Was ist ein IDS?
Ein Intrusion Detection System (IDS)
ist ein Netzwerksicherheitswerkzeug, das den Netzwerkverkehr
und Geräte auf bekannte bösartige Aktivitäten, verdächtige
Aktivitäten oder Verstöße gegen Sicherheitsrichtlinien überwacht.
Wie würde eine Netzwerkarchtektur mit einem IDS aussehen, wo wäre es verortet?
Warum ist ein IDS wichtig, auch wenn das System selbst schin sicher ist?
Kein System ist sicher, der Mensch verhindert Sicherheit durch seine bloße Anwesenheit. —> man muss Angriffe erkennen können.
Wenn Angriffe früher erkannt werden können sie früher analysiert und ausgewertet werden, bei einem modernen System ist der Schutz genau so wichtig wie die Angriffserkennung.
Wie hat sich die Angrifserkeenung enteickelt?
Früher: Überwachung des nutzerverhaltens durch Systemadministrator
—> zu aufwendig bei viel Verkehr: Audit Protokoll werden überwacht
—> werden Ausgedruckt: Ineffizient (vergangenheitsbewältigung)
—> Echtzeit Systeme die Nachts rechnen —> Echtzeit Systeme
Ein IDS erkennt nicht den Eindringling sondern…
…Die Manifestations, also Beweise und Indikatoren für Angriffe. Sie sind nicht immer aufschlussreich.
IDS ist kein Schutz da es nicht handeln kann.
Wo in der Netzwerkarchitektur ist ein IPS verbaut?
Was ist die große Herrrausforderung, wenn man aus einem IDS ein IPS machen will?
Das IDS muss nicht zwangsläufig echtzeitfähig sein, das IPS schon.
Das IPS muss sich außerdem zu 100% sicher sein, dass es sich um einen Angriff handlet.
Vergleiche die Architektur von IPS und IDS:
Welche zwei gr0ßen Möglichkeiten gibt es, ein IPS aufzubauen?
Anomaliebasierte Erkennung:
Abweichungen vom Normalverhalten führen zu Alarm.
Signaturbasierte Erkennung:
Signaturen von Angriffen werden zuvor gespeichert, und im Angriffsfall erkannt.
Ein Code Stück ist ein Beispiel für eine solche Signatur, Angriffe/Alarme werden stetig ausgewertet und das System geupdated.
Was sind Vor- und Nachteile der methoden zur Angriffserkennung?
Anomalie: Kann Zero Day Exploits finden, aber verursacht falsche Alarme.
Signatur: Kann keine Zero Day Exploits finden.
Was sind Vorteile von IDS?
Können zu einer besseren compliance führen
Netzwerkperformance durch Analyse steigern
Einblicke liefern
Angriffe erkennen
Was für Arten von IDS gibt es?
Network Intrusion Detection
Host Intrusion Detection
Wie arebiten NIDS, wie sieht deren Architektur aus?
NIDS überwachen den Netzwerkverkehr, erkennen Angriffe und werden meist hinter Firewalls oder im Netzwerk platziert. Sie analysieren Kopien der Datenpakete (out-of-band), sodass der Datenverkehr nicht beeinträchtigt wird.
Wie arbeitet ein HIDS?
HIDS (Host Intrusion Detection System) überwacht ein einzelnes Gerät (z. B. Laptop oder Server), erkennt Änderungen an Dateien und Konfigurationen und meldet verdächtige Aktivitäten.
Wie kann man die Schwachstellen von HIDS NIDS vermeiden?
Man kombiniert sie.
Erkläre alle Schritte eines NIDS
Sensoren: Erfassen den Netzwerkverkehr an wichtigen Stellen im Netzwerk.
Paket-Capture-Engine: Fängt Netzwerkpakete ab und leitet sie zur Analyse weiter.
Analyse-Engine: Untersucht Pakete auf Angriffe (z. B. Signaturen, Anomalien, Verhalten).
Erkennungsregeln/Signaturen: Regeln zum Erkennen bekannter und verdächtiger Angriffe; werden regelmäßig aktualisiert.
Benachrichtigungsmechanismus: Sendet Warnungen an Administratoren (z. B. E-Mail, Syslog, SIEM).
Protokollierung & Speicherung: Speichert Netzwerkereignisse für Analysen und Nachweise.
Verwaltungskonsole: Dient zur Konfiguration, Überwachung und Verwaltung des NIDS.
Updates & Wartung: Hält Signaturen und Software aktuell, um neue Bedrohungen zu erkennen.
Was sind die Schwachpunkte eines NIDS?
Verschlüsselter Datenverkehr: NIDS kann verschlüsselte Inhalte nur eingeschränkt analysieren.
Blindstellen: Nicht überwachte Netzwerkbereiche können Angriffe verbergen.
Falsch-Positive: Legitime Aktivitäten können fälschlich als Angriff erkannt werden.
Zero-Day-Angriffe: Unbekannte Angriffe werden oft erst nach Signatur-Updates erkannt.
Hohes Verkehrsaufkommen: Große Datenmengen können die Erkennung verlangsamen.
Komplexität des Netzwerkverkehrs: Komplexer Netzwerkverkehr erschwert die Analyse.
Ausweichtechniken: Angreifer können Erkennungstechniken gezielt umgehen.
Bereitstellung & Konfiguration: NIDS erfordern eine sorgfältige Einrichtung und regelmäßige Pflege.
Wie funktionieren HIDS?
Datensammlung: HIDS sammelt Daten direkt vom überwachten Gerät (z. B. Server oder PC).
Auswertung: Es analysiert Anmelde-, System-, Anwendungs- und Netzwerkprotokolle auf Auffälligkeiten.
Korrelation: Verschiedene Datenquellen werden miteinander verglichen, um verdächtige Muster besser zu erkennen.
Erkennung: So können z. B. Brute-Force-Angriffe, ungewöhnlicher Netzwerkverkehr oder Veränderungen am System erkannt werden.
Reaktion: Erkennt HIDS eine Bedrohung, meldet es den Vorfall, damit Sicherheitsmaßnahmen (z. B. IP sperren) eingeleitet werden können.
Ergebnis: Dadurch erkennt HIDS sowohl Angriffsversuche als auch bereits kompromittierte Systeme.
Was für Arten von HIDS gibt es?
1. Agentenbasiertes HIDS
Auf jedem Host läuft ein Software-Agent, der Daten sammelt und überwacht.
Vorteil: Sehr detaillierte Überwachung.
Nachteil: Höherer Ressourcenverbrauch auf dem Host.
2. Agentenloses HIDS
Sammelt Daten ohne installierten Agenten, z. B. über das Netzwerk.
Vorteil: Geringerer Ressourcenverbrauch auf den Hosts.
Nachteil: Komplexere Einrichtung und meist weniger detaillierte Informationen als agentenbasierte HIDS.
Aus welchen Komponenten besteht ein HIDS?
Datensammler: Sammelt Daten von Hosts über Agenten oder agentenlos.
Datenspeicher: Speichert die gesammelten Daten zentral für Analyse und spätere Auswertung.
Analyse-Engine: Analysiert die Daten auf Muster und Anomalien, um Sicherheitsbedrohungen zu erkennen.
Was für Einschränkungen haben HIDS?
Nur eine Schutzschicht: HIDS allein bietet keinen vollständigen Schutz.
Begrenzter Schutzbereich: Erkennt hauptsächlich Bedrohungen auf dem einzelnen Host.
Unterschied zu NIDS: HIDS überwacht einzelne Hosts, NIDS das gesamte Netzwerk.
Welche der Eigenschaften gehören zu einem HIDS?
Welche Umgehungstaktiken nutzen Angreifer gegen IDS?
DDoS-Angriffe: IDS mit großen Mengen bösartigem Traffic überlasten, damit echte Angriffe unbemerkt bleiben.
Fragmentierung: Schadcode auf viele kleine Pakete aufteilen, um die Erkennung zu umgehen.
Verschlüsselung: Verschlüsselte Protokolle nutzen, damit das IDS den Inhalt ohne Schlüssel nicht analysieren kann.
Betriebsmüdigkeit (Alert Fatigue): Viele Warnmeldungen erzeugen, um Sicherheitsteams abzulenken oder zu überlasten.
Spoofing: IP- oder DNS-Adressen fälschen, damit der Datenverkehr vertrauenswürdig erscheint.
Wie unterscheiden sich IDS und Firewall?
Firewalls suchen nach außen nach Eindringlingen, um sie daran zu
hindern, aktiv zu werden.
Firewalls beschränken den Zugriff zwischen Netzwerken, um
Eindringlinge zu verhindern, und wenn ein Angriff innerhalb des
Netzwerks erfolgt, wird er nicht signalisiert.
Ein IDS erkennt einen vermuteten Eindringling, sobald er
stattgefunden hat, und signalisiert dann einen Alarm.
Last changed8 days ago