Nids

Nids

Ein Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen, die an ein Computersystem oder Computernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen.

Inhaltsverzeichnis

Architekturen

Man unterscheidet drei Arten von IDS:

Host-Basierte IDS

Sie stellen die älteste Art von Intrusion Detection Systemen dar. Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren. Ein HIDS muss auf jedem zu überwachenden System installiert werden. Der Begriff "Host" darf allerdings nicht missverstanden werden. In diesem Kontext ist als Host jedes System gemeint, auf welchem ein IDS installiert ist, und nicht lediglich der Begriff "Host" als Synonym für einen Großrechner.

Ein HIDS muss das Betriebssystem unterstützen. Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registry. Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt. Eine Unterart der HIDS sind sogenannte "System Integrity Verifiers", die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.

Vorteile:

  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.

Nachteile:

  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-Basierte IDS

NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden. Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen. Da in der heutigen Zeit überwiegend das TCP/IP-Protokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen. Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden. Jedoch kann die Datenmenge eines modernen 1 GBit-LANs die Bandbreite des Sensors übersteigen. Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.

Vorteile:

  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Nachteile:

  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).

Hybride IDS

Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können. Man spricht in diesem Zusammenhang von netz- und hostbasierten Sensortypen, die an ein zentrales Managementsystem angeschlossen sind. Viele heute eingesetzte IDS verfügen über eine solche, hybride Funktionsweise.

Ein hybrides IDS besteht zumeist aus folgenden Komponenten:

  • Management.
  • Hostbasierte Sensoren (HIDS).
  • Netzbasierte Sensoren (NIDS).

Funktionsweise

Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die so genannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.

Der komplette Prozess unterteilt sich dabei in drei Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst. Dieser kann vielfältiger Natur sein. Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Bild:ids_funk.gif

Andere IDS verwenden heuristische Methoden um auch bisher unbekannte Angriffe zu erkennen. Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.

In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung. Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist. Ein Hauptproblem beim praktischen Einsatz von IDS ist, dass sie entweder viele falsche Warnungen (sog. false positives) generieren oder einige Angriffe nicht entdecken (sog. false negatives).

Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern. Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte, durch das IPS definierte Regeln, angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung. Damit lassen sich Abweichungen von der im RFC-Standard (Request for Comment) festgelegten Protokollspezifikation erkennen und verhindern.

Darüber hinaus werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich, wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection.

Nachteile

  • Da ein Intrusion Detection System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird. Intrusion Detection Systeme, die sich in-line – d. h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen sind von dieser Gefahr nur begrenzt betroffen.

Honeypot

Ein Honeypot ist ein Computer im Netzwerk, der Hacker verleiten soll genau diesen anzugreifen. Auf diesem Computer befinden sich weder wichtige Daten noch Dienste, die regulär genutzt werden. Er dient lediglich dazu, die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken, indem bewusst Sicherheitslöcher geöffnet bleiben. Werden Aktivitäten auf diesem Computer wahrgenommen, handelt es sich höchst wahrscheinlich um einen potentiellen Angriff. Außerdem kann mit Hilfe eines Honeypots mehr über die Vorgehensweise des Angreifers erfahren werden. Aus den beobachteten Angriffen können dann Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden. Der Honeypot ist damit ein weiterer Bestandteil des IDS. Das Konzept des Honeypots hat allerdings einen entscheidenden Nachteil: Er kann als Einsprungpunkt für den Hacker dienen, von dem aus weitere Angriffe auf das Netzwerk gestartet werden.

IDS Software

Auf dem freien Markt gibt es eine ganze Reihe von kommerziellen Intrusion Detection Systemen. Aber auch freie Software ist dort zu finden:

  • Snort ist zum Beispiel ein kostenloses IDS für Unix/Linux-, Mac OS X- und Windows-Systeme. Snort kann mittels diverser Module zur Auswertung der Daten (bsp. ACID) oder Module zur Intrusion Prevention (bsp. SnortSAM) aufgewertet werden.
  • Samhain ist ein weiteres Host-basierendes System, das auf vielen Plattformen läuft. Viele Linux-Distributionen enthalten bereits vorgefertigte Pakete dieser Software. Durch kryptographische Signaturen können Verfälschungen an Konfigurations-Dateien und der Kommunikation über Netzwerk aufgedeckt werden.
  • Prelude als hybrides IDS welches diverse andere Programmpakete (Snort, Samhain u. a.) integriert, steht ebenso für die Plattformen Linux, BSD, Solaris und OSX zur Verfügung (auch für unterschiedliche Architekturen wie x86, PowerPC, SPARC usw.).
  • Eine andere Entwicklung ist das Projekt "Hogwash". Dieses IDS arbeitet transparent auf Layer 2 und bindet sich somit mit keiner IP-Adresse an angeschlossene Netzwerke. Es wird dadurch schwerer angreifbar und ermöglicht es, ohne aufwendige Konfiguration der beidseitig angeschlossenen Systeme eingesetzt zu werden.
  • Xray IDS ist ein auf Windows ausgelegtes Host based IDS. Es ist das erste System, dass speziell für Windows entwickelt wurde.

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • NIDS — can refer to: National Institute for Discovery Science Network intrusion detection system, a system that tries to detect malicious activity by monitoring network traffic This disambiguation page lists articles associated with the same title. If… …   Wikipedia

  • NIDS — NIDS, Sistema de detección de intrusos en una Red. Busca detectar anomalías que inican un riesgo potencial, analizando el trafico en la red. Puede tomar medidas protectoras …   Enciclopedia Universal

  • NIDS — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… …   Wikipédia en Français

  • NIDS — Este artículo o sección sobre informática necesita ser wikificado con un formato acorde a las convenciones de estilo. Por favor, edítalo para que las cumpla. Mientras tanto, no elimines este aviso. También puedes ayudar wikificando otros… …   Wikipedia Español

  • Nids — The acronym NIDS can refer to:*Network intrusion detection system, a system that tries to detect malicious activity by monitoring network traffic *Neuro Immune Dysfunction Syndromes, a set of related disorders characterized by complex… …   Wikipedia

  • Nids d'hirondelle — Nid d hirondelle Soupe aux nids d hirondelle servie dans un bol typique. Le nid dit d hirondelle (« swallows nest » pour les anglophones) apprécié des gastronomes en Asie n est en fait pas produit par des hirondelles, mais par quelques… …   Wikipédia en Français

  • Nids d'oiseaux — Nid « Nid d oiseau » redirige ici. Pour stade olympique de Pékin, voir Stade national de Pékin.  Ne doit pas être confondu avec Nid d aigle …   Wikipédia en Français

  • Nids-de-poule — Nid de poule Nid de poule de Villeray Un nid de poule ou nid de poule[1] (pl. « nids de poule ») est une cavité dans la chaussée aux abords découpés qui se crée lorsque le revêtement routier s effrite et que les matériaux de rembla …   Wikipédia en Français

  • nids-d'abeilles — ● nid d abeilles, nids d abeilles nom masculin Tissu de coton qui présente de petites alvéoles formées par tissage. Point de broderie exécuté au cordonnet sur un plissé de tissu, et qui retient les plis suivant un dessin géométrique. Matériau… …   Encyclopédie Universelle

  • nids-de-pie — ● nid de pie, nids de pie nom masculin Retranchement établi par l assaillant sur une brèche, afin de s y maintenir (XVIe XVIIe s.). Poste d observation placé assez haut sur le premier mât de certains bâtiments et où se tient l homme de vigie. ●… …   Encyclopédie Universelle

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”