Grundlagen

Überwachungssysteme in Netzwerken

20.12.2006
Von Andreas Wurm

Deshalb berücksichtigt eine programmierbare Logik auch die zeitliche Abfolge von Ereignissen. Auch hier ist das Normalverhalten in Regeln zusammengefasst. Wenn Angriffe also eine bestimmte Ereignisfolge bedingen, die nicht als Normalzustand des Netzes definiert sind, erkennen IDS diese Ereignisse als Anomalie.

Honeypots - Honigtöpfe für gierige Datendiebe

Honeypots stellen eine gute Möglichkeit dar, um die Anomalieerkennung zu verfeinern. Dabei handelt es sich um dezidierte Systeme im Netzwerk, die keine kritische Funktion erfüllen. Sie sind Fallen für Angreifer, täuschen sicherheitskritische und produktive Systeme vor.

Verlockend: Honeypots und Honeynets sammeln Informationen über Angreifer und deren Methoden.
Verlockend: Honeypots und Honeynets sammeln Informationen über Angreifer und deren Methoden.

Ein Honigtopf hat ein einfaches Normalverhalten: Es gibt nur wenige, vordefinierte Zugriffe auf das System, somit ist jeder Zugriff außer den vordefinierten anormal. Auf diese Art lassen sich Angriffe prima aufzeichnen und nachuntersuchen. Eine Prüfung der verschiedenen Angriffe deckt Fehlverhalten des eigenen Systems auf, die Schwachstellen können besser nachvollzogen und gegebenenfalls beseitigt werden.

Angriffsabwehr mit Intrusion-Prevention-Systemen (IPS)

Intrusion-Prevention-Systeme (IPS) sind eine Weiterentwicklung des IDS. Während IDS Angriffe nur erkennen können und protokollieren, sind IPS in der Lage, Angriffe abzuwehren. Hierfür gibt es zwei Arten von Abwehr: das IPS sitzt irgendwo im Übertragungsweg und sperrt beziehungsweise verwirft Datenpakete, die als Angriff erkannt wurden.

Intrusion-Prevention-Systeme kontern erkannte Attacken nach vorher festgelegten Parametern.
Intrusion-Prevention-Systeme kontern erkannte Attacken nach vorher festgelegten Parametern.

Die andere Möglichkeit ist, dass die IPS die Regeln für die Paketfilter beziehungsweise Application Level Gateway so anpassen, dass schädlicher Verkehr hierüber ausgefiltert wird. Wie bei IDS gibt es Systeme, die im Netz hängen, und Einheiten, die auf Hosts laufen. Angriffe erkennen IPS genau wie IDS über die Signaturen in den Paketen oder über Anomalien im Betrieb und im Datenstrom.

Zur Startseite