Intrusion Detection Systeme (IDS)

Abstract

Die Entwicklung von Intrusion Detection Systems (IDS, „Eindringungs-ErkennungsSysteme“) wurde durch verschiedene prinzipielle und praktische Grenzen von Firewall-Systemen motiviert: So schutzen Firewalls die Systeme eines „inneren“ Netzes nur gegen Angriffe von „ausen“, nicht aber vor internen Angreifern. Statistiken uber Angriffe auf Rechnersysteme betonen jedoch immer wieder den grosen Anteil von „Innentatern“. In heutigen Unternehmensnetzen ist ein Internet-Zugang nur noch in den seltensten Fallen ausschlieslich uber die Firewall des Unternehmens moglich: Modems, ISDN-Karten und vor allem mobile Systeme erlauben oft einen unkontrollierten und ungefilterten Zugang ins Internet. Konfigurationsfehler in einer FirewallArchitektur konnen insbesondere in komplexen Netzarchitekturen nicht ausgeschlossen werden und einem Angreifer das Eindringen uber die Firewall ermoglichen. Werden Firewalls nicht direkt am System sondern durch Fernzugriff administriert, existiert ein Nutzeraccount auf der Firewall – und damit ein sehr sensibler Angriffspunkt. Firewalls sind eine statische Schutzmasnahme. Neue Angriffsmethoden und unentdeckte Fehler im Betriebssystem des Firewall-Rechners konnen Angreifern auch bei korrekter Konfiguration ein Eindringen ermoglichen. Ziel eines IDS ist es, mogliche Angriffspunkte, stattgefundene Angriffsversuche oder sogar durchgefuhrte Attacken auf ein internes Netz zu entdecken. Intrusion Detection Systeme konnen daher Firewalls