Stichworte

• Netzwerksicherheit
• Firewall-Systeme und Firewalling
• Intrusion Detection-Systeme
• Logging
• Incident Handling und Response (IR)

Intrusion Detection-Systeme sind Lösungen zur Entdeckung und Analyse von Angriffen und Einbrüchen. Durch das Untersuchen von Kommunikationen und Tätigkeiten potentieller oder ausgemachter Angreifer können ihre Vorgehensweisen und Absichten ermittelt werden.

Man unterscheidet dabei zwischen netzwerkbasierenden und hostbasierenden Intrusion Detection-Systemen (NIDS und HIDS). Erstere werden oft als dedizierte Lösungen auf Netzwerkknoten zur Überwachung entsprechender Netzwerkkommunikationen angesetzt. Letztere werden ähnliche wie Personal Firewalls auf laufenden Systemen installiert, um dort auf diesem eine Überwachung, zum Beispiel Manipulationen am Dateisystem, festzustellen.

Oft werden die Logging-Funktionalitäten bestehender Systeme (Hosts und Firewall-Elemente) herangezogen, um ein individuelles Intrusion Detection-System zu realisieren oder eine bestehende IDS-Installation auf kostengünstige Weise zu erweitern.

Wie auch beim Firewalling müssen ausgiebige philosophische und konzeptionelle Überlegungen angestellt werden, um ein umfassendes und durchdachtes Intrusion Detection-System zu realisieren. Dies schliesst sowohl die Wahl der einzusetzenden Technologie und Lösung, das Festlegen der zu Überwachenden Tätigkeiten, den Umfang der Alarmierungen (engl. Alerting) sowie die je nach Situation erforderlichen Reaktionen (engl. Response) mit ein.

Vorstudium

Die folgenden Publikationen gelten als empfohlene Lektüre des Vorstudiums für diese Vorlesung [http://www.computec.ch/dokumente/intrusion_detection/]:

Ruef, Marc, Oktober 2002, Intrusion Prevention - Neue Ansätze der Computersicherheit, Professional Computing, Ausgabe 4-2002, http://www.computec.ch/dokumente/unsortiert/intrusion_prevention_neue_ansaetze.pdf

Dieser Fachartikel, der erstmals in Professional Computing (Ausgabe 4/2002, Seiten 10 bis 14) erschienen ist, beschäftigt sich mit Systemcall-Interception. Durch das Einschränken des Kernels Möglichkeiten soll Intrusion Prevention vollzogen werden. Einer der ersten deutschsprachigen Artikel zu diesem Thema.

Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X

In diesem werden die grundlegenden Aspekte der modernen Computer-/Netzwerksicherheit erläutert. Dabei wird primär versucht zeitlosen Inhalt zu gewähren, denn der Leser soll über die Mechanismen Bescheid wissen und nicht irgendwelche veralteten Angriffs-Tools kennenlernen.

Socma, 7. August 2002, IDS - Intrusion Detection System, computec.ch, http://www.computec.ch/dokumente/intrusion_detection/ids/ids.txt

Dieses Dokument ist eines der besten frei erhältlichen Publikationen zum Thema Intrusion Detection-Systeme. Es werden sämtliche gängigen Ansätze und Technologien besprochen. Dadurch ein ein hervorragender Einstieg in die Materie gewährleistet werden.

• Das Lesen der als Vorstudium empfohlenen Lektüre
• Grundverständnis für Betriebssysteme und Logging
• Grundverständnis für Netzwerke und TCP/IP
• Grundverständnis für Firewall-Systeme und Firewalling

Folgend der angestrebte Ablauf der Vorlesung. Dieser muss nicht exakt eingehalten werden und kann jenachdem in gewissen Punkten (z.B. Pause) mit den Studenten abgestimmt werden.
 

Zeit	Thema
18:30-19:00	Einführung in die elektronische Einbruchserkennung
19:00-19:30	Praktische Übung mit ISS BlackICE PC Protection
19:30-19:40	Pause
19:40-20:00	Konzeptionelle Überlegungen einer IDS-Installation
20:00-20:15	Incident Handling und Response
20:15-20:30	Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung