Grundlagen: Überwachungssysteme in Netzwerken

Funktionsweisen

Zu diesem Zweck muss zuerst der in Frage kommende Datenverkehr gesammelt werden. Je nachdem welche Intrusion-Detection-Technik zum Einsatz kommt, sammelt das System Daten aus dem Netzwerk, schaut also in einzelne Datenpakete hinein, oder aber es befasst sich mit Systemdateien wie zum Beispiel Logfiles einzelner Server.

Aufpasser: Netzwerkbasierte Intrusion-Detection-Systeme haben ein Auge auf den gesamten Netzwerk-Traffic
Aufpasser: Netzwerkbasierte Intrusion-Detection-Systeme haben ein Auge auf den gesamten Netzwerk-Traffic

Anschließend analysiert das System diese Daten. Jedes Datenpaket kann theoretisch ein Angriff auf das Netzwerk sein, wird daher auf verdächtige Spuren untersucht. IDS sucht bei der Analyse zum Beispiel nach bekannten Signaturen in „mitgelesenen“ Datenpaketen oder befasst sich näher mit Anmeldeversuchen, die nicht funktionierten.

Sind die Daten untersucht, müssen die Ergebnisse weiterverarbeitet werden. Ist das System fündig, löst es zum Beispiel Alarm aus (IDS) oder leitet zusätzlich vordefinierte Gegenmaßnahmen ein, bevor der Angreifer Schaden anrichtet (IPS).

Lösungsansätze

Um mit IDS den Netzwerkverkehr zu beobachten, haben Administratoren verschiedene Möglichkeiten: Sie können das Firmennetz in Segmente aufteilen und in jedem Segment eine Überwachungs-Hardware positionieren, sie können aber auch eine Software auf allen zu schützenden Systemen installieren, wie zum Beispiel Web-, Mail- oder File-Servern.