Firewall, Antiviren-Software und das Einspielen der aktuellen Patches für Betriebssysteme und Applikationen ist für jeden Administrator, der in irgendeiner Form für Security verantwortlich ist, absolute Pflicht.

Angriffe von außen, sowie aus dem internen Netzwerk bleiben jedoch häufig unentdeckt, auch wenn sie verhindert wurden. Aber ist es nicht sinnvoll, den potentiellen Angreifer bei der ersten Attacke zu enttarnen, bevor ein weiterer Versuch vielleicht zum Ziel führt? Zwar bieten auch Firwalls und andere Netzwerkkomponenten Logging-Funktionen an, sie untersuche diese jedoch nicht nach möglichen Angriffsversuchen. Eine manuelle Untersuchung der Logfiles ist bereits in mittelgroßen Netzwerken nicht mehr möglich.

So genannte Intrusion Detection Systeme bieten dem Administrator die Möglichkeit, in Echtzeit den Netzwerk-Traffic zu loggen und auf Angriffsversuche zu untersuchen. Feindliche Attacken hinterlassen Spuren wie z.B. wiederholte Einlogversuche oder Systemverletzungen, die dann das Intrusion Detection System erkennt und dem Administrator meldet.

Ein IDS ist also eine Art Alarmanlage für einen Rechner oder für ein komplettes Netzwerk.

Grundlegend unterscheidet man zwischen folgenden IDS-Typen:

• Hostbasierte Intrusion Detection Systeme

  In den 80er Jahren sind die ersten Intrusion Detection Systeme entwickelt worden, um den unbefugten Zugang zu teuren Rechnerstrukturen zu verhindern. Damals bestanden diese Infrastrukturen aus einem Zentralrechner, an den mehrere Terminals angebunden waren. Diese Terminals besaßen keine eigene CPU, sodass alle Rechenoperationen an zentraler Stelle durchgeführt wurden. Es galt also auch nur den Server zu schützen, die Clients hatten keinen Schutz nötig. Ein Hostbasiertes Intrusion Detection System wertet die Auditdaten des zentralen Mainframe-Rechners aus und kann auch nur den Rechner untersuchen, auf dem es installiert ist.

• Netzbasierte Intrusion Detection Systeme

  Da Angriffsversuche von überall aus gestartet werden können, wo eine Verbindung über das Internet besteht, untersuchen netzbasierte Intrusion Detection Systeme die IP-Pakete, die über eine Verbindung übertragen werden. Sinnvollerweise positioniert man ein solches IDS auf einem Netzwerksegment, über das ein Großteil des Traffics transferiert wird, z.B. vor dem Internetgateway.

• Intrusion Prevention Systeme

  Da Intrusion Detection Systeme zwar mögliche Angriffsversuche erkennen, aber nicht vor Ihnen schützen, wurden sie von einigen Herstellern zu Intrusion Prevention Systemen weiterentwickelt. Das Intrusion Prevention System analysiert ebenfalls die Datenpakete auf verdächtige Merkmale. Mit Hilfe eines vordefinierten Regelwerks, kann das Intrusion Prevention System auf diese Datenpakete reagieren und z.B. den gesamten Datenaustausch mit der Quell-IP-Adresse stoppen. Das IPS bietet also aktiven Schutz vor Angriffen.