Diskussion:Intrusion Detection System

Eine Frage zur "Begriffsverwirrung":

IPS = intrusion prevention system z.B. Firewall

IRS = intrusion response system, nach meinem Verständnis also die NIPS im Artikel?

Grüße MMS (Der vorstehende, unsignierte Beitrag wurde um 10:40, 4. Mai 2005, von 193.197.148.126 (Beiträge) erstellt. --Saibo (Δ) 17:26, 26. Okt. 2007 (CEST))Beantworten

Eine Firewall ist kein IPS. Ein Intrusion Prevention System wäre ein Dienst, der Firewallregeln dynamisch zu den erkannten Angriffen ändert.

Es stellt sich eher so dar

• IDS mit rein hostbasierten Sensoren -> HIDS
• IDS mit rein netzbasierten Sensoren -> NIDS
• IDS mit beiden Sensorentypen -> IDS

Ein IDS wird vom Sinn her zu einem IPS, wenn es über Funktionen verfügt, die Angriffe "abwehren" können. Das ist häufig die Änderung eines Firewallregelsatzes, kann aber auch jede andere mögliche Schutzreaktion sein. Bsp. Dienst abschalten, Account sperren etc.

IRS hab ich noch nicht bewußt wahrgenommen, vielleicht mal drübergelesen. Gerade was IDSysteme betrifft wird die Marketingtrommel sehr laut gerollt und Begriffe erfunden, die viel verprechen und wenig beinhalten (s.h. Begriffe wie IPS, "Echtzeitschutz" usw.)

Gruss - Florian (Der vorstehende, unsignierte Beitrag wurde um 20:55, 4. Mai 2005, von Neo23x0 (Beiträge) erstellt. --Saibo (Δ) 17:26, 26. Okt. 2007 (CEST))Beantworten

Sähe ich anders.

Außerdem lässt die Qualitet des Artikels zu wünschen übrig, ich bin nur zu faul, dies zu behäben.

Gruß,

ids (Der vorstehende, unsignierte Beitrag wurde um 22:37, 29. Jul. 2005, von 80.144.247.194 (Beiträge) erstellt. --Saibo (Δ) 17:26, 26. Okt. 2007 (CEST))Beantworten

Gut, sonst müssten wieder andere Leute diverse Rechtschreibfehler beh>Ä<ben.

Dann schreib, doch was Du siehst. Was gibts da überhaupt zu sehen.

Sag halt was...

Hasta pues (Der vorstehende, unsignierte Beitrag wurde um 18:26, 6. Aug. 2005, von Neo23x0 (Beiträge) erstellt. --Saibo (Δ) 17:26, 26. Okt. 2007 (CEST))Beantworten

Ein Nachteil von netzwerkbasierten IDS sieht die Daten anderst als ein hostbasiertes, z.B. indem unterschiedliche IP Stacks verwendet werden. Mit gezielten Angriffen kann man dafür sorgen dass ein netzwerkbasiertes IDS die Daten anderst sieht als sie schlussendlich auf dem Zielrechner ankommen. (Der vorstehende, unsignierte Beitrag wurde um 10:22, 24. Okt. 2005, von 147.88.97.158 (Beiträge) erstellt. --Saibo (Δ) 17:26, 26. Okt. 2007 (CEST))Beantworten

Absolut richtig. Man verwendet beispielsweise eine doppelte Sequenznummer in einem Paket, welches vom Stack des Zielsystems verworfen wird, aber vom NIDS anders verarbeitet wird. Da gibts aber noch andere Invasion-Techniken. (Der vorstehende, unsignierte Beitrag wurde um 01:51, 17. Nov. 2005, von Neo23x0 (Beiträge) erstellt. --Saibo (Δ) 17:26, 26. Okt. 2007 (CEST))Beantworten

Ein Honeypot ist im regelfall kein eigener Computer, sonder ein Programm das als daemon auf einem (idealerweise gut geschützem) System läuft, und einen "host" simuliert der eine reihe an pseudo diensten anbietet.

heute werden schon mehr sog. Honeynets verwendet die gleich ein ganzes System simulieren - das erweißt sich als deutlich effezienter, da erfahrungsgemäß Angriffe selten nur gegen ein Ziel in einem Netzwerk richten und auch bei guter überwachung immer ein schaden an den Produktivsystemen entstehen kann - vor allem wenn diese nicht zu 100 % getrennt sind

Der Link zu "Marktübersicht Intrusion Detection Systeme LANLine (Stand 2003; ganz unten „Marktübersicht anzeigen“ auswählen)" führt auf eine 404. Die Domain leitet weiter und auf im Angebot der Zielseite kann ich LANLine nicht ohne weiteres entdecken. --217.7.17.166 15:36, 1. Feb. 2010 (CET)Beantworten

Alles Links funktionieren nicht mehr --134.76.3.155 17:28, 26. Apr. 2010 (CEST)Beantworten

Xray IDS ist keine freie Software. Der Abschnitt muss überarbeitet werden. (nicht signierter Beitrag von 89.204.154.164 (Diskussion) 20:14, 19. Mai 2011 (CEST)) Beantworten