[logo]
 
Suche:  
netplace

Intrusion Detection System (IDS)

Firewalls dienen ausschliesslich dazu den Zugriff auf ein zu sicherndes Netz zu beschränken und ggfs. einen externen Angreifer abzublocken.
Insbesondere dann, wenn öffentliche Dienste in einem Secure Server Netz angeboten werden, ist ein umfassender Schutz allein mit Firewalls nicht zu erreichen. So konnten in der Vergangenheit Viren und Würmer über die offenen http Dienste problemlos Firewalls überwinden und fehlerbehaftete Serverdienste infizieren.

Auch nicht öffentliche Dienste, die mittels Firewall und VPN geschützt sind, haben eine Schwachstelle, da unterstellt wird, dass alle User hinter der Firewall so genannte "Trusted User" sind. Primär wird nämlich angenommen, dass alle Zugriffe aus dem Internet von "untrusted Users" erfolgen. Erst wenn gemäss der Sicherheitspolitik der externe Anwender ordnungsgemäss seine Identität nachweist, wird er als "trusted User" anerkannt und erhält den von der Security Policy definierten Zugriff auf die Netzwerkressourcen. Firewalls bieten somit keinen ausreichenden Schutz vor Angriffen, die durch Schwachstellen im eigenen Unternehmen initiiert werden.

Die Sicherheitspolitik einer Firewall muss zudem ständig auf Sicherheitslücken überprüft werden. Wichtige Hinweise hierüber liefern einerseits die Analysen gescheiterter Einbruchversuche, andererseits aber auch das Nutzungsverhalten der "trusted User". Es empfiehlt sich, dass die Absicherung des Server Secure Netzes nicht ausschliesslich auf einer Firewall basiert und um weitere Sicherungskomponenten ergänzt wird.

Funktion eines IDS

Intrusion Detection erlaubt es, hinter Firewalls eine weitere Sicherheitslinie zu ziehen, die weitergehende Fragestellungen der Unternehmenssicherheit beantwortet:

  • Hält meine Firewall, was sie verspricht? Bleiben potenzielle Eindringlinge ausgesperrt?
  • Gibt es weitere, unerkannte Einfallstore in das Unternehmensnetz?
  • Habe ich Hacker im eigenen Unternehmen? Missbrauchen eigene Mitarbeiter das Unternehmensnetz?
Intrusion Detection Systeme (IDS) sind Softwaresysteme, die den Datenfluss anhand frei definierbarer Regeln analysieren und verdächtige Netzaktivitäten signalisieren und protokollieren.
Um den Datendurchsatz am Messpunkt nicht zu beeinflussen arbeiten die Sensoren passiv, was bei Überlastung dazu führt, dass Datenpakete ungeprüft vorbei strömen können. Deshalb muss auch hier besonderes Augenmerk auf die Auswahl von Hardware- und Systemkomponenten gelegt werden. Ein weiterer entscheidender Faktor bei der Konfiguration der Sensoren ist die richtige Aufgabenverteilung. Auf dem IDS Server wird dabei ein der Sensorposition entsprechendes Regelwerk definiert, welches im wesentlichen aus Signaturen bekannter Einbruchsversuche besteht, aber auch frei definierbare Regeln gemäss erarbeiteter Sicherheitsrichtlinien enthalten kann.

Ein Intrusion Detection System besteht mindestens aus drei Hauptkomponenten:

1. Datenanalyse:

Das Datenanalysesystem überprüft und analysiert alle Daten. Dabei wird versucht im Datenstrom Muster bekannter Angriffsmethoden zu finden. Dies bedeutet, es muss bekannt sein, worauf dieser Angriff basiert (z.B. falsche Paketgrösse).
Es muss also eine Signaturdatenbasis vorliegen, in denen die bisher bekannten Angriffsmöglichkeiten erfasst sind und diese Datenbasis muss folglich auch regelmässig aktualisiert werden.

2. Anomalieerkennung:

Die Anomalieerkennung versucht vorauszusagen, welche Folgen ein Angriff haben wird. Es wird also ein bestimmtes abnormales Systemverhalten erwartet. Solche Systeme betrachten bestimmte Systemabfolgen als normal. Entdeckt dieses System den Beginn einer bestimmte Ereignisabfolge, so erwartet es die restlichen dafür benötigten Ereignisse. Erfolgen diese "normalen" Ereignisse nicht, so wird von einem abnormalen Systemverhalten ausgegangen und eine entsprechende Alarmmeldung erfolgt. Auf diese Weise können selbst unbekannte Angriffe noch entdeckt und abgeblockt werden.

3. Ereignisdarstellung:

Dieses Komponente bereitet die Analyseergebnisse auf, ermittelt Statistiken und gibt sie benutzergerecht aus.

Unsere Dienstleistungen

  • Analyse der Kundenanforderungen
  • Vorkonfiguration des netplace IDS Systems
  • Wartung und Betrieb
  • Pflege der Signatur Datenbasis
  • Auswertung der Intrusion Ereignisse und Beratung bei der Überarbeitung von Sicherheitskonzepten.
hilfe - kontakt - impressum