I wie Intrusion Detection System
In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: I wie Intrusion Detection System.
Was ist ein Intrusion Detection System? Ein Intrusion Detection System, kurz auch IDS genannt, ist ein System zur frühzeitigen Erkennung von Angriffen auf Computer, Server oder Netzwerke. Zudem informiert das System Unternehmen über sämtliche Angriffe. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall.
Wie funktioniert es? Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert sein oder als Softwarekomponente auf einem vorhandenen System realisiert werden. Der größte Teil arbeitet mit Hilfe bestimmter Filter und Signaturen, in denen spezifische Angriffsmuster beschrieben werden. Gesammelte Daten werden dann mit den bekannten Signaturen verglichen, die in der Musterdatenbank niedergelegt sind. Sobald ein neues Ereignis mit einem der Muster übereinstimmt, wird ein Einbruchsalarm ausgelöst. Voraussetzung für eine dauerhaft sichere Funktionsweise ist aber, dass neue Signaturen permanent eingepflegt werden.
Man unterscheidet zwischen drei verschieden Arten von Intrusion Detection Systemen. Eine Methode ist das Host-basierte IDS. Es sammelt Daten aus seinen Logs oder aus der Registry-Datenbank und analysiert diese in Bezug auf Auffälligkeiten oder bekannte Angriffsmuster. Der Nachteil an dieser Methode ist, dass das IDS durch eine DoS-Attacke auf das System unwirksam wird.
Die zweite Methode ist das Netzwerk-basierte Intrusion Detection System. Dieses wird in einem Netzwerk so installiert, dass es alle Datenpakete lesen und auf verdächtige Muster prüfen kann. Hier ist zu beachten, dass das IDS eine hohe Performance für die Verarbeitung und Analyse der Daten benötigt, um so den hohen Brandbreiten moderner Netzwerke gerecht zu werden.
Die dritte Methode ist das hybride Intrusion Detection System. Dieses setzt sich aus dem Host-basierten und dem Netzwerk-basierten IDS zusammen und wird zusätzlich durch ein zentrales Managementsystem ergänzt. Dadurch ist eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleistet.
Das IDS beschränkt sich lediglich auf die Erkennung von Angriffen, ohne diese aktiv zu verhindern oder abzuwehren. Erkennt es ein Angriffsmuster, sendet es eine Information darüber an den Administrator oder Anwender, der dann entsprechende Gegenmaßnahmen einleiten kann.
