In den Anfängen des Internets spielten Sicherheitsaspekte noch keine große Rolle. Erst mit zunehmender
Verbreitung im kommerziellen Bereich wuchs das Bedürfnis nach sicherer Kommunikation.
Stand anfangs noch der freie wissenschaftliche Informationsaustausch zwischen Universitäten im
Vordergrund, so stellte sich bald heraus, dass Firmen oder Regierungsorganisationen andere Anforderungen
an ein weltweites Netzwerk stellen, um es für ihre Bedürfnisse nutzen zu können.
Heutzutage verfügen die meisten Firmen, Bildungseinrichtungen und Organisation sowie auch
viele Privatpersonen über Intranets, die mit dem Internet gekoppelt sind. Zugriff auf die Ressourcen
des Intranets vor allem von außen, aber auch von innen, soll dabei nur autorisierten Personen oder
Maschinen gestattet werden. Es gilt also, die Vertraulichkeit von Daten zu wahren.
Als effektiver Schutz gegen unautorisierten Zugang und Verletzung der Vertraulichkeit werden
u.a. Krypto- und Authentisierungsverfahren sowie Firewallsysteme eingesetzt. Neben den
Schutzmaßnahmen an sich ist es aber auch wichtig, diese zu überwachen, ihre Effektivität
festzustellen und zu erkennen, wo sie Lücken aufweisen und umgangen werden können. Dieses ist
die Aufgabe von Intrusion Detection Systems (IDS), die im Rahmen dieser Seminararbeit genauer
betrachtet werden sollen. IDS werden verwendet, um Computernetzwerke zu überwachen, Angriffe
von außen und innen zu erkennen und ggf. Gegenmaßnahmen einzuleiten. Vorgestellt werden die
verschiedenen Arten von Angriffen, die unterschiedlichen Techniken, diese zu erkennen
(Mißbrauchserkennung, Anomalieerkennung), sowie beispielhaft einige interessante Anwendungen
von IDS (klassische IDS wie Snort / ACID, Distributed IDS, Antivirensoftware).
Inhaltsverzeichnis
0. Einführung
1. Intrusion
1.1. Klassifizierung von Angriffen
2. Intrusion Detection
2.1. Datensammlung
2.2. Datenanalyse
2.3. Ergebnisdarstellung / Reaktion
3. Intrusion Detection Systems
3.1. Snort / ACID
3.2. Dshield.org
3.3. Antivirensoftware
4. Zusammenfassung
Zielsetzung & Themen
Diese Seminararbeit hat zum Ziel, die Funktionsweise und den Einsatz von Intrusion Detection Systems (IDS) zu erläutern. Die Arbeit untersucht die Identifikation von Angriffsszenarien sowie die technischen Methoden zur Erkennung unautorisierter Aktivitäten in Computernetzwerken, um eine fundierte Grundlage für Sicherheitsmaßnahmen zu schaffen.
- Klassifizierung verschiedener Angriffstypen und Schwachstellen
- Komponentenarchitektur von Intrusion Detection Systemen
- Vergleich zwischen Missbrauchserkennung und Anomalieerkennung
- Praktische Anwendungsbeispiele wie Snort, ACID und DShield.org
- Herausforderungen bei der Implementierung und Administration von IDS
Auszug aus dem Buch
1.1. Klassifizierung von Angriffen
Angriffe werden nach Helden & Karsch (1997, S. 13f.) in verschiedene Kategorien eingeteilt. Ein Kriterium ist dabei die Ausnutzung von Systemschwächen. Hier gibt es die folgende Klassifizierung, die an dieser Stelle ausführlich zitiert werden darf, da sie sehr treffend ist und Definitionscharakter hat:
„Konfigurationsfehler: Hierunter fallen all die Fehler, die auf einer falschen Parameterauswahl beruhen. Insbesondere können dies auch Zugriffsrechte sein.
Implementierungsfehler: Bekannte Vertreter dieser Klasse sind durch Pufferüberläufe bedingte Fehler. Auch Fehler in der Implementierung des TCP/IP-Stacks fallen unter diese Klasse.
Designfehler im Kommunikationsprotokoll: In diesem Fall enthält das Kommunikationsprotokoll z.B. eine Authentisierungsschwäche, die einen sogenannten Spoofing-Angriff ermöglicht. Oftmals sehen die Protokolle für relevante Operationen überhaupt keine Authentisierung vor (z.B. ARP Spoofing).
Designfehler in der Dienstspezifikation: Diese Fehler sind analog zu den vorgenannten Designfehlern im Kommunikationsprotokoll, mit dem Unterschied, daß hier der Fehler im Design des auf das Kommunikationsprotokoll aufsetzenden Dienstes liegt. Ein Beispiel hierfür ist die Schwäche des DNS-Dienstes, welche ein DNS-Spoofing erlaubt.“
Zusammenfassung der Kapitel
0. Einführung: Das Kapitel führt in die Notwendigkeit von Netzwerksicherheit ein und definiert die zentrale Rolle von IDS als ergänzende Schutzmaßnahme zu Firewalls.
1. Intrusion: Hier werden Angriffsarten definiert, klassifiziert und nach ihren potenziellen Auswirkungen auf Systemintegrität und Vertraulichkeit analysiert.
2. Intrusion Detection: Dieser Abschnitt beschreibt den dreistufigen Aufbau eines IDS, bestehend aus Datensammlung, Analyse mittels Signatur- oder Anomalieabgleich sowie der Ergebnisdarstellung.
3. Intrusion Detection Systems: Es werden konkrete Implementierungen wie Snort/ACID und DShield.org vorgestellt sowie die Einbindung von Antivirensoftware in das IDS-Konzept erläutert.
4. Zusammenfassung: Das Fazit unterstreicht den hohen Administrationsaufwand beim IDS-Einsatz und betont die Bedeutung von Sicherheitsrichtlinien sowie rechtlicher Rahmenbedingungen.
Schlüsselwörter
Intrusion Detection Systems, IDS, NIDS, Netzwerksicherheit, Missbrauchserkennung, Anomalieerkennung, Signatur, Spoofing, Denial-of-Service, Snort, ACID, DShield, Datensammlung, Datenanalyse, IT-Sicherheit
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Seminararbeit befasst sich mit der theoretischen Konzeption und der praktischen Anwendung von Intrusion Detection Systems (IDS) zum Schutz von Computernetzwerken vor internen und externen Angriffen.
Was sind die zentralen Themenfelder der Arbeit?
Die Themenfelder umfassen die Definition von Angriffstypen, die technische Architektur von IDS-Komponenten, die Unterscheidung zwischen verschiedenen Analyse-Methodiken sowie aktuelle Implementierungsbeispiele.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist es, aufzuzeigen, wie IDS Angriffe identifizieren und welche Rolle sie innerhalb eines ganzheitlichen Sicherheitskonzepts spielen, um die Vertraulichkeit und Integrität von Daten zu wahren.
Welche wissenschaftliche Methode kommt zur Anwendung?
Die Arbeit basiert auf einer fundierten Literaturrecherche und der systematischen Kategorisierung technischer Sicherheitsaspekte sowie der Analyse von IDS-Systemkomponenten.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die Klassifizierung von Angriffen (Kapitel 1), die detaillierte Funktionsweise der IDS-Komponenten (Kapitel 2) und die Darstellung spezifischer Tools wie Snort und DShield (Kapitel 3).
Welche Schlüsselwörter charakterisieren das Dokument?
Die Arbeit wird maßgeblich durch Begriffe wie IDS, Netzwerksicherheit, Missbrauchserkennung, Anomalieerkennung, Snort, ACID und Sicherheitsrichtlinien geprägt.
Warum ist die Wahl zwischen Missbrauchserkennung und Anomalieerkennung so wichtig?
Diese Wahl entscheidet darüber, ob ein IDS eher bekannte Angriffe mit hoher Genauigkeit identifiziert (Missbrauchserkennung) oder Schutz vor unbekannten Bedrohungen durch Abweichungen vom Normalzustand bietet (Anomalieerkennung).
Welche rechtliche Herausforderung wird für IDS in Europa erwähnt?
Die Arbeit weist darauf hin, dass die Überwachung des Benutzerverhaltens und das elektronische Speichern von Nutzerdaten in Europa rechtlich sensibel und komplex zu behandeln sind.
- Quote paper
- Dipl.-Inf. (FH) Florian Klemenz (Author), 2004, Intrusion Detection Systems (IDS), Munich, GRIN Verlag, https://www.grin.com/document/84505
