasst haben, stellen wir nun die verschiedenen technischen Ansätze vor.

Firmen zum Thema

Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.
Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.
( Archiv: Vogel Business Media )

Host-Intrusion-Detection- und -Prevention-Systeme (HIDS/HIPS) haben einen komplett anderen Aufbau als netzwerkbasierte Systeme. Bei der Angriffserkennung und -abwehr setzen diese Systeme an drei Punkten an:

  • Kernel-Schutz (System Call Hooking)
  • Überwachung von Konfigurationsdateien und/oder der Registrierung
  • Prüfung der Systemintegrität

Kernel-Schutz

Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Der Anwenderbereich (Userland), in dem sich Applikationen, Benutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystem-Routinen beheimatet sind.

Vereinfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv verwaltet) und dem Userland die System Calls sind. Diese Aufrufe werden von Applikationen und Programmen genutzt, um Zugriff auf Betriebssystem-Ressourcen zu erhalten.

Ein HIDS/HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernelspace) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valid sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar machen:

  • Verhindern des Ausführens von Code auf dem Stack
  • Überschreiben von System Calls (Linux – LKM)

Überwachung von Konfigurationsdateien und Registrierung

Ein weiterer wichtiger Bestandteil eines HIDS / HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernel-Konfigurationen (Linux). So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut identifizieren.

Inhalt

  • Seite 1: Kernel-Schutz
  • Seite 2: Systemintegrität prüfen
  • Seite 3: Network IDS/IPS
  • Seite 4: IDS vs. IPS vs. DIPS

(ID:2046941)