Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Lars Langer 155<br />
7.3.1 Netzwerkbasiert und Rechnerbasiert<br />
Ein ID System kann zur Überwachung von Netzwerken oder Rechnern verwendet werden.<br />
Im Folgenden wird auf diesen Unterschied genauer eingegangen.<br />
Netzwerkbasiert:<br />
Ein Intrusion Detection System wird in diesem Fall dazu verwendet, ein Netzwerk zu<br />
überwachen[1]. Diese Anwendung ist für einen Angreifer unsichtbar, da das System lediglich<br />
die anfallenden Daten abhören muss. Man spricht deshalb auch davon, dass netzwerkbasierte<br />
ID im ’Stealth-Modus’ operieren. Trotz ihrer Aufgabe den gesamten Netzwerkverkehr<br />
zu überwachen, besteht auch hier die Möglichkeit, die Verfahren einer zentralen<br />
Kontrolleinheit unterstellen zu können. Üblicherweise versucht man die Auditdaten, falls<br />
möglich, an einem Engpass wie einem Router, Gateway etc. abzugreifen und der Prüfung<br />
zu unterziehen. Da gerade in einem Netzwerk eine Vielzahl verschiedener Vorgänge und<br />
Zustände auftreten, nicht zuletzt weil mehrere Systeme das Netzwerk benutzen, bietet sich<br />
Anomaly Detection weniger an und man setzt statt dessen fast immer auf Signature Detection.<br />
Das zieht natürlich nach sich, dass bei der Erkennung neuer Angriffe unweigerlich<br />
Probleme auftreten. Das erfordert das ständige Aktualisieren der Signature-Datenbanken<br />
über das Netz. Auch diese können während eines Angriffs in das Netzwerk in Mitleidenschaft<br />
gezogen werden. Konflikte gibt es derzeit auch mit kryptographisch geschützten<br />
Verbindungen, da die aktuellen Daten nur in Klartextform mit den vorliegenden Daten<br />
der Signaturdatenbank verglichen werden können. IDS schauen hierbei nicht nur in die<br />
Protokollköpfe, sondern auch in die Nutzdaten. Da dies bei verschlüsselten Verbindungen<br />
nicht möglich ist, kann das Intrusion Detection System die Daten nicht überwachen. Es<br />
sei darauf hingewiesen, dass kryptographisch geschützte Verbindungen auch weniger anfällig<br />
für Angriffe sind, da sie durch die Verschlüsselung selbst für einen höheren Grad an<br />
Sicherheit sorgen. Die verschlüsselten Daten können normalerweise nur vom Sender und<br />
Empfänger genutzt werden. Dadurch wird dieses Problem eher nebensächlich. Nur bei internen<br />
Bedrohungen kann diese Situation zu Gefahr werden. Man kann auch nicht davon<br />
ausgehen, hier generelle Lösungen zu finden, da die Verschlüsselung ja darauf ausgelegt<br />
ist, dass sie niemand fremdes entziffern kann, auch nicht das ID System.<br />
Rechnerbasiert:<br />
Im Gegensatz zum netzwerkbasierten Intrusion Detection System was den Verkehr verschiedener<br />
Rechner kontrolliert, beschäftigt sich hier das ID System mit dem Prüfen der<br />
Auditdaten eines einzelnen <strong>Systems</strong>, Teilsystems oder Users[1]. Die Durchsuchung läuft<br />
im Wesentlichen in den sicherheitsrelevanten Protokolldateien des Rechners ab. Beispielsweise<br />
versucht man Eindringlinge in Kernel Logfiles, Router Logs, Firewall Logs oder<br />
Logfiles von Anwendungsprogrammen aufzudecken. Die Integrität dieser und ähnlicher<br />
systemrelevanter Daten erhalten hier die höchste Priorität.