IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
IT-Management in der Praxis Seminar ? WS 2004/05 - am ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
64 Nikolay Orozov: Intrusion Detection und Prevention Systeme<br />
2 Was ist e<strong>in</strong> Intrusion Detection System?<br />
Der Begriff Intrusion ist von Heberle<strong>in</strong>, Levitt und Mukherjee von <strong>der</strong> University of California,<br />
Davis [HeML91] wie folgt def<strong>in</strong>iert: “E<strong>in</strong>e Menge von Handlungen, <strong>der</strong>en Ziel es ist, die<br />
Integrität, die Verfügbarkeit o<strong>der</strong> die Vertraulichkeit e<strong>in</strong>es Betriebsmittels zu kompromittieren“.<br />
Im Allgeme<strong>in</strong>en ist e<strong>in</strong>e Intrusion als Verletzung <strong>der</strong> Sicherheit e<strong>in</strong>es Computersystems<br />
o<strong>der</strong> Computernetzes zu vestehen. “Als Intursion Detection wird die aktive Überwachung<br />
von Computersystemen und/o<strong>der</strong> -netzen mit dem Ziel Erkennung von Angriffen und Missbrauch<br />
bezeichnet“ [fSid02]. Aus allen stattf<strong>in</strong>denden Ereignissen sollen diejenigen herausgefunden<br />
werden, die auf Angriffe o<strong>der</strong> Sicherheitsverletzungen h<strong>in</strong>deuten, d<strong>am</strong>it sie später<br />
vertieft untersucht werden können. Diese Ereignisse sollen dabei <strong>in</strong> Echtzeit erkannt und<br />
gemeldet werden. Der Intrusion-Detection-Prozess wird durch verschiedene Werkzeuge unterstützt,<br />
z. B. Werkzeuge zum Vergleich von Checksummen und Zeichenketten, für Analyse von<br />
Log-Dateien, zur Auswertung und Alarmierung sowie zur Archivierung <strong>der</strong> Ergebnisse. E<strong>in</strong>e<br />
Zus<strong>am</strong>menstellung von geeigneten Werkzeugen wird als Intrusion Detection System (IDS)<br />
bezeichnet.<br />
Der Grundpr<strong>in</strong>zip e<strong>in</strong>es IDS (Abbildung 2) ist mit <strong>der</strong> Funktionsweise e<strong>in</strong>er Alarmanlage vergleichbar.<br />
Nach e<strong>in</strong>em E<strong>in</strong>bruch wird sofort Alarm ausgelöst und werden Gegenmassnahmen<br />
getroffen, wie z.B. Anruf bei den zuständigen Sicherheitsbehörden. E<strong>in</strong> IDS benachrichtigt<br />
sofort nach e<strong>in</strong>em erkannten Angriff den Sicherheitsadm<strong>in</strong>istrator (über e-mail, Pager, etc.),<br />
protokolliert den Angriff und entscheidet je nach Konfiguration, was als Nächstes zu tun<br />
ist. Im Extremfall wird versucht, die Verb<strong>in</strong>dung zu trennen o<strong>der</strong> das ganze System wird<br />
heruntergefahren.<br />
Abbildung 2: Grundpr<strong>in</strong>zip e<strong>in</strong>es IDS<br />
Sem<strong>in</strong>ar – <strong>IT</strong>-<strong>Management</strong> <strong>in</strong> <strong>der</strong> <strong>Praxis</strong>