Desktop Firewall / ExFeatures - IDS (Intrusion Detection System)

aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
Wechseln zu: Navigation, Suche
Das IDS (Intrusion Detection System) einer Desktopfirewall


zurück zum Artikel „Die erweiterten Features einer Desktopfirewall“


Das IDS (Intrusion Detection System) soll die Lücke der Angriffserkennung einer Firewall ausfüllen.

  • Network-Based-IDS: Hier wird der Netzwerkverkehr auf Indizien für Angriffe überprüft. So werden u.a. die Datenpakete auf verdächtige Inhalte untersucht und so Portscans, DoS-Versuche (wie SYN-Floodings) und Kontaktversuche zu eventuell installierten Backdoors erkannt.
  • Host-Based-IDS: Ein Host-Based-IDS läuft auf dem PC oder Server und überprüft die Integrität eines Computersystems. Leider ist nicht festgeschrieben, welche Sicherheitsmaßnahmen ein solches System vereinen muss, um als IDS betitelt zu werden.

    Vernünftiger Weise sollte ein Host-Based-IDS wichtige Systemeinstellungen überprüfen, Dateien nach Hackersignaturen scannen und bestimmte Angriffsmuster überwachen. Mit anderen Worten vereint ein gutes IDS einen Malwarescanner, ein Systemanalysetool für Autostarteinträge nebst wichtigen Systemeinstellungen, sowie Protokollierungsmechanismen, einen Scriptscanner der sämtliche Systemskripte und Office-Makros vor dem Ausführen auf schädliche Aktivitäten hin untersucht, und ein Überwachungsmodul für Programmzugriffe.

    Zudem sollten die Vorgänge zentral ausgewertet und im günstigsten Fall bei einem erkannten Angriff Gegenmaßnahmen ergriffen werden. Dank der Protokollierungsmechanismen wird es einem Eindringling schwerer fallen, auf einem System mit Host-Based-IDS seine Spuren zu verwischen.


Das Network-Based-IDS ist das einzige erweiterte Feature, welches auch auf einer externen Firewall vorkommen kann. Im Unterschied dazu arbeitet jedoch ein Network-Based-IDS einer Desktop-Firewall Hand in Hand mit dem Host-Based-IDS zusammen, was dazu führt, dass sich Angriffsversuche besser erkennen lassen. Der Nachteil dieser Methode ist, dass sie nicht selten viel zu oft falschen Alarm schlagen und damit den Anwender unnötig verschrecken.

Technischer Hinweis: Bei einem IDS einer Desktopfirewall unterscheidet man nicht zwischen einem IDS und einem IRS (Intrusion Respone System), wie es bei externen Firewalls der Fall ist. Das IDS-Konzept einer Desktopfirewall entspricht also vielmehr einem IPS (Intrusion Prevention System).


zurück zum Artikel „Die erweiterten Features einer Desktopfirewall“
Von „http://wiki.hackerboard.de/index.php?title=Desktop_Firewall_/_ExFeatures_-_IDS_(Intrusion_Detection_System)&oldid=4265
Computer Forum
Computer Forum
Meine Werkzeuge
Namensräume
Varianten
Aktionen
Navigation
Werkzeuge