Einsatz von intrusion Detection Systemen (IDS): Unterschied zwischen den Versionen

Version vom 23. August 2016, 13:41 Uhr

Überwachen den Netzwerkverkehr
dienen zum Erkennen von netzbasierten Angriffen (z.B. SYN flooding, Wurm- und DoS-Angriffe
werden i.d.R. auf seperatem Rechner eingesetzt (oft als Appliance-Lösungen erhältlich)
können für den Angreifer "unsichtbar" eingesetzt werden
können in verschlüsselten Datenpaketen keine Ereignisse erkennen

werden direkt auf den zu überwachenden Systemen eingesetzt
dienen zum Erkennen von Angriffen auf Anwendungs- oder Betriebsystemebene (u.a. Rechte-Überschreitungen, Trojaner, fehlgeschlagene Anmeldeversuche, Änderung an Log-Dateien, etc.)
können zur Integritätsüberwachung eingesetzt werden
verschlüsselte Datenpakete können überwacht werden
verteilte Angriffe im Netzwerk können kaum, bzw. nur schwer erkannt werden

@@ Zeile 1: / Zeile 1: @@
 *https://help.ubuntu.com/community/SnortIDS
+==Netzwerkbasierte Sensoren (NIDS)==
+*Überwachen den Netzwerkverkehr
+*dienen zum Erkennen von netzbasierten Angriffen (z.B. SYN flooding, Wurm- und DoS-Angriffe
+*werden i.d.R. auf seperatem Rechner eingesetzt (oft als Appliance-Lösungen erhältlich)
+*können für den Angreifer "unsichtbar" eingesetzt werden
+*können in verschlüsselten Datenpaketen keine Ereignisse erkennen
+[[Datei:NIDS.dia]]
+==Hostbasierte Sensoren (HIDS)==
+*werden direkt auf den zu überwachenden Systemen eingesetzt
+*dienen zum Erkennen von Angriffen auf Anwendungs- oder Betriebsystemebene (u.a. Rechte-Überschreitungen, Trojaner, fehlgeschlagene Anmeldeversuche, Änderung an Log-Dateien, etc.)
+*können zur Integritätsüberwachung eingesetzt werden
+*verschlüsselte Datenpakete können überwacht werden
+*verteilte Angriffe im Netzwerk können kaum, bzw. nur schwer erkannt werden
+[[Datei:HIDS.dia]]