Grundlagen

Überwachungssysteme in Netzwerken

20.12.2006
Von Andreas Wurm
Skalierbar: Wenn es das Netzwerkaufkommen erfordert, können vor einzelne Switches noch zusätzliche Prüfsysteme geschalten werden.
Skalierbar: Wenn es das Netzwerkaufkommen erfordert, können vor einzelne Switches noch zusätzliche Prüfsysteme geschalten werden.

Da NIDS den ganzen Datenverkehr mitlesen sollen, müssen sie wohlüberlegt platziert sein. Überlastete NIDS können sich negativ auf das gesamte Netzwerk auswirken. Deswegen bestehen Network-based-Intrusion-Dectection-Systeme in der Regel aus mehreren logischen Bausteinen.

Aufbau eines NDIS

Sogenannte Sensoren sind die eigentlichen Schnüffler. Sie erfassen die Daten aus dem jeweiligen Netzsegment und senden sie zur Analyse an einen entsprechenden Baustein. Für die Verwaltung der Sensoren sorgt die Managementstation. Mit einer Managementstation lassen sich die Sensoren bedienen.

Teamwork: IDS/IPS bestehen aus mehreren Komponenten wie Managementkonsole, Sensoren und Datenbanken.
Teamwork: IDS/IPS bestehen aus mehreren Komponenten wie Managementkonsole, Sensoren und Datenbanken.

Über eine Benutzeroberfläche können Administratoren auch die Ereignisinformationen anzeigen lassen, aus denen der Administrator ablesen kann, was gerade im Netzwerk passiert. Außerdem speichert die Managementkonsole Einstellungsparameter für die Sensoren.

Vor- und Nachteile eines NIDS

NDIS laufen auf eigenen Appliances, belasten also keine Endsysteme wie zum Beispiel Server. Zudem sind die Schnüffler für Angreifer schwer zu entdecken. Im so genannten Promiscuous Mode arbeiten die Systeme ohne eigene IP-Adresse und belauschen den Traffic nur passiv. Somit sind sie für Hacker schwierig aufzufinden. Netzwerkbasierte Systeme können zudem Angriffe erkennen, die sich nicht gegen ein bestimmtes Zielsystem richten.

Was spricht gegen ein NIDS?

Der größte Nachteil ist sicher, dass NIDS nicht das Verhalten des eigentlichen Angriffsziels sehen. Daher können sie so viel über die Attacke lernen und berichten, wie im Netzverkehr sichtbar war. Dazu kommt, dass NIDS in verschlüsselten Daten keine Ereignisse erkennen.

Zur Startseite