IP Security

Intrusion Detection System (IDS)

IDS Services

Firewalls dienen ausschließlich dazu den Zugriff auf ein Netz zu beschränken und ggfs. einen externen Angreifer abzublocken.
Ein umfassender Schutz ist aber allein mit Firewalls nicht zu erreichen.

Insbesondere in E-Mail und Webseiten versteckte Schadsoftware sind häufige Ursachen für komprimittierte Rechnersysteme im Firmennetz.

Wie funktioniert ein IDS ?

Intrusion Detection Systeme (IDS) analysieren den Datenfluss anhand vorgegebener Profile. Verdächtige Netzaktivitäten werden protokolliert und signalisiert. Dadurch kann die Security-Policy eines Unternehmens überprüft werden:

In Abhängigkeit zur Netzinfrastruktur hat eine IDS ein oder mehrere Kontrollpunkte (Sensoren). Zu einer umfassenden Prüfung der Security Policy empfehlen wir zwei Kontrollpunkte: einen Sensor vor und einen Sensor hinter der Firewall.

Um den Datendurchsatz am Kontrollpunkt nicht zu drosseln arbeiten die Sensoren eines IDS passiv, was bei hohen Datentransferraten dazu führt, dass Datenpakete evtl. ungeprüft vorbei strömen können. Deshalb muss besonderes Augenmerk auf die Auswahl von Hardware- und Systemkomponenten gelegt werden.

Komponenten der IDS Software

Ein Intrusion Detection System besteht mindestens aus drei Hauptkomponenten:

1. Datenanalyse:

Das Datenanalysesystem überprüft und analysiert alle Daten. Dabei wird versucht im Datenstrom Muster bekannter Angriffsmethoden zu finden. Dies bedeutet, es muss bekannt sein, worauf dieser Angriff basiert (z.B. falsche Paketgrösse). Grundlage der Analyse bildet eine Signaturdatenbasis, in der bisher bekannte Angriffsmuster erfasst sind. Die Datenbasis muss regelmässig aktualisiert werden, da ständig neue Angriffsmuster bekannt werden.

2. Anomalieerkennung:

Die Anomalieerkennung versucht anhand von statistischen Kenngrössen vorauszusagen, ob ein Datenfluss von einer normalen Nutzung abweicht. Dies kann z.B. ein starker Anstieg des eingehenden oder ausgehenden Datentransfers für bestimmte Services wie E-Mail oder WWW sein. Auf diese Weise können selbst Angriffe entdeckt werden, für die noch keine Datenstrom Muster bekannt sind.

3. Ereignisdarstellung:

Dieses Komponente bereitet die Analyseergebnisse auf, ermittelt Statistiken und gibt sie benutzergerecht aus.

Unsere Dienstleistungen