Title (deu): Host-based IDS/IPS

Author: Humpelstetter, G. (Gerald)

Description (deu): St. Pölten, FH-Stg. Telekommunikation und Medien, Dipl.-Arb., 2007

Description (deu): Die Informationstechnologie (IT) hat sich im Geschäftsleben der meisten Unternehmen etabliert und ist ein nicht mehr wegzudenkendes Werkzeug geworden. Beinahe jedes Unternehmen ist von der Funktionsfähigkeit ihrer IT-Systeme abhängig. Diese Abhängigkeit gepaart mit der rasanten Entwicklung des Internet und der damit verbundenen Attraktivität für kriminelle Individuen, bergen aber auch Gefahren. Unterschiedlichen Statistiken zufolge, kam es in den vergangenen 10 Jahren zu einem beinahe exponentiellen Anstieg der Sicherheitsvorfälle und den daraus resultierenden Kosten. In den Unternehmen werden sensible Daten verarbeitet, die vor einem unbefugten Zugriff und vor Missbrauch geschützt werden müssen. Host-basierte Intrusion Detection und Prevention Systeme stellen einen Mechanismus zum Schutz der Daten dar. Systeme dieser Art überwachen die Vorgänge auf einem gewünschten Host und leiten bei der Erkennung eines verdächtigen Ereignisses eine Alarmmeldung oder entsprechende Gegenmaßnahmen ein. Diese Steigerung der Sicherheit bringt jedoch auch Problematiken mit sich. Zusätzlich zu einem hohen finanziellen Aufwand, ist für einen effektiven Einsatz die Anpassung an die Umgebung sowie eine intensive Betreuung der ID- und IP-Systeme notwendig. Zudem müssen beim Einsatz dieser Systeme durch die umfangreiche Sammlung von Daten auch rechtliche Aspekte berücksichtigt werden. Der Fokus dieser Arbeit wird auf Ziel, Funktion, Einsatz und Wirkung verschiedener am Markt erhältlicher Lösungen gerichtet. Der erste Teil des Dokumentes beschreibt grundlegende Aspekte zur IT-Sicherheit und die damit verbundene Notwendigkeit von Sicherheitsmechanismen. Weiters werden die wesentlichen Grundlagen für das Verständnis der Arbeitsweise von Intrusion Detection Systemen allgemein und Host ID-Systemen im Speziellen erläutert. Dabei wird detailliert auf die unterschiedlichen Typen und Architekturen Host-basierter IDS eingegangen. Nach der theoretischen Analyse werden auf dem Markt verfügbare Lösungen beschrieben und miteinander verglichen. Im Mittelpunkt steht dabei der Cisco Security Client, der zusätzlich in einem Laborbetrieb
praktisch getestet wird.

Description (eng): Information technology has become a fundamental asset in today’s business world. Nearly every company depends on working IT systems. But this dependency, combined with the rapid development of the internet and the attractiveness towards criminals also has increased the risk of attacks. Different statistics have shown an almost exponential rise of security alerts, and the resulting costs, in the last ten years. The companies work with sensitive data and information which has to be secured against misuse and unauthorized access. Examples of security mechanisms are Hostbased Intrusion Detection and Prevention Systems. These kind of systems work on a single host of interest and monitor the characteristics of the host, and the events occurring within that host for suspicious activity . If preventive measures are enabled, also perform prevention actions. This increase of security demands a high financial and organisational effort. Furthermore because of collecting a high amount of data, it is important to consider the data protection law. This theses focuses on aim, function, deployment and impact of different available products. Fundamental aspects of IT security and the resulting importance of security mechanisms are presented in the first part. General design, components, mode of operation and architectures of Host ID systems, as well as the other IDS types are presented in the second part of the document. After the theoretical analyses, examples of available IDS solutions are described and a comparison is made. A famous product called Cisco Security Agent is part of a practical simulation for a better understanding of the Intrusion Detection Systems’ functionality.

Object languages: German

Date: 2007

Rights: © All rights reserved

Classification: Eindringerkennung; Großrechner

Permanent Identifier