Netzwerk-Grundlagen – Angriffserkennung, Teil 2

Einführung in die IDS-Erkennung und Analyse von Netzwerk-Attacken

31.08.2010 | Autor / Redakteur: Markus Nispel / Stephan Augsten

Intrusion-Detection-Systeme erkennen Angriffe anhand verschiedener Merkmale.

Ob Denial of Service, Cross Site Scripting oder Buffer Overflows: Intrusion-Detection- und -Prevention-Systeme sind in der Lage, die im ersten Teil dieser Reihe genannten Angriffsschemata zu erkennen und entsprechend zu reagieren. In diesem Artikel befassen wir und mit den technischen Grundlagen der Angriffserkennung.

Wie im ersten Teil der Netzwerk-Gundlagen zur Angriffserkennung beschrieben, gibt es für die verschiedenen Angriffe verschiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte Intrusion Detection System (IDS) alle verfügbaren Erkennungstechnologien vereint.

Erst dann ist das IDS dazu in der Lage, die jeweils beste Technologie zur Erkennung und Prävention einzusetzen. Grundsätzlich kann zwischen folgenden Erkennungstechnologien unterschieden werden:

Behavior Based Anomaly Detection

• Die Analyse von Verkehrsbeziehungen mittels Daten aus den Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponentenspezifischer Traps.
• Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc.

Anomaly Detection

• Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag Kombinationen gesetzt, etc.).
• Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/passwd“ wird normalerweise nicht geändert).

Protocol based – Protocol Conformance Analysis und Decoding

• Die Decodierung von Protokollen und Überprüfung der Konformität im Hinblick auf Standards.

Signature based – Pattern Matching

• Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.).
• Bei Host-Sensoren versteht man darunter zum Beispiel die Analyse von Logdateien.

Inhalt

• Seite 1: Grundlagen IDS-Erkennung
• Seite 2: Verhaltensanalyse und Anomalienerkennung
• Seite 3: Hostbasierte versus netzwerkbasierte Erkennung

Über Enterasys Networks

Über Enterasys Networks

Enterasys Networks ist ein globaler Anbieter von Secure Networks für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs- und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche Service und Support-Leistungen an. Das Produktangebot reicht von Multilayer Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention Systemen.

Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile umzusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unabhängig von Hersteller und Technologie.

Über 20 Jahre Erfahrung und mehr als 26.000 weltweite Kunden bilden das Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich nach dem Motto „There is nothing more important than our customer“, in dem unsere Kunden im Mittelpunkt stehen.

Seit dem 01. Oktober 2008 ist Enterasys Teil des Joint Ventures Siemens Enterprise Communications Group unter der Führung von The Gores Group. Das Joint Venture ist ein Anbieter von Hardware, Software und Services für sichere, service-orientierte Netzwerke, die auf der Basis von Standards Open Communications ermöglichen.

Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unternehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Weitere Informationen zu Enterasys Secure Networks und den Produkten für Festnetze und drahtlose Netzwerke.

Kommentar zu diesem Artikel

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Resultat dieser Rechenaufgabe (Addition) ein:

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046856)