Grundlagen: Überwachungssysteme in Netzwerken

Network-based Intrusion Detection System (NIDS)

NIDS überwachen den gesamten Verkehr in einem Datennetz. Je nach der Größe des Netzwerks empfiehlt es sich, einzelne Segmente einzurichten. So werden die NIDS nicht überlastet. Sind NIDS im Netz platziert, beobachten und erfassen sie den gesamten Datenverkehr in ihrem Segment.

Durch die Analyse dieser Daten kann die IDS etwa anhand von Signaturen feststellen, ob es sich bei den gesammelten Daten um normalen Verkehr oder um einen Angriff handelt. Das System bedient sich einer vordefinierten „Roten Liste“, in der gefährlicher Datenverkehr verzeichnet ist. Außerdem legt die Liste fest, wie mit diesen Daten zu verfahren ist.

Skalierbar: Wenn es das Netzwerkaufkommen erfordert, können vor einzelne Switches noch zusätzliche Prüfsysteme geschalten werden.
Skalierbar: Wenn es das Netzwerkaufkommen erfordert, können vor einzelne Switches noch zusätzliche Prüfsysteme geschalten werden.

Da NIDS den ganzen Datenverkehr mitlesen sollen, müssen sie wohlüberlegt platziert sein. Überlastete NIDS können sich negativ auf das gesamte Netzwerk auswirken. Deswegen bestehen Network-based-Intrusion-Dectection-Systeme in der Regel aus mehreren logischen Bausteinen.