Stiller Wächter

Intrusion-Detection-Systeme erkennen Angriffe auf Rechner und Netzwerke, indem Sie den Netzwerkverkehr überwachen und dabei Angriffsmuster und Anomalien erkennen oder womöglich unerwünschte Änderungen auf zu schützenden Rechnern feststellen. Funktionieren sie wie gedacht, alarmieren sie bei Attacken den für das System verantwortlichen Administrator zeitnah. So lassen sich die mit dem Angriff einhergehenden Schäden zumindest eindämmen oder sogar verhindern.

Für das freie Betriebssystem gibt es zahlreiche Intrusion-Detection-Systeme (IDS), entweder für ganze Netzwerke (netzwerkbasiertes IDS, NIDS) oder einzelne Hosts (hostbasiertes IDS, HIDS). In die erstere Kategorie fallen Snort, Suricata und Prelude, die im Idealfall Angriffe auf gesamte Netzwerke erkennen. Zur Kategorie der HIDS zählen Anwendungen wie PortsEntry, Logcheck, Samhain, OSSEC und nicht zuletzt Tripwire [1], um das es in diesem Artikel geht.

Bei Tripwire ("Stolperdraht") handelt es sich um einen Datei-Integritätschecker. Das System wurde 1992 von Gene Kim und Dr. Eugene Spafford an der Purdue-Universität [2] in West Lafayette (USA, Indiana) entwickelt. Seit 1999 entwickelt das Unternehmen Tripwire Inc. [3] die Anwendung als Tripwire Enterprise weiter. Das Tripwire Open Source Projekt wurde 2002 ins Leben gerufen und nutzte als Grundlage die Tripwire-Quelltexte aus dem Jahr 2000. Es eignet sich laut Tripwire Inc. für eine kleine Anzahl von Servern, für die man auf zentralisierte Administration und Berichtsfunktionen verzichten kann.

Funktionsweise

Man kann davon ausgehen, dass Angreifer das attackierte System mit Trojanern, Backdoors und veränderten Dateien