Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 3

Wie Netzwerk- und Host-basierte IDS- und IPS-Techniken funktionieren

Seite: 3/4

Firmen zum Thema

Network IDS/IPS

Netzwerkbasierte Intrusion-Detection- und -Prevention-Systeme unterscheiden sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden:

Ereigniskomponente

Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergegeben.

Analysekomponente

An dieser Stelle werden die Daten, die von der Ereigniskomponente gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS-Installation (Dynamic Intrusion Response System) handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden.

Monitor und Darstellungskomponente

Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den Anwender / Administrator aufbereitet.

Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien schützt.

Inhalt

  • Seite 1: Kernel-Schutz
  • Seite 2: Systemintegrität prüfen
  • Seite 3: Network IDS/IPS
  • Seite 4: IDS vs. IPS vs. DIPS

(ID:2046941)