Überwachungssysteme in Netzwerken

Anschließend analysiert das System diese Daten. Jedes Datenpaket kann theoretisch ein Angriff auf das Netzwerk sein, wird daher auf verdächtige Spuren untersucht. IDS sucht bei der Analyse zum Beispiel nach bekannten Signaturen in „mitgelesenen“ Datenpaketen oder befasst sich näher mit Anmeldeversuchen, die nicht funktionierten.

Sind die Daten untersucht, müssen die Ergebnisse weiterverarbeitet werden. Ist das System fündig, löst es zum Beispiel Alarm aus (IDS) oder leitet zusätzlich vordefinierte Gegenmaßnahmen ein, bevor der Angreifer Schaden anrichtet (IPS).

Lösungsansätze

Um mit IDS den Netzwerkverkehr zu beobachten, haben Administratoren verschiedene Möglichkeiten: Sie können das Firmennetz in Segmente aufteilen und in jedem Segment eine Überwachungs-Hardware positionieren, sie können aber auch eine Software auf allen zu schützenden Systemen installieren, wie zum Beispiel Web-, Mail- oder File-Servern.

Network-based Intrusion Detection System (NIDS)

NIDS überwachen den gesamten Verkehr in einem Datennetz. Je nach der Größe des Netzwerks empfiehlt es sich, einzelne Segmente einzurichten. So werden die NIDS nicht überlastet. Sind NIDS im Netz platziert, beobachten und erfassen sie den gesamten Datenverkehr in ihrem Segment.

Durch die Analyse dieser Daten kann die IDS etwa anhand von Signaturen feststellen, ob es sich bei den gesammelten Daten um normalen Verkehr oder um einen Angriff handelt. Das System bedient sich einer vordefinierten „Roten Liste“, in der gefährlicher Datenverkehr verzeichnet ist. Außerdem legt die Liste fest, wie mit diesen Daten zu verfahren ist.