Mobile Systems III INFORMATIK

Weitere Magazine

Empfehlungen

Info

156 Intrusion Detection in mobilen Netzwerken 7.3.2 Online und Offline Modus Hier wird unterschieden, ob das IDS permanent oder sporadisch auf die zu prüfenden Daten angewendet wird. Online: Ein ID System läuft online, wenn eine permanente Überwachung des aktuellen Verkehrs vollzogen wird[1]. Hierbei unterscheidet man zwischen zwei Arten der Online-Überwachung. Die erste ist die Kontinuierliche. Das heißt, dass die produzierten Auditdaten unmittelbar der Prüfung auf Angriffe oder Anomalien unterzogen werden, ohne vorher zwischengespeichert zu werden. Die zweite Art läuft gestapelt ab. Hierbei werden innerhalb kurzer Perioden die anfallenden Auditdaten zwischengespeichert und nach Ablauf dieser Perioden gesammelt der Prüfung unterzogen. Die Periodendauer ist dabei maximal einige Sekunden lang. Offline: Hier geht es darum die Logfiles und Protokolle des Systems oder eines Users jeweils nach einer längeren Arbeitsphase, beispielsweise einmal pro Tag, auf Einträge zu untersuchen, die einem Eingriff in das System entsprechen könnten[1]. Nachteil davon ist, dass man nicht die Möglichkeit hat zu reagieren und Schadensbegrenzung zu betreiben. Es ermöglicht aber gleichzeitig, dass die Logfiles gegebenenfalls mehrfach durchsucht werden können, um komplexere und verteiltere Angriffe lokalisieren zu können. 7.3.3 Intrusion Response Es handelt sich bei Intrusion Response um die Maßnahmen des Systems, die unternommen werden können, wenn ein Angriff oder eine Anomalie erkannt worden ist. Problematisch ist dabei, dass Anomalien möglicherweise auch neue normale Aktivitäten sein können, da es im Bereich von Anomaly Detection zu häufigen Fehlalarmen kommen kann. Diesbezüglich sind die Studien noch sehr rar und erlauben derzeit noch keine akzeptable Fehlalarmbehandlung bzw. -vermeidung. Im Folgenden wird auf die Maßnahmen eingegangen die das Intrusion Detection System bei einem Eindringen in das System ergreifen könnte[1]. Passiv: Ein passives ID System wird bei Alarm den Administrator verständigen, und ihm bei Bedarf die Informationen zukommen lassen, die das System über den Angriff in Erfahrung bringen konnte. Maßnahmen um gegen den Angriff vorzugehen werden nicht getroffen.
Lars Langer 157 Aktiv: Maßnahmen bezüglich des angegriffenen Systems: In diesem Fall wird versucht, über das eigene System die Kontrolle zurück zu gewinnen. Im Allgemeinen ist man bestrebt die Auswirkungen des Angriffs zu vermeiden oder zumindest so gering wie möglich zu halten. Hierzu übliche Aktionen sind die Unterbrechung der Verbindung, beispielsweise durch das senden von TCP Reset Paketen, die Sperrung von kompromittierten Benutzerkonten, die möglicherweise infiltriert wurden um sich von dort aus Administratorrechte zu verschaffen, das Beenden schädlicher Prozesse, die eventuell Würmer oder auch Trojaner zugehörig sind, und das Aktivieren einer höheren Sicherheitsstufe, was neben anderen Maßnahmen durch eine Rekonfiguration der Firewalls geschehen kann. Maßnahmen bezüglich des angreifenden Systems: Hierbei wird versucht, in die Operationsplattform des Angreifers einzudringen und diese unschädlich zu machen und möglicherweise entwendete Daten zu entfernen. Diese Vorgehensweise ist rechtlich problematisch und wird deshalb nicht von Unternehmen und privaten Netzwerkbetreibern angewandt. Sie findet daher nur Verwendung beim Militär, beim Bundesnachrichtendienst, bei der Polizei oder anderen Einrichtungen des Bundes. 7.3.4 Umgang mit Prüfdaten Hauptunterscheidungsmerkmal sind beim Umgang mit den Prüfdaten die Aspekte der Zentralisierung und Dezentralisierung. Möglichkeiten der Datensammlung: Auditdaten können an zwei verschiedenen Stellen gesammelten werden[1]. Sie können von einem einzelnen System, Teilsystem oder User gesammelt und kontrolliert werden, oder an einem Router, Gateway oder einer anderer zentralen Einheit abgegriffen werden, womit mehrere Systeme miteinander verbunden werden und worüber die Kommunikation gebündelt wird, so dass es nicht umgangen werden kann. Möglichkeiten der Datenprüfung: Ähnlich der Datensammlung kann auch die Datenprüfung in zwei Arten unterteilt werden. Die Auditdaten können einmal auf dem System geprüft werden, auf dem sie gesammelt werden, oder man verteilt diese Prüfdaten auf mehrere Intrusion Detection Systeme, die miteinander kooperieren[1]. So kann man weiterhin eine gute Performance des eigentlichen Systems gewährleisten, da die Prüfung selbst dieses System nicht belastet. Möglich ist auch, dass man die Ergebnisse bei dezentralisierter Datenprüfung miteinander abgleicht, also beispielsweise die anderen Systeme danach fragt, ob sie dieselbe Anomalie entdeckt haben, wie das eigene System.
Seite 1 und 2:
Mobile Systems III Burkhard STILLER
Seite 3 und 4:
Introduction The Information System
Seite 5:
Inhaltsverzeichnis 5 1 War Driving
Seite 8 und 9:
8 War Driving - An Approach to Loca
Seite 10 und 11:
10 War Driving - An Approach to Loc
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33:
32 Neue VPN-Lösungen Inhaltsverzei
Seite 34 und 35:
34 Neue VPN-Lösungen 2.2 Virtual P
Seite 36 und 37:
36 Neue VPN-Lösungen Gateway-to-Ho
Seite 38 und 39:
38 Neue VPN-Lösungen 2.3.1 Authent
Seite 40 und 41:
40 Neue VPN-Lösungen Die symmetris
Seite 42 und 43:
42 Neue VPN-Lösungen Abbildung 2.9
Seite 44 und 45:
44 Neue VPN-Lösungen Durch diese Z
Seite 46 und 47:
Seite 48 und 49:
Seite 50 und 51:
50 Neue VPN-Lösungen Unterstützun
Seite 52 und 53:
52 Neue VPN-Lösungen [17] http://w
Seite 54 und 55:
54 Realtime Networking in Wireless
Seite 56 und 57:
Seite 58 und 59:
Seite 60 und 61:
Seite 62 und 63:
Seite 64 und 65:
Seite 66 und 67:
Seite 68 und 69:
Seite 70 und 71:
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
78 Micro-Mobility in IP-based Netwo
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
100 Micro-Mobility in IP-based Netw
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107: 106 Quality of Service in Wireless
Seite 120 und 121: Literaturverzeichnis [1] Quality of
Seite 122 und 123: 122 Moderne Konzepte für Sicherhei
Seite 144 und 145: Literaturverzeichnis [1] Schily for
Seite 148 und 149: 148 Intrusion Detection in mobilen
Seite 164 und 165: Literaturverzeichnis [1] S. Axelsso
Seite 166 und 167: 166 Software Environments for Mobil
Seite 190: Literaturverzeichnis [1] GNU Projec
Alle anzeigen

Mobile Systems III INFORMATIK

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?