Login
Newsletter
Werbung
Mo, 22. Januar 2001, 00:00
Workshops::Firewall & Sicherheit

Firewall - Teil 4

6.4 Intrusion Detection Systems6

Einen weitreichenderen Schutz gegen Angriffe aus dem Internet bieten Intrusion Detection Systeme (IDS). Ein Intrusion Detection System nutzt automatisierte und intelligente Werkzeuge, um Einbruchsversuche in Echtzeit zu entdecken und zu verhindern.

Es existieren zwei unterschiedliche Typen von IDS:

  • Systeme, die auf Regeln basieren (Rule-based systems)

Sie verlassen sich auf Bibliotheken und Datenbanken, die Informationen über bekannte Angriffe und Angriffssignaturen enthalten. Erfüllt ein eingehendes Paket ein bestimmtes Kriterium, erkennt das IDS darin einen Angriff und schlägt Alarm. Diese Art von IDS hat einen entscheidenden Nachteil: Es erkennt nur Angriffe, die in ihren Libraries und Datenbanken gespeichert sind. Diese müssen ständig auf den neuesten Stand gebracht werden, um wirkungsvoll zu sein. Außerdem ist entscheidend, wie eng die einzelnen Angriffssignaturen gesetzt werden. Sind diese zu spezifisch, wird ein Angriff als solcher erkannt, ein anderer, der mit dem vorherigen Ähnlichkeiten hat, jedoch nicht.

  • Adaptive Systeme (Adaptive systems)

Diese Art von IDS benutzt fortgeschrittenere Techniken, wie z.B. Künstliche Intelligenz, um nicht nur bekannte Angriffe zu erkennen, sondern auch neue. Ihr Nachteil besteht in ihrem hohen Preis, verursacht durch die hohe Komplexität (sie verwenden höhere Mathematik und Statistik) des Systems.

Bei den regelbasierten Systemen gibt es zwei unterschiedliche Ansätze:

  • Präventiv

Beim präventiven Ansatz überwacht das IDS den Netzwerkverkehr. Wenn verdächtige Aktivitäten bemerkt werden, beispielsweise eine große Anzahl von ping-Paketen innerhalb kürzester Zeit, schlägt das System Alarm und ergreift entsprechende Maßnahmen.

  • Reaktionär

Ein reaktionäres System überwacht die Logdateien des Systems und ergreift bei ungewöhnlichen Aktivitäten Maßnahmen.

Die Unterschiede zwischen den beiden Ansätzen scheinen minimal zu sein. Trotzdem gibt es einen großen Unterschied: Der reaktionäre Ansatz ist im Grunde genommen nahe am normalen Loging anzusiedeln. Das System schlägt Alarm, wenn der Angriff in den Logdateien vermerkt wurde, auch wenn dies schon längere Zeit zurückliegt. Dagegen antwortet das präventive System sofort, wenn ein Angreifer versucht, in das System einzudringen.

Im Folgenden sollen einige Intrusion Detection Tools kurz vorgestellt sowie auf deren Funktion und Konfiguration eingegangen werden.

Vorherige 1 2 3 4 5 6 7 8 Nächste
In diesem Artikel:
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten

141
Mach­t's gut!

51
Neue Raspber­ry Pi-Va­ri­an­te mit 8 GB RAM

0
Genode 20.05 frei­ge­ge­ben

9
Sub­ver­si­on 1.14.0-LTS vor­ge­stellt

0
»Hum­ble Ci­ties: Sky­lines Bund­le« vor­ge­stellt

0
End of Life für Co­reOS Con­tai­ner Linux ver­kün­det

32
Elek­tra 0.9.2 er­schie­nen

8
Nex­tDNS ver­lässt die Be­ta-Pha­se

23
Tu­xe­do stellt Ga­mer-Note­book vor

0
Libre Gra­phics Mee­ting be­ginnt als On­li­ne-Va­ri­an­te
 
Werbung