Host Intrusion Detection-Systeme und Network Intrusion Detection-Systeme oder HIDs und NIDs sind Computernetzwerk-Sicherheitssysteme zum Schutz vor Viren, Spyware, Malware und anderen bösartigen Datentypen. Der Unterschied besteht darin, dass HIDs nur an bestimmten Schnittpunkten wie Servern und Routern installiert werden, während NIDs auf jedem Host-Rechner installiert werden.
Zweck
Aufgrund der rasanten Zunahme von Netzwerkangriffen sind HIDs und NIDs alltäglich geworden. Obwohl Firewalls und Anti-Malware-Suiten für einzelne Computer geeignet sind, fehlt ihnen die erforderliche Intelligenz, um ein Unternehmensnetzwerk zu schützen. Beispielsweise sammeln HIDs und NIDs Informationen aus einem Netzwerk und vergleichen diese Informationen mit vordefinierten Mustern, um Angriffe und Schwachstellen zu erkennen. Sie erstellen auch Datenbanken mit normalem Verhalten.
Video des Tages
Kernfunktionen
HIDs untersuchen spezifische Host-basierte Aktionen, beispielsweise welche Anwendungen verwendet werden, auf welche Dateien zugegriffen wird und welche Informationen sich in den Kernel-Logs befinden. NIDs analysieren den Informationsfluss zwischen Computern, also den Netzwerkverkehr. Sie "schnüffeln" im Wesentlichen das Netzwerk nach verdächtigem Verhalten ab. So können NIDs einen Hacker erkennen, bevor er einen unbefugten Eingriff vornehmen kann, während HIDs erst dann wissen, wenn der Hacker das System durchbrochen hat.
Obwohl HIDs auf den ersten Blick wie eine schlechte Lösung erscheinen mögen, haben sie mehrere Vorteile. Zum einen können sie verhindern, dass Angriffe Schaden anrichten. Wenn beispielsweise eine bösartige Datei versucht, eine Datei neu zu schreiben, kann das HID seine Berechtigungen beschneiden und es unter Quarantäne stellen. HIDs können Laptops schützen, wenn sie aus einem Netzwerk und ins Feld genommen werden. Letztendlich sind HIDs ein Werkzeug der „letzten Verteidigungslinie“, das verwendet wird, um Angriffe abzuwehren, die der NID verpasst.
Vorteile von NIDs
NIDs zeichnen sich durch ihre Fähigkeit aus, Hunderte von Computersystemen von einem Netzwerkstandort aus zu schützen. Dies macht eine NID kostengünstiger – ganz zu schweigen von der einfacheren Bereitstellung. NIDs bieten auch eine breitere Untersuchung eines Unternehmensnetzwerks über Scans und Probes. Noch wichtiger ist, dass NIDs Administratoren ermöglichen, Nicht-Computer-Geräte wie Firewalls, Druckserver, VPN-Konzentratoren und Router zu schützen. Weitere Vorteile sind die Flexibilität mit mehreren Betriebssystemen und Geräten sowie der Schutz vor Bandbreitenfluten und DoS-Angriffen.
Optimale Lösung
Idealerweise sollte ein Unternehmensnetzwerk sowohl eine HID als auch eine NID aufweisen. Ersteres schützt lokale Maschinen und fungiert als letzte Verteidigungslinie, während die NID das eigentliche Netzwerk sicher und geschützt hält. Beide sind in der Lage, mehr Sicherheit zu bieten als jede einzelne Firewall oder Antiviren-Suite, aber jede verfügt nicht über bestimmte Funktionen, die die andere enthalten. Daher ist die Kombination der beiden der einzige Weg, um ein wirklich robustes Verteidigungsnetzwerk zu schaffen.
