Grundlagen

Überwachungssysteme in Netzwerken

20. Dezember 2006
Von Andreas Wurm
Um ein Unternehmensnetz gegen Angriffe sicher zu machen, braucht man ein fein abgestimmtes Sicherheitsnetz. Eine der wichtigsten Komponenten ist dabei die Intrusion Detection beziehungsweise Intrusion Prevention (IDS/IPS). In unserem Grundlagenartikel zeigen wir Ihnen, wie diese Systeme arbeiten.

Intrusion-Detection- und Intrusion-Prevention-Systeme überwachen den Verkehr in einem Netzwerk und sollen Angreifer hindern. Sie schlagen bei Eindringlingen Alarm (IDS) oder ergreifen gleichzeitig Gegenmaßnahmen (IPS).

Die Arbeitsweise von IDS und IPS sind annähernd gleich, bis auf den Unterschied, dass IPS Angreifer im besten Fall aussperren können. Die Systeme bestehen aus einzelnen Bausteinen, die unterschiedliche Aufgaben erfüllen.

In diesem Artikel wollen wir Ihnen die Arbeitsweisen beider Systeme näher bringen. Dabei werfen wir auch einen kurzen Blick auf Honeypots. Diese haben die Aufgabe, Angreifer abzulenken und Erkenntnisse über neue Attacken zu sammeln.

Funktionsweisen

Zu diesem Zweck muss zuerst der in Frage kommende Datenverkehr gesammelt werden. Je nachdem welche Intrusion-Detection-Technik zum Einsatz kommt, sammelt das System Daten aus dem Netzwerk, schaut also in einzelne Datenpakete hinein, oder aber es befasst sich mit Systemdateien wie zum Beispiel Logfiles einzelner Server.