Netzwerk-Grundlagen – Angriffserkennung, Teil 3

Wie Netzwerk- und Host-basierte IDS- und IPS-Techniken funktionieren

08.09.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.
Da verschiedene IPS-Techniken existieren, sollte man sich mit den Unterschieden der Systeme befassen.

Network IDS/IPS

Netzwerkbasierte Intrusion-Detection- und -Prevention-Systeme unterscheiden sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden:

Ereigniskomponente

Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergegeben.

Analysekomponente

An dieser Stelle werden die Daten, die von der Ereigniskomponente gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS-Installation (Dynamic Intrusion Response System) handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden.

Monitor und Darstellungskomponente

Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den Anwender / Administrator aufbereitet.

Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien schützt.

Inhalt

 

Über Enterasys Networks

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2046941 / Intrusion-Detection und -Prevention)