Intrusion Detection (ID): Erkennen von Einbrüchen
Intrusion Detection (ID) ist ein Security-Management-System für Computer und Netzwerke. Ein ID-System sammelt und analysiert Informationen aus verschiedenen Bereichen eines Computers oder in einem Netzwerk und identifiziert mögliche Sicherheitsverletzungen. Das beinhaltet sowohl Einbrüche von außerhalb der Organisation als auch Missbrauch aus internen Kreisen. ID verwendet Schwachstellen-Bewertung (Vulnerability Assessment), manchmal auch als Scanning bezeichnet. Mithilfe dieser Technologie schätzt man die Sicherheit eines Computers oder eines Netzwerks ein.
Zu den Funktionen von Intrusion Detection gehören:
- Monitoring und Analyse sowohl der Anwender als auch der Systemaktivitäten.
- Analyse der Systemkonfiguration und der Schwachstellen.
- Bewertung der System- und Datei-Integrität.
- Die Fähigkeit, typische Angriffsmuster erkennen zu können.
- Analyse von nicht normalen Aktivitätsmustern.
- Verfolgung von Verletzungen in Bezug auf die Anwender-Policies.
ID-Systeme werden als Antwort auf die wachsende Anzahl an Angriffen auf große Websites und Netzwerke entwickelt. Dazu gehören auch das Pentagon, das Weiße Haus, die NATO und diverse Verteidigungs-Ministerien. Die Realisierung der Security gestaltet sich immer schwieriger. Das liegt daran, dass die Technologien für Angriffe immer ausgeklügelter werden. Gleichzeitig brauchen böswillige Hacker-Neulinge immer weniger technisches Fachwissen. Haben sich Angriffsmethoden als erfolgreich erwiesen, findet man dazu umfangreiche Informationen im Internet.
In der Regel besteht ein ID-System aus Prozessen, die in zwei Schritte aufgeteilt sind. Die ersten Prozeduren sind Host-basiert und man bezeichnet das auch als passive Komponenten. Dazu gehören:
- Inspektion der Konfigurations-Dateien des Systems und die Erkennung von nicht empfehlenswerten Einstellungen.
- Überprüfung der Passwortdateien und die Erkennung schwacher Kennwörter.
- Durchsicht weiterer Systembereiche, um Verletzungen der Policies zu erkennen.
Die zweiten Prozeduren sind Netzwerk-basierend und auch als aktive Komponenten bekannt. Hier sorgen Mechanismen für ein Nachvollziehen bekannter Angriffsmethoden, die im Anschluss entsprechend protokolliert werden.
Im Jahre 1998 hat eine der führenden Security-Organisationen, ICSA.net, IDSC (Intrusion Detection Systems Consortium) in Leben gerufen. Es handelte sich um ein offenes Forum für ID-System-Entwickler. Ziel des Konsortiums: Informationen an Endanwender weiterzugeben und Industrie-Standards zu entwickeln.