Intrusion Detection System: Was Unternehmen von IDS wissen müssen

In Sachen IT-Sicherheit ist die Verwirrung im Pingpong der Marketing-Schlagworte oft groß. Kurz und bündig bringt Peter Riedlberger darum auf den Punkt, wozu ein Intrusion Detection System gut ist. In seinem Beitrag sagt er auch gleich, welche Open-Source-Software die Rolle zunächst kostenlos übernimmt.

Dieser Beitrag ist mehr als 14 Jahre alt.
Bild: jeayesy

Die zweite Verteidigungslinie

Von Peter Riedlberger

Ein IDS (Intrusion Detection System) ist ein Programm oder Gerät, das mögliche Angriffe auf die IT-Sicherheitsstruktur aufspürt und im Ernstfall Alarm schlägt bzw. weitergehend aktiv wird.

Nur die ganz ungefährlichen Schadprogramme bzw. Hacker machen ihren Erfolg publik; normalerweise lauern sie im Hintergrund, um Ressourcen zu missbrauchen bzw. Daten abzugreifen. Allerdings gibt es gewisse Hinweise, die einen verständigen Sicherheitsadministrator warnen sollten, dass etwas nicht stimmt, etwa stark erhöhter Traffic, unübliche Protokolle im Netzwerk oder, am eindeutigsten, bestimmte Formen von Netzwerkverkehr, der sich eindeutig als feindlich erkennen lässt.

Auf Patrouille hinter der Front

Ein IDS ist keine Firewall. Eine Firewall stellt einen abschottenden Perimeter dar, eine Festungsmauer, die den Feind draußen halten soll. Ein IDS lässt sich dagegen eher mit der Sicherheitspolizei im Inneren der Festung vergleichen, die nervös auf und ab patrouilliert und eingedrungene Agenten sucht. Es handelt sich also um eine zweite Verteidigungslinie, die durchgebrochene Angreifer zumindest aufspüren soll.

Strategien und Konzepte

Der nächste Verwandte eines IDS ist ein IPS (Intrusion Prevention System). Allerdings halten viele Sicherheitsspezialisten IPS lediglich für ein Marketing-Wort. Oft spricht man auch von IDS/IPS.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Wichtiger ist in diesem Zusammenhang das Kürzel UTM. Es steht für „Unified Threat Management“ und bezeichnet Netzwerkgeräte, die diverse Sicherheitsfunktionen – üblicherweise Firewall, IDS/IPS, VPN, Gateway-Virenscanner und -Antispam u.a. – in sich vereinen. Unternehmen, die heute eine IDS/IPS-Appliance erwerben, tun dies üblicherweise in Form eines UTM-Geräts.

Fazit: Appliance oder Open Source

Wer nicht ein eigenes Gerät installieren will, sondern auf Software zurückgreift, verwendet üblicherweise die Open-Source-Lösung Snort, die den De-facto-Standard für IDS/IPS darstellt. Snort ist kostenlos, verwendet aber so genannte „Rules“, die zweckmäßigerweise aktuell gehalten werden müssen. Das entsprechende Abo kann für Firmen mehrere hundert US$ im Jahr kosten.

Nützliche Links