Hacker versuchen auf verschiedenen Wegen in die IT-Infrastruktur von Unternehmen einzudringen, um kostbare Daten zu stehlen oder den Betrieb zu stören. Das Schutzpotenzial von Server-Sicherheitssystemen wie Firewalls, Antivirensoftware und Benutzerkontrolle können durch ein Intrusion Detection System (IDS) maßgeblich verstärkt werden.
Was ist ein IDS?
Ein IDS erkennt Angriffe, die gegen die IT-Infrastruktur gerichtet sind. Erkannte Angriffe werden in einem Protokoll gesammelt und dem Administrator mitgeteilt. Die Einbruchserkennung erfolgt entweder durch den Vergleich mit bekannten Angriffssignaturen oder verhaltensbasierte Methoden, die bisher unbekannte Attacken erkennen. Während ein IDS Angriffe erkennt, ist ein Intrusion Prevention System darauf aus, Angriffe automatisiert und aktiv zu verhindern.
Arten von IDS
Es gibt host-basierte IDS, die auf jedem zu überwachenden System installiert werden müssen. Ein HIDS registriert Angriffe und überprüft die Systemintegrität. Sobald Änderungen an Systemdateien und anderen kritischen Daten vorgenommen werden, wird Alarm geschlagen. Ein einzelnes System wird umfassend überwacht und man erhält sehr genaue Angaben zum Angriff. Nachteil eines HIDS ist die Tatsache, dass es durch einen DoS-Angriff ausgehebelt werden kann.
Neben den HIDS sind Netzwerk-basierte IDS verfügbar, die versuchen, alle Pakete im Netzwerk aufzuzeichnen und auf verdächtige Aktivitäten zu analysieren. Im Netzwerkverkehr werden Angriffsmuster erkannt. Vorteil des NIDS ist die Gegebenheit, dass ein ganzes Netz überwacht werden kann. Auch wenn ein Zielsystem vom Angreifer ausgeschaltet wird, ist die Funktion des NIDS nicht gefährdet. Leider hat das IDS eine limitierte Bandbreite, die bei modernen 1-GBit-LANs leicht überlastet werden kann. Folglich werden Datenpakete, die überprüft werden sollen, verworfen, was die Überwachung lückenhaft macht. Auch in geswitchten Netzwerken ist kein lückenloses Monitoring möglich.
Um eine höhere Abdeckung bei der Angriffserkennung zu garantieren, wurden hybride IDS entwickelt, die die Prinzipien von HIDS und NIDS verbinden. Diese Erkennungssysteme sind an ein zentrales Verwaltungssystem angeschlossen und bestehen aus HIDS- und NIDS-Sensoren.
Das Intrusion Detection System ist eine sinnvolle Ergänzung zum Schutzschild einer IT-Infrastruktur. Ein Problem ist die Tatsache, dass es viele falsche Warnungen produziert oder einige Angriffe nicht als gefährlich erkennt. Ergebnisse sollten daher von erfahrenen Administratoren ausgewertet werden.
Sprechen Sie uns gerne an, wir helfen Ihnen, die Sicherheit Ihrer IT-Systeme zu steigern.
Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen
Kommentarbereich geschlossen.