Einsatz von intrusion Detection Systemen (IDS): Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
==Netzwerkbasierte Sensoren (NIDS)== | ==Netzwerkbasierte Sensoren (NIDS)== | ||
*Überwachen den Netzwerkverkehr | *Überwachen den Netzwerkverkehr | ||
| Zeile 16: | Zeile 14: | ||
*verteilte Angriffe im Netzwerk können kaum, bzw. nur schwer erkannt werden | *verteilte Angriffe im Netzwerk können kaum, bzw. nur schwer erkannt werden | ||
[[Datei:HIDS.dia]] | [[Datei:HIDS.dia]] | ||
| + | |||
| + | ===Links=== | ||
| + | *https://help.ubuntu.com/community/SnortIDS | ||
Version vom 23. August 2016, 13:41 Uhr
Netzwerkbasierte Sensoren (NIDS)
- Überwachen den Netzwerkverkehr
- dienen zum Erkennen von netzbasierten Angriffen (z.B. SYN flooding, Wurm- und DoS-Angriffe
- werden i.d.R. auf seperatem Rechner eingesetzt (oft als Appliance-Lösungen erhältlich)
- können für den Angreifer "unsichtbar" eingesetzt werden
- können in verschlüsselten Datenpaketen keine Ereignisse erkennen
Hostbasierte Sensoren (HIDS)
- werden direkt auf den zu überwachenden Systemen eingesetzt
- dienen zum Erkennen von Angriffen auf Anwendungs- oder Betriebsystemebene (u.a. Rechte-Überschreitungen, Trojaner, fehlgeschlagene Anmeldeversuche, Änderung an Log-Dateien, etc.)
- können zur Integritätsüberwachung eingesetzt werden
- verschlüsselte Datenpakete können überwacht werden
- verteilte Angriffe im Netzwerk können kaum, bzw. nur schwer erkannt werden