Wertvolle G�ter m�ssen vor Diebstahl und Zerst�rung gesch�tzt werden. Einige H�user sind mit Alarmanlagen ausger�stet, die Einbrecher abwehren, Beh�rden nach einem Einbruch benachrichtigen oder sogar die Besitzer bei einem Hausbrand warnen k�nnen. Solche Ma�nahmen sind notwendig, um die Integrit�t der H�user und die Sicherheit der Hausbesitzer zu gew�hrleisten.
Die gleiche Gew�hrleistung von Integrit�t und Sicherheit sollte auch auf Computersysteme und Daten angewandt werden. Das Internet hat den Informationsfluss, von pers�nlichen bis zu finanziellen Daten m�glich gemacht. Zur gleichen Zeit hat es genauso viele Gefahren heraufbeschworen. B�swillige Benutzer und Cracker suchen sich verletzbare Angriffsziele wie ungepatchte Systeme, mit Trojanern infizierte Systeme und Netzwerke mit unsicheren Diensten. Es wird ein Alarm ben�tigt, der Administratoren und Mitglieder des Sicherheitsteams warnt, dass ein Bruch vorgefallen ist, so dass diese in Echtzeit reagieren k�nnen. Intrusion Detection Systems wurden als ein solches Alarmsystem entworfen.
9.1. Definition der Intrusion Detection Systeme
Ein Intrusion Detection System (IDS) ist ein aktiver Prozess oder ein aktives Ger�t, das die System- und Netzwerkaktivit�t auf unbefugte Zugriffe und/oder b�swillige Aktivit�ten analysiert. Die Methode, wie IDS Anomalien entdeckt, kann variieren; das ultimative Ziel einer jeden IDS ist jedoch das Ertappen auf frischer Tat, bevor ernsthafte Sch�den am System angerichtet werden.
IDS sch�tzen ein System vor einer Attacke, vor Missbrauch und Kompromittierung. Sie k�nnen auch Netzwerkaktivit�ten �berwachen, Netzwerk- und Systemkonfigurationen auf Schwachstellen pr�fen, Datenintegrit�t analysieren und vieles mehr. Abh�ngig von der Methode, die Sie einsetzen m�chten, gibt es verschiedene direkte und indirekte Vorteile von IDS.
9.1.1. Typen von IDS
Das Verst�ndnis, was ein IDS ist, und welche Funktionen bereitgestellt werden, ist der Schl�ssel zu der Entscheidung, welche Art IDS in Ihrer Computersicherheitspolice angemessen ist. In diesem Abschnitt werden die Konzepte hinter IDS, die Funktionalit�ten jeder IDS-Art und das Auftauchen hybrider IDS, die mehrere Erkennungstaktiken und Tools in einem Paket integrieren, behandelt.
Einige IDS sind knowledge-based, und warnen im voraus Sicherheitsadministratoren vor einem Einbruch mit Hilfe einer Datenbank der h�ufigsten Attacken. Alternativ dazu gibt es behavioral-based (verhaltens-basierte) IDS, die Ressourcen auf Anomalien untersuchen, was meistens ein Zeichen f�r unbefugte Aktivit�ten mit b�swilliger Absicht ist. Einige IDS sind Standalone-Dienste, die im Hintergrund arbeiten und passiv auf Aktivit�ten abh�ren und alle verd�chtigen Pakete von au�en protokollieren. Andere kombinieren Standard-System-Tools, ver�nderte Konfigurationen und detailliertes Logging mit der Intuition eines Administrators und der Erfahrung, ein leistungsstarkes Einbruch-Erkennungs-Kit zu erstellen. Das Auswerten dieser vielen Intrusion-Detection-Technologien kann Ihnen beim Finden des f�r Sie richtigen Programms helfen.
Die g�ngigsten IDS-Arten in Bezug auf Sicherheit sind bekannt als host-basiert und netzwerk-basiert. Ein host-basiertes IDS ist gleichzeitig das Umfassendste von beiden, was die Implementierung eines Detection-Systems auf jedem individuellen Host umfasst. Dies bedeutet, dass der Host immer gesch�tzt ist, unabh�ngig von der Netzwerkumgebung. Ein netzwerk-basiertes IDS �bertragt die Daten zuerst an eine Einheit, bevor diese an den Zielrechner geschickt werden. Netzwerk-basierte IDS werden meist als unzureichend anerkannt, da viele Rechner in mobilen Umgeben eine zuverl�ssige Datenflusskontrolle/-�berwachung nicht erm�glichen.
