Datenschutz bis ins Detail: Auf allen Stufen gut abgesichert?

Netzwerkbasierte Intrusion Detection-Systeme

Netzwerkbasierte Intrusion Detection-Systeme (NIDS) gibt es schon seit Urzeiten. Sie werden normalerweise als separate Netzwerk-„Sniffer“ eingesetzt, die den Traffic beim Durchgang durch den Rechner analysieren, wobei dieser als Sensor fungiert. Ein NIDS gleicht den Traffic mit bereits bekannten Angriffen ab und warnt den Administrator bei allen verdächtigen Vorkommnissen.

Laut Robert Ferrell, einem Experten für Systemsicherheit des US-Innenministeriums, liegt das Problem der NIDS in ihrer Verwaltung.

„Die NIDS oder auch alle anderen IDS sind von allen verfügbaren Security-Tools wohl die am häufigsten missverstandenen und missbräuchlich eingesetzten Anwendungen überhaupt“, so Ferrell. „Ohne eine intelligente und strategisch durchdachte Definition der Tests, ohne ein tiefgehendes Verständnis der Algorithmen und der bestehenden Netzwerk-Topologie sowie ohne Auswertung der Ergebnisse durch einen Fachmann ist ein IDS nur unglaublich teurer Müll, der wertvollen Speicherplatz belegt und Unmengen wertloser Daten ausspuckt.“

Als man bei Gartner, wo man die IDS zunächst befürwortet hatte, schließlich solcherlei Tools verwarf, benannten viele Hersteller diese kurzerhand in „Intrusion Prevention Systems“ oder IPS um. Dabei handelt es sich aber im Grunde um dasselbe System mit einigen Echtzeit-Heuristiken zur Erkennung von neuen oder unbekannten Angriffsarten als Beigabe. Das IPS kann damit den bösartigen Inhalt aus dem gefährlichen Datenpaket entfernen oder einfach blockieren. Diese Verfahren wurden zwar auch in NIDS-Systemen genutzt, aber die Marketing-Manager waren sich nun einmal einig, dass „Vorbeugung“ besser ist als „Erkennung“. Und so setzte sich IPS durch.

Eine weitere Einschränkung der NIDS ist die Tatsache, dass sie keine verschlüsselten Daten prüfen können. Das heißt, sie sind für die Entdeckung von Angriffen gegen SSL-Webserver vollkommen nutzlos. Einige Hersteller bieten zwar NIDS-Produkte an, die SSL-Daten entschlüsseln können, aber der Administrator muss in diesem Fall das System erst mit dem privaten Codeschlüssel des Servers füttern, was einigen Experten ein Dorn im Auge ist. Denn das bedeutet, dass die NIDS selbst zu einem Schwachpunkt werden.

Eine bessere Alternative könnte ein SSL-Accelerator sein. Das ist ein Gerät, das vor dem Webserver installiert wird und alle verschlüsselten Daten bearbeitet. Zwischen dem Accelerator und dem Webserver werden die Daten in Klartext übermittelt, der dann vom NIDS analysiert werden kann.

Hostbasierte Intrusion Detection-Systeme

Anders als die NIDS wurden hostbasierte Intrusion Detection-Systeme (HIDS) entwickelt, um tatsächliche sicherheitskritische Aktionen zu entdecken, und nicht den Versuch derselben. Sie werden auf dem zu schützenden Host installiert.

Wenn ein bösartiger Hacker in Ihr System eindringt und eine Ihrer Systemdateien durch eine andere mit einem schädlichen Code ersetzt, wird das von einem HIDS bemerkt. Das HIDS liegt sozusagen auf der Lauer und hält Ausschau nach ungewöhnlichen Aktionen im Systemspeicher.

Page: 1 2 3 4 5 6 7 8 9 10 11

ZDNet.de Redaktion

Recent Posts

Adieu Lightning

Das langsame Sterben des iPhone Lightning-Anschlusses steht bevor. Die Frage ist: Wie wird Apple darauf…

2 Wochen ago

Linux-Botnet schürft Kryptowährungen

Ein Linux-Botnet namens Panchan hat einen neuen Weg gefunden, sich auf neue Geräte zu verbreiten.…

2 Wochen ago

Interpol-Razzia: 2.000 Personen verhaftet

Internationale Polizeibehörden einschließlich der Volksrepublik China haben in einer Razzia 2.000 Personen verhaften und Millionen…

2 Wochen ago

Was Rotkäppchen mit Cybersicherheit zu tun

Das altbekannte Märchen von Rotkäppchen erzählt Kaspersky in neuer Gestalt, um auf die Gefahr durch…

2 Wochen ago

Neue Android-Malware Malibot

Die neue Android-Malware Malibot stiehlt Passwörter, Bankdaten und Kryptowährungs-Brieftaschen von Nutzern - und zwar unter…

2 Wochen ago

Ubuntu Core bringt Echtzeitverarbeitung für Linux IoT

Das neue Ubuntu Core 22 von Canonical Ubuntu unterstützt jetzt Echtzeitberechnungen in der Robotik und…

2 Wochen ago