Intrusion Detection Systeme

Heutzutage sieht sich ein lokales Netzwerk mit Verbindung zum Internet,
einer Vielzahl von Gefahren ausgesetzt. Firewalls bieten zwar eine gute
erste Sicherung dieses Netzes, eine garantierte einhundertprozentige
Sicherheit wird es aber nie geben. Software- und Konfigurationsfehler in
der Firewall bieten Schwachstellen nach außen hin, während auch von
innen durch die Netzwerkclients Gefahrquellen existieren. Insofern ist,
gerade für Firmennetze in denen sensible Daten genutzt und gespeichert
werden, eine zusätzliche Sicherung erforderlich. Ein Intrusion Detection
System (im Folgenden kurz IDS genannt) hat die Aufgabe diese Lücke zu
füllen, indem es Angriffsversuche aufdeckt und in Form von so genannten
Alarmen meldet.
Die Problematik die im Zusammenhang mit IDS entsteht, liegt in dem
Auftreten von Fehlalarmen. Dabei wird unterschieden zwischen positiven
und negativen Fehlalarmen. Ein positiver Fehlalarm ist eine Meldung des
IDS, ohne dass dafür ein wirklicher Angriffversuch vorliegt. Im Gegensatz
dazu erzeugt ein negativer Fehlalarm trotz Angriffsaktivitäten keine
Meldung des IDS.
In dieser Seminararbeit möchte ich in den Kapiteln 2 und 3 zunächst auf
die Funktionsweise von IDS im Allgemeinen eingehen, d. h. losgelöst von
bestimmten Implementationen. In den Kapiteln 4 und 5 werde ich einige
Angriffsverfahren erläutern und beispielhaft auf die Erkennung durch IDS
eingehen. Ebenfalls anschneiden möchte ich das Thema Intrusion
Prevetion Systeme in Kapitel 6, da es ähnliche Zielsetzungen verfolgt und
in ganzheitliche Sicherheitskonzepte ebenfalls mit eingeplant werden
sollte. Abschließen werde ich die Arbeit mit einem eigenen Fazit in Kapitel
7. Größere Abbildungen habe ich zur besseren Lesbarkeit in einem
eigenen Abbildungsverzeichnis im Anhang eingefügt. Auch wird an
einigen Stellen auf Begriffserklärungen im Index verwiesen.