Ein Intrusion Detection System (IDS) ist eine Netzwerksicherheitstechnologie, die ursprünglich für die Erkennung von Schwachstellenausnutzungen gegen eine Zielanwendung oder einen Computer entwickelt wurde. Intrusion Prevention Systems (IPS) haben IDS-Lösungen um die Fähigkeit erweitert, Bedrohungen nicht nur zu erkennen, sondern auch zu blockieren, und sind zur dominierenden Einsatzoption für IDS/IPS-Technologien geworden. Dieser Artikel befasst sich mit der Konfiguration und den Funktionen, die den IDS-Einsatz definieren.
Ein IDS muss nur Bedrohungen erkennen und wird als solches außerhalb der Netzwerkinfrastruktur platziert, was bedeutet, dass es nicht in den echten Echtzeit-Kommunikationspfad zwischen Sender und Empfänger von Informationen eingebunden ist. Stattdessen nutzen IDS-Lösungen häufig einen TAP- oder SPAN-Port, um eine Kopie des Inline-Verkehrsstroms zu analysieren (und so sicherzustellen, dass das IDS die Inline-Netzwerkleistung nicht beeinträchtigt).
IDS wurde ursprünglich auf diese Weise entwickelt, weil die für die Intrusion Detection erforderliche Analysetiefe damals nicht mit einer Geschwindigkeit durchgeführt werden konnte, die mit Komponenten auf dem direkten Kommunikationspfad der Netzwerkinfrastruktur Schritt halten konnte.
Wie bereits erläutert, ist das IDS auch ein reines Abhörgerät. Das IDS überwacht den Datenverkehr und meldet seine Ergebnisse an einen Administrator, kann aber nicht automatisch Maßnahmen ergreifen, um zu verhindern, dass ein erkannter Angreifer das System übernimmt. Angreifer sind in der Lage, Schwachstellen sehr schnell auszunutzen, sobald sie in das Netzwerk eingedrungen sind, was das IDS zu einem unzureichenden Gerät für die Prävention macht.
Die folgende Tabelle fasst die technischen Unterschiede zwischen IPS- und IDS-Einsatz zusammen:
| Intrusion Prevention System | IDS-Einsatz | |
|---|---|---|
| Platzierung in der Netzwerkinfrastruktur | Teil der direkten Kommunikationslinie (inline) | Außerhalb der direkten Kommunikationslinie (out-of-band) |
| Systemtyp | Aktiv (Überwachung & automatische Abwehr) und/oder passiv | Passiv (Überwachung & Benachrichtigung) |
| Erkennungsmechanismen | 1. Statistische anomalie-basierte Erkennung 2. Signaturerkennung: – Exploit-orientierte Signaturen – Schwachstellen-orientierte Signaturen |
1. Erkennung von Signaturen: – Ausnutzungsorientierte Signaturen |