Version vom 18. September 2022, 13:03 Uhr

Intrusion Detection System

Man unterscheidet drei Arten von IDS:
- Host-basierte IDS (HIDS)
- Netzwerk-basierte IDS (NIDS)
- Hybride IDS

NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden

Ein Sensor kann ein ganzes Netz überwachen.
Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können.
- Hostbasierte Sensoren (HIDS)
- Netzbasierte Sensoren (NIDS)

@@ Zeile 5: / Zeile 5: @@
 **Hybride IDS
-==Host-basierte IDS==
+*[[Hostbasierte Sensoren (HIDS)]]
-*Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank
-*Eine Unterart der HIDS sind sogenannte „System Integrity Verifiers“, die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.
-===Vorteile===
-*Sehr spezifische Aussagen über den Angriff.
-*Kann ein System umfassend überwachen.
-===Nachteile===
-Kann durch einen DoS-Angriff ausgehebelt werden.
-Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.
 ==Netzwerk-basierte IDS==