„Diskussion:Intrusion Detection System“ – Versionsunterschied

Eine Frage zur "Begriffsverwirrung":

IPS = intrusion prevention system z.B. Firewall

IRS = intrusion response system, nach meinem Verständnis also die NIPS im Artikel?

Grüße MMS

Eine Firewall ist kein IPS. Ein Intrusion Prevention System wäre ein Dienst, der Firewallregeln dynamisch zu den erkannten Angriffen ändert.

Es stellt sich eher so dar

• IDS mit rein hostbasierten Sensoren -> HIDS
• IDS mit rein netzbasierten Sensoren -> NIDS
• IDS mit beiden Sensorentypen -> IDS

Ein IDS wird vom Sinn her zu einem IPS, wenn es über Funktionen verfügt, die Angriffe "abwehren" können. Das ist häufig die Änderung eines Firewallregelsatzes, kann aber auch jede andere mögliche Schutzreaktion sein. Bsp. Dienst abschalten, Account sperren etc.

IRS hab ich noch nicht bewußt wahrgenommen, vielleicht mal drübergelesen. Gerade was IDSysteme betrifft wird die Marketingtrommel sehr laut gerollt und Begriffe erfunden, die viel verprechen und wenig beinhalten (s.h. Begriffe wie IPS, "Echtzeitschutz" usw.)

Gruss - Florian

Sähe ich anders. Außerdem lässt die Qualitet des Artikels zu wünschen übrig, ich bin nur zu faul, dies zu behäben.

Gruß,

ids

Gut, sonst müssten wieder andere Leute diverse Rechtschreibfehler beh>Ä<ben.

Dann schreib, doch was Du siehst. Was gibts da überhaupt zu sehen. Sag halt was...

Hasta pues

---

Ein Nachteil von netzwerkbasierten IDS sieht die Daten anderst als ein hostbasiertes, z.B. indem unterschiedliche IP Stacks verwendet werden. Mit gezielten Angriffen kann man dafür sorgen dass ein netzwerkbasiertes IDS die Daten anderst sieht als sie schlussendlich auf dem Zielrechner ankommen.

---

Absolut richtig. Man verwendet beispielsweise eine doppelte Sequenznummer in einem Paket, welches vom Stack des Zielsystems verworfen wird, aber vom NIDS anders verarbeitet wird. Da gibts aber noch andere Invasion-Techniken.