Grundlagen

Überwachungssysteme in Netzwerken

20.12.2006
Von Andreas Wurm

Host-based Intrusion Detection (HIDS)

HIDS laufen auf einzelnen Hosts, sammeln und analysieren alle Daten, die genau den Host betreffen. Sie interessieren sich nicht für den ganzen Netzwerkverkehr. Dadurch können HIDS, anders als NIDS, viel genauere Aussagen über die Angriffsart machen.

HIDS können den Angriff und die Folgen nachvollziehen, da sie selbst unmittelbar betroffen sind. HIDS beschäftigen sich nicht so sehr mit einzelnen Datenpaketen, sie überwachen mehr das System, auf dem sie laufen, und halten zum Beispiel Ausschau nach Trojanern. Zudem können sie auf Logfiles zugreifen, womit HIDS Einblick in Login-Versuche auf Betriebssysteme und Applikationen erhalten.

Vor- und Nachteile eines HIDS

HIDS laufen auf dem angegriffenen System selbst und können daher im Gegensatz zu NIDS die Reaktion des Hosts beobachten. Zudem müssen sie sich nicht mit dem ganzen Netzwerkverkehr befassen, nur mit dem, der die zu überwachende Plattform betrifft.

Schwächen der Host-basierten Intrusion Detection Systeme

HIDS sind vom Betriebssystem und den Applikationen auf dem jeweiligen Host abhängig. Für jede zu überwachende Hardware muss ein entsprechendes HIDS verfügbar sein. Zusätzlich brauchen die Überwachungsfunktionen Systemressourcen, der Betrieb belastet die zu überwachende Hardware. Im Gegensatz zu NIDS kann ein Angreifer eine Host-basierte Lösung einfacher erkennen.

Network Node-based Intrusion Detection (NNIDS)

NNIDS sind auch auf dem jeweiligen Zielsystem installiert. Der Vorteil ist, dass sie wie auch NIDS Datenpakete lesen und analysieren. Dabei beschränken sich allerdings auf Daten, die für das Zielsystem bestimmt sind, und auf solche, die von diesem gesendet werden. Zusätzlich beobachten NNIDS Ereignisse auf Betriebssystemebene (zum Beispiel fehlerhafte Anmeldeversuche).

Zur Startseite