F

Intrusion Detection System: IDS besser Host-basiert oder netzwerkbasiert?

Host-basierte und netzwerkbasierte IDS (Intrusion Detection Systeme) haben beide Vor- und Nachteile. Wir verraten, was sich für Ihre Firma eignet.

Was ist der Unterschied zwischen einem Host-basierten Intrusion Detection System und einem netzwerkbasierten IDS? Welchen IDS-Typ setzt man am besten für welches Szenario ein?

Host-basierte Intrusion-Detection-Systeme (IDS) schützen lediglich den Host oder den Endpunkt. Dazu gehören Workstations, Server, mobile Geräte und so weiter. Host-basierte IDS sind eine der letzten Schichten in der Verteidigung. Sie gehören auch zu den besten Security-Kontrollen, weil Sie sich für spezifische Workstations, Applikationen, Anwender-Rollen oder Workflows fein abstimmen lassen.

Ein netzwerkbasiertes IDS sitzt oftmals am Eintritts- oder Austrittspunkt des Netzwerks. Dort überwacht es, was kommt und geht. Ein netzwerkbasiertes IDS befindet sich im Netzwerk weiter draußen. Aus diesem Grund bietet es möglicherweise nicht so feinen Schutz und kann nicht alles überwachen. Das gilt vor allen Dingen für Netzwerk-Traffic, der durch SSL, TLS oder SSH geschützt ist.

IDS-Technologie gibt es schon relativ lange und neuere IPS (Intrusion Prevention System) eignen sich oftmals besser für Unternehmen. IPS, egal ob am Host oder im Netzwerk, kann einen Angriff verhindern und nicht nur über einen berichten.

Interessant im Zusammenhang mit Host-basierten IPS ist, dass ich sie noch kaum im Einsatz gesehen habe. Das liegt wahrscheinlich an der Komplexität und der Frustration. Eine angemessene Konfiguration dieser Systeme ist für IT- und Security-Mitarbeiter herausfordernd. 

Man kann sehr schnell Flaschenhälse erzeugen oder den Netzwerk-Traffic anderweitig negativ beeinflussen. Natürlich führt es schnell zu Frust, wenn die Technologie so konfiguriert ist, dass die Anwender ihrer Arbeit nicht nachkommen können. 

Weiterhin wollen Mitarbeiter sicherlich nicht von diversen Pop-Up-Fenstern belästigt und gefragt werden, ob unbekannter Traffic mit dem Computer kommunizieren darf. An dieser Stelle ist ein weiterer Fakt in Betracht zu ziehen. Anwender haben oftmals die Kontrolle über die eigenen, lokalen Security-Richtlinien. Diese können tatsächlich die Vorteile eines Host-basierten IPS negieren.

Im Endeffekt kommt es auf das jeweilige Unternehmen an. Die Firma muss entscheiden, welche Technologien man am besten einsetzt und welche Security-Kultur die Anforderungen am besten erfüllen. IPS ist oftmals die richtige Entscheidung. Sowohl netzwerkbasiertes als auch Host-basiertes IPS stellen ein hohes Niveau an Sicherheit zur Verfügung. Das setzt allerdings voraus, dass die Technologie korrekt geplant, implementiert und verwaltet wird.

Über den Autor:
Kevin Beaver arbeitet als Berater, Gutachter und Referent zum Thema Informationssicherheit für Principle Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments und Risikomanagementanalysen. Beaver ist zudem Autor und Co-Autor zahlreicher Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close