Was ist Intrusion Detection Service?

Bei einem Intrusion Detection Service, abgekürzt IDS, handelt es sich um ein performantes Sicherheitssystem. Es ist in der Lage, Angriffe auf einzelne Computer, Server oder auf gesamte Netzwerke automatisch zu erkennen und die verantwortlichen Administratoren darüber zu informieren. Ein Intrusion Detection System kommt in der Regel in Kombination mit einer Firewall zum Einsatz, um eine bestmögliche Sicherheit von Computer-Netzwerken und -Systemen zu gewährleisten.

Allgemeine Informationen

Ein Intrusion Detection Service ist in der Lage, Angriffe auf Computernetzwerke oder Systeme automatisch zu erkennen und Anwender oder Administrationen darüber zu informieren. Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. So können Sie beispielsweise als dedizierte Hardware im Rahmen eines Netzwerks realisiert oder auch als Softwarekomponente auf einem Betriebssystem installiert sein. Ein IDS ist von einem Intrusion Prevention System (IPS) zu unterscheiden. Während ein Intrusion Detection System Angriffe aktiv verhindert, nimmt ein Intrusion Detection System potenzielle Angriffe lediglich wahr und verhindert diese nicht aktiv.

Administratoren oder weitere Sicherheitssysteme leiten die entsprechenden Gegenmaßnahmen bei Angriffen ein, die anhand der Alarmierung durch den Intrusion Detection Service ausgelöst werden. Im Vergleich zu einer gewöhnlichen Firewall zeichnet sich ein Intrusion Detection Service durch einen besseren Schutz aus. Dies ist auf die Tatsache zurückzuführen, da ein IDS auch Angriff nach einer Penetration der Firewall erkennen und nachverfolgen kann. Um sinnvolle und vor allem wirksame Gegenmaßnahmen zur Abwehr des Angriffs zu treffen, ist es von großer Bedeutung, dass der Intrusion Detection Service genaue Informationen über die Art und Weise sowie die Herkunft der Attacke liefert. So lassen sich zum Beispiel betroffene Services oder Ports automatisch herunterfahren oder blockieren.

Verschiedene Arten im Überblick

Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. Abhängig von dem Einsatzbereich und dem zu schützenden Netzwerk bzw. Computersystem kann man grundsätzlich zwischen drei unterschiedlichen IDS-Varianten unterscheiden:

– die Host-basierten Intrusion Detection Services (HIDS)

– die Netzwerk-basierten Intrusion Detection Services (NIDS)

– die hydriden Intrusion Detection Services (IDS)

Host-basierte IDS

Die Host-basierten Intrusion Detection Systeme werden direkt auf den zu überwachenden und zu schützenden Systemen installiert und stellen die älteste Art von Angriffserkennungssystemen dar. Das IDS überwacht auf dem Host den gesamten eingehenden und ausgehenden Netzwerkverkehr und sammelt unterschiedliche Daten des Systems. Falls ein potenzieller Angriff erkannt wird, werden die betroffenen Ports oder Services auf dem jeweiligen Host automatisch geblockt und die zuständigen Administratoren oder Anwender werden darüber in Kenntnis gesetzt. Obwohl ein IDS hocheffektiv ist, kann es nicht alle Angriffe gleichermaßen gut erkennen und analysieren. Wird ein Host beispielsweise durch eine Denial of Service-Attacke außer Gefecht gesetzt, ist IDS prinzipiell unwirksam.

Netzwerk-basierte IDS

Netzwerk-basierte Intrusion Detection Systeme versuchen, alle ein- und ausgehenden Pakete im Netzwerk aufzuzeichnen. Diese werden automatisch analysiert, um verdächtige Aktivitäten und Muster zu erkennen. Da heutzutage der Netzwerkverkehr im hohen Maße über das Internetprotokoll realisiert wird, muss eine Attacke auch über dieses Protokoll erfolgen. Demzufolge lässt sich ein gesamtes Netzwerksegment mit nur einem Intrusion Detection System überwachen. Die Bandbreite moderner Netzwerke kann jedoch die Kapazität des IDS übersteigen. In diesem Fall müssen dann Pakete verworfen werden, weswegen eine lückenlose Überwachung nicht mehr gewährleistet werden kann.

Vorteile:

– Ein IDS kann ein gesamtes Netzwerksegment überwachen

– Durch das gezielte Ausschalten eines Zielsystems ist die Funktion des IDS nicht gefährdet

Nachteile:

– Bei Überlastung kann keine lückenlose Überwachung gewährleistet werden

– Bei verschlüsselter Kommunikation können verschlüsselte Inhalte nicht analysiert werden

Hybride IDS

Ein hybrider Intrusion Detection Service verbindet beide Prinzipien, um eine höhere Erkennungsrate von Angriffen zu ermöglichen. Bei solchen Systemen spricht man von einer Kombination Host- und Netzwerk-basierter IDS-Typen, die über ein zentrales Managementsystem gesteuert werden. Die meisten modernen IDS basieren auf einem solchen hybriden Funktionsprinzip.Funktionsweise eines Intrusion Detection Service

Die Funktionsweise eines Intrusion Detection Service lässt sich grob in zwei Schritte unterscheiden, und zwar:

– Datensammlung, und Datenanalyse

Während Host-basierte und hybride ID Systeme unterschiedliche Quellen für ihren Datenbestand nutzen, sammeln Netzwerk-basierte IDS ihre Daten auf Basis des Datenverkehrs. Besonders wichtig ist, dass alle Daten aus zuverlässigen Quellen stammen oder vom Intrusion Detection Service selbst gesammelt werden, sodass eine Manipulation nicht möglich ist. Das IDS untersucht die gesammelten Daten nach Auffälligkeiten und bekannten Angriffsmustern. Zu diesem Zweck zieht das Intrusion Detection System Datenbanken heran, sodass es in der Lage ist, Abweichungen und vom Normalbetrieb und Anomalien mit hoher Trefferquote zu erkennen. Bei modernen IDS kommen außerdem Erkennungs- und Analyseverfahren zum Einsatz, die auf künstlicher Intelligenz basieren.

Honeypots als wichtige Bestandteile moderner IDS

Einen wichtigen Bestandteil vieler Intrusion Detection Services stellen sogenannte Honeypots dar. Dabei handelt es sich um einen Computer oder einen Service im Netzwerk, der ungesichert ist und somit einen Hackerangriff provozieren soll. Er zieht Angriffe auf sich und bietet Administratoren die Möglichkeit, die Attacken genauer zu analysieren. Anhand dieser Analysen lassen sich besserer Präventions- und Abwehrmaßnahmen entwickeln.