IDS - Intrusion Detection System

Aus IT-Forensik Wiki

Intrusion-Detection-System

Intrusion-Detection-Systeme (im Folgenden IDS genannt) sind Technische-Systeme die in der Lage sind, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. IDS bieten viele Möglichkeiten, um frühzeitig Angriffe oder Angriffsmuster zu erkennen. Ein IDS kann als eigenständige Hardware in einem Netzwerk (NIDS – Network Intrusion Detection System) installiert oder als Softwarekomponente auf einem vorhandenen System realisiert sein. Häufig sind IDS ein zusätzlicher Bestandteil von Hard- oder Softwarebasierten Firewall-Systemen.

Ein sinnvolles Intrusion-Detection-Konzept deckt u.a. folgende Anforderungen ab:

  • Erkennung von Angriffen im Netzwerkverkehr
  • Prüfung auf Regel-konformes/Policy-konformes Verhalten
  • Überwachung der Funktion und Integrität von Systemen und Komponenten
  • Permanente, umfangreiche und gleichbleibende Systembeobachtung
  • Beweissicherung
  • Erkennung allgemeiner Systemstörungen
  • Bei Bedarf ausgewählte automatische Reaktionen
  • Für alle System- und Überwachungsbereiche entsprechenden Frühwarnfunktionen

Ein IDS kann einen Angriff nicht verhindern! Sinnvoll konzipiert und eingesetzt hilft es aber, Anzeichen von Angriffen zu erkennen und durch Beweise zu sammeln.

Im Gegensatz zu einem IDS ist ein IPS – Intrusion Prevention System – in der Lage, Angriffe auf Netzwerke oder Systeme zu erkennen und daraufhin automatisch geeignete Schutzmaßnahmen einzuleiten.

Quellen: Geschonneck, A. (2014). Computer Forensik / Computerstraftaten erkennen, ermitteln, aufklären. Heidelberg: dpunkt.verlag GmbH.