Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Intrusion Detection

Kapitel 9. Intrusion Detection

Wertvolle G�ter m�ssen vor Diebstahl und Zerst�rung gesch�tzt werden. Einige H�user sind mit Alarmanlagen ausger�stet, die Einbrecher abwehren, Beh�rden nach einem Einbruch benachrichtigen oder sogar die Besitzer bei einem Hausbrand warnen k�nnen. Solche Ma�nahmen sind notwendig, um die Integrit�t der H�user und die Sicherheit der Hausbesitzer zu gew�hrleisten.

Die gleiche Gew�hrleistung von Integrit�t und Sicherheit sollte auch auf Computersysteme und Daten angewandt werden. Das Internet hat den Informationsfluss, von pers�nlichen bis zu finanziellen Daten m�glich gemacht. Zur gleichen Zeit hat es genauso viele Gefahren heraufbeschworen. B�swillige Benutzer und Cracker suchen sich verletzbare Angriffsziele wie ungepatchte Systeme, mit Trojanern infizierte Systeme und Netzwerke mit unsicheren Diensten. Es wird ein Alarm ben�tigt, der Administratoren und Mitglieder des Sicherheitsteams warnt, dass ein Bruch vorgefallen ist, so dass diese in Echtzeit reagieren k�nnen. Intrusion Detection Systems wurden als ein solches Alarmsystem entworfen.

9.1. Definition der Intrusion Detection Systeme

Ein Intrusion Detection System (IDS) ist ein aktiver Prozess oder ein aktives Ger�t, das die System- und Netzwerkaktivit�t auf unbefugte Zugriffe und/oder b�swillige Aktivit�ten analysiert. Die Methode, wie IDS Anomalien entdeckt, kann variieren; das ultimative Ziel einer jeden IDS ist jedoch das Ertappen auf frischer Tat, bevor ernsthafte Sch�den am System angerichtet werden.

IDS sch�tzen ein System vor einer Attacke, vor Missbrauch und Kompromittierung. Sie k�nnen auch Netzwerkaktivit�ten �berwachen, Netzwerk- und Systemkonfigurationen auf Schwachstellen pr�fen, Datenintegrit�t analysieren und vieles mehr. Abh�ngig von der Methode, die Sie einsetzen m�chten, gibt es verschiedene direkte und indirekte Vorteile von IDS.

9.1.1. Typen von IDS

Das Verst�ndnis, was ein IDS ist, und welche Funktionen bereitgestellt werden, ist der Schl�ssel zu der Entscheidung, welche Art IDS in Ihrer Computersicherheitspolice angemessen ist. In diesem Abschnitt werden die Konzepte hinter IDS, die Funktionalit�ten jeder IDS-Art und das Auftauchen hybrider IDS, die mehrere Erkennungstaktiken und Tools in einem Paket integrieren, behandelt.

Einige IDS sind knowledge-based, und warnen im voraus Sicherheitsadministratoren vor einem Einbruch mit Hilfe einer Datenbank der h�ufigsten Attacken. Alternativ dazu gibt es behavioral-based (verhaltens-basierte) IDS, die Ressourcen auf Anomalien untersuchen, was meistens ein Zeichen f�r unbefugte Aktivit�ten mit b�swilliger Absicht ist. Einige IDS sind Standalone-Dienste, die im Hintergrund arbeiten und passiv auf Aktivit�ten abh�ren und alle verd�chtigen Pakete von au�en protokollieren. Andere kombinieren Standard-System-Tools, ver�nderte Konfigurationen und detailliertes Logging mit der Intuition eines Administrators und der Erfahrung, ein leistungsstarkes Einbruch-Erkennungs-Kit zu erstellen. Das Auswerten dieser vielen Intrusion-Detection-Technologien kann Ihnen beim Finden des f�r Sie richtigen Programms helfen.

Die g�ngigsten IDS-Arten in Bezug auf Sicherheit sind bekannt als host-basiert und netzwerk-basiert. Ein host-basiertes IDS ist gleichzeitig das Umfassendste von beiden, was die Implementierung eines Detection-Systems auf jedem individuellen Host umfasst. Dies bedeutet, dass der Host immer gesch�tzt ist, unabh�ngig von der Netzwerkumgebung. Ein netzwerk-basiertes IDS �bertragt die Daten zuerst an eine Einheit, bevor diese an den Zielrechner geschickt werden. Netzwerk-basierte IDS werden meist als unzureichend anerkannt, da viele Rechner in mobilen Umgeben eine zuverl�ssige Datenflusskontrolle/-�berwachung nicht erm�glichen.

 
 
  Published under the terms of the GNU General Public License Design by Interspire