Netzwerkbasierte Intrusion Detection-Systeme
Netzwerkbasierte Intrusion Detection-Systeme (NIDS) gibt es schon seit Urzeiten. Sie werden normalerweise als separate Netzwerk-„Sniffer“ eingesetzt, die den Traffic beim Durchgang durch den Rechner analysieren, wobei dieser als Sensor fungiert. Ein NIDS gleicht den Traffic mit bereits bekannten Angriffen ab und warnt den Administrator bei allen verdächtigen Vorkommnissen.
Laut Robert Ferrell, einem Experten für Systemsicherheit des US-Innenministeriums, liegt das Problem der NIDS in ihrer Verwaltung.
„Die NIDS oder auch alle anderen IDS sind von allen verfügbaren Security-Tools wohl die am häufigsten missverstandenen und missbräuchlich eingesetzten Anwendungen überhaupt“, so Ferrell. „Ohne eine intelligente und strategisch durchdachte Definition der Tests, ohne ein tiefgehendes Verständnis der Algorithmen und der bestehenden Netzwerk-Topologie sowie ohne Auswertung der Ergebnisse durch einen Fachmann ist ein IDS nur unglaublich teurer Müll, der wertvollen Speicherplatz belegt und Unmengen wertloser Daten ausspuckt.“
Als man bei Gartner, wo man die IDS zunächst befürwortet hatte, schließlich solcherlei Tools verwarf, benannten viele Hersteller diese kurzerhand in „Intrusion Prevention Systems“ oder IPS um. Dabei handelt es sich aber im Grunde um dasselbe System mit einigen Echtzeit-Heuristiken zur Erkennung von neuen oder unbekannten Angriffsarten als Beigabe. Das IPS kann damit den bösartigen Inhalt aus dem gefährlichen Datenpaket entfernen oder einfach blockieren. Diese Verfahren wurden zwar auch in NIDS-Systemen genutzt, aber die Marketing-Manager waren sich nun einmal einig, dass „Vorbeugung“ besser ist als „Erkennung“. Und so setzte sich IPS durch.
Eine weitere Einschränkung der NIDS ist die Tatsache, dass sie keine verschlüsselten Daten prüfen können. Das heißt, sie sind für die Entdeckung von Angriffen gegen SSL-Webserver vollkommen nutzlos. Einige Hersteller bieten zwar NIDS-Produkte an, die SSL-Daten entschlüsseln können, aber der Administrator muss in diesem Fall das System erst mit dem privaten Codeschlüssel des Servers füttern, was einigen Experten ein Dorn im Auge ist. Denn das bedeutet, dass die NIDS selbst zu einem Schwachpunkt werden.
Eine bessere Alternative könnte ein SSL-Accelerator sein. Das ist ein Gerät, das vor dem Webserver installiert wird und alle verschlüsselten Daten bearbeitet. Zwischen dem Accelerator und dem Webserver werden die Daten in Klartext übermittelt, der dann vom NIDS analysiert werden kann.
Hostbasierte Intrusion Detection-Systeme
Anders als die NIDS wurden hostbasierte Intrusion Detection-Systeme (HIDS) entwickelt, um tatsächliche sicherheitskritische Aktionen zu entdecken, und nicht den Versuch derselben. Sie werden auf dem zu schützenden Host installiert.
Wenn ein bösartiger Hacker in Ihr System eindringt und eine Ihrer Systemdateien durch eine andere mit einem schädlichen Code ersetzt, wird das von einem HIDS bemerkt. Das HIDS liegt sozusagen auf der Lauer und hält Ausschau nach ungewöhnlichen Aktionen im Systemspeicher.
- Datenschutz bis ins Detail: Auf allen Stufen gut abgesichert?
- Schwachstellen-Scanner
- Penetrationstests und Code-Audits
- Authentifizierung und Single Sign-On
- Firewalls
- Virtual Private Networks
- Intrusion Detection
- Patches, Antivirenprogramme und Ausführungsberechtigungen
- Honeypots und Honeynets
- Biometrik, Token und Smartcards
- Fazit und Fallstudie
Neueste Kommentare
Noch keine Kommentare zu Datenschutz bis ins Detail: Auf allen Stufen gut abgesichert?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.