Intrusion Detection System


Eindringungserkennungssystem bzw. Einbruchserkennungssystem

Eindringungserkennungssysteme gehören heute genauso zu einer Netzwerksicherheitsumgebung wie Firewalls. Ein IDS kann Einbruchsversuche auf verschiedene Art und Weise erkennen.

So kann es z.B. wichtige Systemdateien mittels einer digitalen Signatur auf Veränderungen überprüfen.

Weiterhin kann es den Netzwerkverkehr statistisch überwachen und verdächtige Vorgänge erkennen, weil viele Einbrüche eine signifikante Veränderung vom normalen Netzverkehr darstellen. So kann man z.B. einen Portscan an der zeitlich gehäuften Adressierung von sonst nicht benutzten Ports erkennen. Eine Smurf-Attacke ist durch einen erhöhten ICMP-Verkehr sowie Ping-Pakete an Broadcast-Adressen erkennbar.

Außerdem kann ein IDS signaturbasiert altbekannte Einbruchsarten durch eine Prüfung des Netzverkehrs gegen eine Datenbank erkennen.

Unter dem Stichwort Active Security Policy findet man mehr und mehr Systeme, die nicht nur bei Einbrüchen warnen, sondern auch aktiv Gegenmaßnahmen ergreifen. So können sie im Falle eines Einbruchs z.B. restriktive ACLs in Routern aktivieren, die den Einbruch abblocken. Zum Teil werden solche Systeme auch Intrusion Prevention System genannt.

Ein modernes IDS besteht daher aus Monitor- bzw. Datenquellen, einer Datenbank zur Zwischenspeicherung des Netzverkehrs, einem oder mehreren Analyzer-Modulen sowie Reaktionskomponenten. Es konnte sich noch keine offene Schnittstelle zwischen Modulen verschiedener Hersteller ausprägen. OPSEC und CIDF sind Bemühungen um solche Schnittstellen.

0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z|alle

Suche im Lexikon nach im

 

Fachartikel

Führungskräfte für IT-Sicherheit sensibilisieren (2) [10.08.2020]

Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Die Artikelserie beschreibt daher Methoden zur Sensibilisierung von Führungskräften. In der zweiten Folge geht es darum, wie Sie WLAN-Schwachstellen aufspüren und demonstrieren. [mehr]

Grundlagen

Pass-the-Hash-Angriffe [23.06.2020]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors. [mehr]