Ein reines Firewall-System ohne integrierte Intrusion Prevention bietet heute keinen zuverlässsigen Schutz mehr - die Angriffe durch Würmer, Trojaner, Hacker und Co. sind zu vielfältig und zu intelligent geworden. Ein nur auf IP-Adressen und Ports basierten Sicherheitssystem stellt für Angreifer kaum noch ein echtes Hindernis dar. Auch ein einfaches "Intrusion Prevention Add-on" zu einer Firewall bietet nur unwesentlich mehr Schutz.

Aus diesem Grund verfolgen wir mit den packetalarm IPS NG-Systemen eine ganz andere Strategie: Statt einer simplen Abschaltung von Kommunikationsmöglichkeiten werden sämtliche IP-Pakete detailliert untersucht. Nur so können Angriffe gezielt erkannt werden.

Das Herz des packetalarm IPS NG-Systeme ist die Intrusion Prevention Engine, ergänzt um eine Layer2/Layer3 Firewall. Egal, ob es sich um die Event-Korrelation, die Anomalie-Erkennung oder die Auto-Prevention handelt, es wird immer die neueste Sicherheitstechnologie eingesetzt die wir stetig weiterentwickeln.

Das Intrusion Prevention-System packetalarm IPS NG wird im Bridging-Modus auf Layer 2 betrieben. Obwohl es damit „unsichtbar“ direkt in der Kommunikation sitzt, sind Firewall und Prevention Engine stets aktiv.

So kann das System packetalarm IPS NG auch vor WLAN-Hotspots, Serverfarmen oder einzelnen Servern eingesetzt werden - an der Netzwerkkonfiguration muss nichts geändert werden. DHCP, BootP, NT-Domain-Anmeldungen oder andere Broadcast-Kommunikation laufen weiter, ohne dass ein Administrator eingreifen muss.

Die erste „Kontrollstation“ für den gesamten Datenverkehr ist die Layer 2/Layer 3 Firewall. Sie überwacht in Echtzeit alle Datenpakete zwischen Netzwerksegmenten. Nur der tatsächlich erwünschte Datenverkehr fließt ungehindert weiter. Die Regeln der Firewall lassen sich bequem und einfach konfigurieren.

Die Intrusion Prevention Engine verfügt über mehre tausend Regeln und Signaturen zur Erkennung von Angriffen. Das System greift aktiv in den Datenverkehr ein und blockt Angriffe, bevor sie in das Netzwerk eindringen können.

Die Auto Prevention-Funktion vereinfacht die Konfiguration vereinfacht und eine schnelle Klassifizierung der Regeln oder Regelgruppen an die individuellen Sicherheitsanforderungen für ihr System. Diese Auto-Prevention-Funktion gibt es nur bei den packetalarm NG IPS-Systemen - mit dem automatischen Regel-Update sind Sie schneller gegen Angriffe geschützt als mit anderen Systemen.

Per Event-Korrelation überprüfen die packetalarm IPS NG-Systeme bei jedem entdeckten Angriff , ob er auf dem Zielsystem ausgeführt werden könnte. Dies wird anhand des integrierten Regelwerks und den definierten Systemattributen entschieden. Jede Übereinstimmung erhöht die Wahrscheinlichkeit, dass es sich um einen gefährlichen Angriff handelt.

Bei der Ausgabe können die Angriffe mit niedriger Gefährdungswahrscheinlichkeit herausgefiltert und so Fehlalarme vermieden werden. Natürlich kann der Administrator auch eigene Systemattribute erstellen, eigene Korrelationen zwischen Regeln und Attributen bilden und bestimmen, um wie viel sich die Wahrscheinlichkeit der Gefährdung dadurch erhöht oder verringert.

Das packetalarm IPS NG-System kann in Echtzeit Events mit anderen Informationen korrelieren und  unterstützt die Übernahme von externen Korrelationsdaten, wie z. B. aus Nessus™ oder prelude.  Dabei wird prelude über das eigene Übertragungsprotokoll direkt unterstützt. Die von packetalarm NG erkannten Events können an externe Auswertungssysteme übergeben werden.

Die packetalarm IDS NG-Systeme bieten die Möglichkeit, einfach und schnell eigene Signaturen über die Managementoberfläche zu erstellen. Die Regeln können über den Regel-Editor anhand von z.B. Source- oder Destination-Adresse, Ports, Pakettyp, Paketgröße oder Inhalt (z.B. Schlüsselwörter, Text oder Hexadezimal) oder Häufigkeit des Auftretens innerhalb einer definierten Zeitspanne erstellt werden. Damit kann der Datenverkehr individuell alarmiert oder terminiert werden.

Angriffe oder deren Auswirkungen verursachen oft Abweichungen zum üblichen Datenverkehr. Ein plötzlicher Anstieg der Datenmenge oder der völlige Stillstand eines Dienstes können auf einen Angriff hinweisen. Mit der Anomalie-Erkennung der packetalarm IPS NG-Systeme werden Abweichungen von als normal definierten Datenmengen angezeigt und gemeldet. Die „normale“ Datenmenge kann vom System automatisch erlernt oder vom Administrator angepasst werden.

Anomalien können für Netze, einzelne Systeme und sogar für einzelne Ports definiert werden. Gemeldet wird, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Unterschreitung eines üblichen Wertes festgestellt wird.