Netzwerk-Grundlagen – Angriffserkennung, Teil 3

Wie Netzwerk- und Host-basierte IDS- und IPS-Techniken funktionieren

08.09.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.
Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.

Prüfung der Systemintegrität

Systemintegrität – Kernel-Schutz
Systemintegrität – Kernel-Schutz

Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion Detection and Prevention Systems. Dadurch kann sichergestellt werden, dass wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde. Das HIDS/HIPS bildet hierzu zu einem Zeitpunkt, an dem das zu überwachende Systemtool noch integer ist, eine SHA-1- oder MD5-Checksumme des Binärcodes und agiert, sobald sich diese Checksumme ändern.

Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an, die didaktisch sehr einfach über den Enterasys EMS zu verwalten sind. Damit können die in diesem Beitrag beschriebenen Features einfach und sicher realisiert werden.

Enterasys HIPS beschränken sich dabei jedoch nicht nur auf den hier beschriebenen Betriebssystem- und Systemapplikationsschutz. Für einige businessrelevante Gebiete (z.B. Webserver wie Internet Information Server und Apache) gibt es eigene Application-Intrusion-Prevention-Systeme, die für einen idealen Schutz der entsprechenden Anwendung sorgen.

Erweiterungsmöglichkeiten des HIDS

Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development Kit) an, das von Kunden, Partnern oder vom Enterasys Professional Services Team genutzt werden kann, um zusätzliche Leistungsmerkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher integrieren.

Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätzliche Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bibliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der Enterasys Enterprise Management Suite beschäftigen oder mit sicherheitsbezogenen Themen wie Authentifizierung und Verschlüsselung – er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren.

Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogramme, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu entwickeln. Durch die neu geschaffene .Net-Schnittstelle ist es nun auch möglich, alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte integriert, innerhalb der Enterasys Defense Suite zu nutzen.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2046941 / Intrusion-Detection und -Prevention)