Linuxfibel - Sicherheit - IDS

Aus LinWiki.de

Projektseite
Navigation
Anfang
Inhalt
Einleitung
Erste Schritte
Die Bash
Das Dateisystem
Nutzerkommandos
Installation
Shells
Unix-Werkzeuge
System-Administration
X Window System
Der Kernel
Netzwerk Grundlagen
Netzwerk Clients
Netzwerk Server
Sicherheit
Anhang
Register

Inhaltsverzeichnis

[Bearbeiten] Übersicht

Das erste Intrusion Detection System, kurz IDS, das das Licht der Welt erblickte, war 1989 der "NSM". Obwohl bereits zu Beginn der achtziger Jahre die Sicherheitsprobleme und die dadurch nötigen Überwachungsverfahren in einem Papier der US AirForce konkretisiert wurden, spielen ID-Systeme erst seit wenigen Jahren eine wichtige Rolle beim Betrieb mittlerer bis größerer Netzwerke und für Systemadministratoren. Neben den üblichen Sicherheitsvorkehrungen, Firewall und Virenscanner, stellen diese eine wichtige Ergänzung zur Abwehr bösartiger Angriffe, intern wie extern, dar. Intrusion Detection Systeme sind fähig, unterschiedlichste Angriffe und Techniken zu erkennen. Dazu gehören zum Beispiel Portscans, Shellcode (wichtig bei exploits, auch so genannten 0-days) und nachträglich installierte Sniffer.

Ein IDS hat also drei Aufgaben zu erfüllen: Erkennung verschiedener Angriffe, Erkennung abnormaler Verhaltensmuster, Angriffserkennung im Allgemeinen

[Bearbeiten] HIDS und NIDS

Intrusion Detection Systeme werden bezüglich der Arbeitsweise und Organisation in zwei verschiedene Arten eingeteilt. Selbstverständlich sind hierbei homo- wie heterogene Arbeitsweisen möglich.


[Bearbeiten] HIDS

Hostbasierte Systeme (HIDS) laufen auf einem Rechner und analysieren die Daten der Anwendungen sowie des Betriebssystems. Zur Auswertung werden bereitgestellte Daten des Betriebssystems bzw. der Anwendungen verwendet. Dazu gehören die Protokollanalyse, der Integritätstest sowie die Analyse von Systemaufrufen und Dateizugriffen.

[Bearbeiten] NIDS

Netzwerkbasierte Systeme (NIDS) überwachen ein gesamtes Netzwerk und untersuchen Netzwerkdaten. Um diese zu erhalten, bedienen sie sich üblicherweise eines Sniffers. Dadurch ist es ihnen möglich, Denial of Service-Angriffe, ungültige Pakete, Informationsdiebstahl, Angriffe gegen die Firewall oder im Netz stehende Rechner, Spoofing-Attacken, Portscans sowie Angriffe auf Applikationsprotokolle zu erkennen und gegebenenfalls zu beenden, zu loggen oder den Administrator zu benachrichtigen. Betrieben werden NIDS auf einem am besten separat stehenden Rechner im Netzwerk, optimal zusätzlich mit einem laufenden Honeypot, um zusätzliche Informationen über den Angreifer und seine Vorgehensweise zu erhalten.

[Bearbeiten] Verbreitete IDS

Mittlerweile gibt es ein mittleres Angebot kommerzieller wie freier ID-Systeme. Die wichtigsten, freien und unter Linux lauffähigen sind "Snort", "LIDS" UND "TRIPWIRE". Diese sind in allen gängigen Suchmaschinen zu finden, im Anhang allerdings auch verlinkt.


[Bearbeiten] Anhang

Weiterführende Links:


Papier von James P. Anderson, 1980, US AirForce [1]

www.Snort.org [2]

sourceforge.net/projects/tripwire [3]

www.lids.org/ [4]

Von „http://www.de.linwiki.org/wiki/Linuxfibel_-_Sicherheit_-_IDS
Diese Seite wurde zuletzt am 24. Januar 2006 um 21:15 Uhr geändert.
Diese Seite wurde bisher 3.121-mal abgerufen.