Glossar

Intrusion Detection System

Was ist ein Intrusion Detection System?

Ein Intrusion Detection System (IDS) ist ein Gerät oder eine Softwareanwendung, das bzw. die ein Netzwerk auf böswillige Aktivitäten oder Richtlinienverstöße hin überwacht. Jede böswillige Aktivität oder Sicherheitsverletzung wird normalerweise zentral mithilfe eines Sicherheitsinformations- und Ereignisverwaltungssystems gemeldet oder erfasst. Einige IDS sind in der Lage, auf Eindringversuche zu reagieren. Diese werden als Intrusion Prevention Systems (IPS) bezeichnet.

IDS-Erkennungsmethoden

Es gibt viele verschiedene Arten von Intrusion Detection Systems – von Antivirensoftware bis hin zu mehrstufigen Überwachungssystemen –, die den Datenverkehr im gesamten Netzwerk überwachen. Die häufigsten Arten sind:

  • Network Intrusion Detection System (NIDS): Ein System, das eingehenden Netzwerk-Datenverkehr untersucht.
  • Host-basierte Intrusion Detection System (HIDS): Ein System, das wichtige Betriebssystemdateien überwacht.

Es gibt auch eine Untergruppe von IDS-Arten. Die gängigsten Varianten basieren auf Signatur- bzw. Anomalieerkennung.

  • Signaturbasiert: Ein signaturbasiertes IDS erkennt mögliche Bedrohungen, indem es nach bestimmten Mustern sucht, z. B. nach Byte-Sequenzen im Netzwerkverkehr oder nach bekannten böswilligen Anweisungssequenzen, die von Malware verwendet werden. Diese Terminologie stammt von der Antivirensoftware, bei der diese erkannten Muster als Signaturen bezeichnet werden. Obwohl ein signaturbasiertes IDS bekannte Angriffe leicht erkennen kann, ist es unmöglich, neue Angriffe zu erkennen, für die noch kein Muster vorliegt.
  • Auf Anomalien basierend: Hierbei handelt es sich um eine neuere Technologie zur Erkennung und Anpassung an unbekannte Angriffe, hauptsächlich aufgrund der explosiven Zunahme von Malware. Diese Erkennungsmethode verwendet maschinelles Lernen, um ein definiertes Modell vertrauenswürdiger Aktivitäten zu erstellen und dann neues Verhalten mit diesem Vertrauensmodell zu vergleichen. Auch wenn diese Vorgehensweise die Erkennung bisher unbekannter Angriffe ermöglicht, besteht die Gefahr, dass bisher legitime Aktivitäten irrtümlicherweise als bösartig eingestuft werden (sogenannte „False Positives“).

IDS-Nutzung in Netzwerken

Wenn ein IDS an einem strategischen Punkt oder mehreren Punkten innerhalb eines Netzwerks eingesetzt wird, um den Datenverkehr zu und von allen Geräten im Netzwerk zu überwachen, führt es eine Analyse des weitergeleiteten Traffics durch und gleicht den Traffic, der an die Subnetze weitergeleitet wird, mit der Bibliothek bekannter Angriffe ab. Sobald ein Angriff erkannt oder ein unnormales Verhalten festgestellt wurde, kann die Warnung an den Administrator gesendet werden.

Umgehungsmethoden

Wenn IT-Abteilungen wissen, welche Methoden Cyberkriminelle nutzen, um unberechtigten Zugriff auf ein sicheres Netzwerk zu erhalten, können sie auch besser verstehen, wie IDS-Systeme so konfiguriert werden, dass ihnen keine vermeidbaren Bedrohungen entgehen:

  • Fragmentierung: Beim Senden fragmentierter Pakete kann der Angreifer unentdeckt bleiben, indem er die Systeme zur Erkennung von Angriffssignaturen umgeht.
  • Vermeidung von Standardeinstellungen: Ein von einem Protokoll verwendeter Port liefert nicht immer einen Hinweis auf das zu transportierende Protokoll. Wenn ein Angreifer es für die Verwendung eines anderen Ports neu konfiguriert hat, kann es passieren, dass ein IDS einen möglicherweise vorhandenen Trojaner nicht erkennt.
  • Koordinierte Angriffe mit geringer Bandbreite: Hierbei handelt es sich um einen koordinierten Scan, der sich auf unzählige Angreifer aufteilt. Dies kann sogar das Zuweisen unterschiedlicher Ports oder Hosts auf verschiedene Angreifer umfassen. So wird es für das IDS schwierig, die erfassten Pakete zuzuordnen und daraus zu schließen, dass gerade ein Netzwerkscan durchgeführt wird.
  • Adress-Spoofing/Proxying: Angreifer können die Quelle des Angriffs verschleiern, indem sie schlecht gesicherte oder falsch konfigurierte Proxyserver verwenden, um einen Angriff zu starten. Wenn die Quelle gefälscht und von einem Server als Bounce-Nachricht zurückgegeben wird, ist eine Erkennung sehr schwierig.
  • Umgehung durch Musteränderungen: IDS verlassen sich auf den Abgleich von Mustern, um Angriffe zu erkennen. Durch geringfügige Anpassungen an die Angriffsarchitektur kann die Erkennung vermieden werden.

Warum Intrusion Detection System für Sie wichtig ist

Moderne vernetzte Geschäftsumgebungen erfordern ein hohes Maß an Sicherheit, um die sichere und vertrauenswürdige Weitergabe von Informationen zwischen verschiedenen Unternehmen zu gewährleisten. Ein Intrusion Detection System dient als anpassbare sichere Technologie für den Schutz des Systems, wenn traditionelle Technologien versagen. Cyberangriffe werden immer komplexer. Daher ist es wichtig, dass sich die zum Schutz implementierten Technologien an die Bedrohungen anpassen, gegen die sie eingesetzt werden.

Intrusion Detection Systems – weiterführende Ressourcen

Zugehörige Begriffe

Wie Barracuda Sie unterstützen kann

Barracuda CloudGen Firewall geht weit über die Möglichkeit eines traditioneller Intrusion Detection Systems hinaus, die heutzutage von weniger fortschrittlichen Firewalls verwendet werden. Das „Intrusion Detection und Prevention System (IDS/IPS)“ der Barracuda CloudGen Firewall erhöht die Netzwerksicherheit erheblich, indem es einen vollständigen und umfassenden Echtzeit-Netzwerkschutz gegen eine breite Palette von Netzwerk-Bedrohungen bietet. Darüber hinaus können alle Barracuda CloudGen Firewall-Modelle IPS/IDS auf SSL-verschlüsselten Web-Traffic anwenden, wobei der standardisierte „Trusted Man-in-the-Middle“-Ansatz verwendet wird.

Haben Sie weitere Fragen zum Thema Intrusion Detection Systems? Wir freuen uns auf Ihre Nachricht!