Ein Intrusion Detection System (IDS) überwacht den Netzwerkverkehr und überwacht verdächtige Aktivitäten und warnt das System oder den Netzwerkadministrator. In einigen Fällen kann das IDS auch auf ungewöhnlichen oder böswilligen Datenverkehr reagieren, indem es beispielsweise den Benutzer oder die Quell-IP-Adresse daran hindert, auf das Netzwerk zuzugreifen.
IDS gibt es in verschiedenen „Geschmacksrichtungen“ und verfolgen das Ziel, verdächtigen Verkehr auf unterschiedliche Weise zu erkennen. Es gibt netzwerkbasierte (NIDS) und hostbasierte (HIDS) Intrusion Detection-Systeme. Es gibt IDS, die auf der Suche nach bestimmten Signaturen bekannter Bedrohungen erkennen - ähnlich wie Antivirensoftware typischerweise Malware erkennt und vor Malware schützt, und es gibt IDS, die basierend auf dem Vergleich von Verkehrsmustern mit einer Baseline und der Suche nach Anomalien erkennen. Es gibt IDS, die einfach überwachen und warnen, und es gibt IDS, die eine oder mehrere Aktionen als Reaktion auf eine erkannte Bedrohung ausführen. Wir werden jeden von ihnen kurz behandeln.
NIDS
Network Intrusion Detection-Systeme werden an einem oder mehreren strategischen Punkten im Netzwerk platziert, um den Verkehr von und zu allen Geräten im Netzwerk zu überwachen. Idealerweise scannen Sie den gesamten eingehenden und ausgehenden Datenverkehr. Dies kann jedoch zu Engpässen führen, die die Gesamtgeschwindigkeit des Netzwerks beeinträchtigen könnten.
HIDS
Host Intrusion Detection-Systeme werden auf einzelnen Hosts oder Geräten im Netzwerk ausgeführt. Ein HIDS überwacht nur die eingehenden und ausgehenden Pakete vom Gerät und benachrichtigt den Benutzer oder Administrator, wenn verdächtige Aktivitäten entdeckt werden
Signaturbasiert
Ein signaturbasiertes IDS überwacht Pakete im Netzwerk und vergleicht sie mit einer Datenbank mit Signaturen oder Attributen bekannter bösartiger Bedrohungen. Dies ist ähnlich wie bei den meisten Antivirensoftware Malware erkannt. Das Problem ist, dass es eine Verzögerung zwischen der Entdeckung einer neuen Bedrohung und der Signatur zur Erkennung dieser Bedrohung gibt, die auf Ihr IDS angewendet wird. Während dieser Verzögerungszeit kann Ihr IDS die neue Bedrohung nicht erkennen.
Anomalie-basiert
Ein IDS, das auf Anomalien basiert, überwacht den Netzwerkverkehr und vergleicht ihn mit einer festgelegten Basislinie. Die Baseline ermittelt, was für dieses Netzwerk "normal" ist - welche Bandbreite wird im Allgemeinen verwendet, welche Protokolle werden verwendet, welche Ports und Geräte werden normalerweise miteinander verbunden - und benachrichtigt den Administrator oder Benutzer, wenn Datenverkehr erkannt wird, der anormal ist. oder wesentlich anders als die Basislinie.
Passive IDS
Ein passives IDS erkennt und meldet einfach. Wenn verdächtiger oder böswilliger Datenverkehr erkannt wird, wird eine Warnung generiert und an den Administrator oder Benutzer gesendet, und es liegt an ihnen, Maßnahmen zu ergreifen, um die Aktivität zu blockieren oder auf irgendeine Weise zu reagieren.
Reaktive IDS
Ein reaktives IDS erkennt nicht nur verdächtigen oder böswilligen Datenverkehr und alarmiert den Administrator, sondern ergreift vordefinierte proaktive Maßnahmen, um auf die Bedrohung zu reagieren. In der Regel bedeutet dies, dass jeglicher weiterer Netzwerkverkehr von der Quell-IP-Adresse oder dem Benutzer blockiert wird.
Eines der bekanntesten und am weitesten verbreiteten Intrusion Detection-Systeme ist das frei verfügbare Open Source Snort. Es ist für eine Reihe von Plattformen und Betriebssystemen verfügbar, einschließlich Linux und Windows. Snort hat eine große und treue Fangemeinde, und im Internet stehen zahlreiche Ressourcen zur Verfügung, mit denen Sie Signaturen erwerben können, um die neuesten Bedrohungen zu erkennen.
Zwischen einer Firewall und einem IDS besteht eine feine Linie. Es gibt auch eine Technologie namens IPS - Intrusion Prevention System. Ein IPS ist im Wesentlichen eine Firewall, die Filterung auf Netzwerk- und Anwendungsebene mit einem reaktiven IDS kombiniert, um das Netzwerk proaktiv zu schützen. Es scheint, dass IDS und IPS mit der Zeit auf Firewalls mehr Attribute voneinander übernehmen und die Linie noch mehr verwischen.
Im Wesentlichen ist Ihre Firewall Ihre erste Verteidigungslinie. Best Practices empfehlen, dass Ihre Firewall explizit so konfiguriert wird, dass der gesamte eingehende Datenverkehr verweigert wird, und dass Sie ggf. Lücken aufschlagen. Möglicherweise müssen Sie Port 80 öffnen, um Websites zu hosten, oder Port 21, um einen FTP-Dateiserver zu hosten. Jede dieser Lücken kann unter einem bestimmten Gesichtspunkt notwendig sein, sie stellen jedoch auch mögliche Vektoren für schädlichen Datenverkehr dar, die in Ihr Netzwerk gelangen, anstatt von der Firewall blockiert zu werden.
An diesem Punkt würde Ihr IDS eingesetzt werden. Unabhängig davon, ob Sie ein NIDS im gesamten Netzwerk oder ein HIDS auf Ihrem spezifischen Gerät implementieren, überwacht das IDS den eingehenden und ausgehenden Datenverkehr und erkennt verdächtigen oder böswilligen Datenverkehr, der Ihre Firewall oder den Firewall irgendwie umgangen hat kann möglicherweise auch aus Ihrem Netzwerk stammen.
Ein IDS kann ein hervorragendes Werkzeug zur proaktiven Überwachung und zum Schutz Ihres Netzwerks vor böswilligen Aktivitäten sein. Sie neigen jedoch auch zu Fehlalarmen. Bei nahezu jeder IDS-Lösung, die Sie implementieren, müssen Sie sie nach der ersten Installation anpassen. Das IDS muss ordnungsgemäß konfiguriert sein, um den normalen Datenverkehr in Ihrem Netzwerk und den böswilligen Datenverkehr zu erkennen. Sie oder die für die Reaktion auf IDS-Alarme zuständigen Administratoren müssen wissen, was die Alarme bedeuten und wie sie effektiv reagieren können.
