Intrusion Detection Systeme: Vandalen erkennen
Mithilfe von Intrusion Detection Systemen kann man Einbrüche und Vandalen schnell erkennen. Wie das geht, lesen Sie in diesem Blog.
Stellen Sie sich vor, Sie betreten ein Bürogebäude. Einige Türen sind verschlossen, andere sind offen. Dies entspricht, vereinfacht erklärt, der Funktionsweise einer Firewall. Der Gebäudebesitzer kann so steuern, wer welche Räume betreten kann. Sie haben nun aber die Möglichkeit ein freies Sitzungszimmer durch eine offene Tür zu betreten, ohne dass dies bemerkt wird. Der Aufenthalt alleine wird dem Besitzer noch keinen Schaden zufügen. Sie können nun aber auch ein Graffiti an die Wand sprayen oder Feuer legen und das Gebäude wieder verlassen.
Um solche Beschädigungen zu bemerken, werden in den Gängen Kameras installiert, es patrouillieren Sicherheitsleute mit Spürhunden und alle Räume sind mit Brandmeldern ausgestattet.
Die Hunde geben sofort an, wenn sie Spraydosen erschnüffeln. Die Brandmelder alarmieren, wenn ein Feuer gelegt wurde und über die Kameras kann festgestellt werden, welchen Weg Sie im Gebäude genommen haben. So kann der Besitzer sofort Gegenmassnahmen ergreifen und den Schaden in Grenzen halten.
Einbrüche erkennen
Dieses Praxis-Beispiel zeigt auf, wie Intrusion Detection Systeme (IDS) in einem Rechenzentrum funktionieren. aspectra betreibt zwei unterschiedliche Intrusion Detection Systeme. Das eine ist Netzwerk-basiert und fungiert im Sinne der Kameras aus dem obigen Beispiel. Dabei werden alle Pakete im Netzwerk aufgezeichnet und analysiert.
Das zweite IDS wirkt wie die Hunde und die Brandmelder. Es überprüft die Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank auf den Servern und erkennt anhand dieser, ob ein Angriff stattfindet. Zudem wird damit geprüft, ob Veränderungen am System vorgenommen wurden. Zur Prüfung werden unterschiedliche Signaturen verwendet, welche die spezifischen Angriffsmuster beschreiben. Treffen Ereignisse auf eines der Muster zu, so wird ein Intrusion Alert (Einbruchs-Alarm) ausgelöst, wobei auch ähnliche Angriffe gemeldet werden.
Im Falle eines Einbruch-Alarms ergreift aspectra sofort Gegenmassnahmen und prüft, ob durch den Angriff ein Schaden entstanden ist.