Einsatzszenario

packetalarm IDS/IPS NG – Einsatzszenario

Einsatzbeispiel

Standort A als Hauptstandort und Sitz der IT-Zentrale möchte den Datenverkehr an ihrem Standort auf Angriffe untersuchen und sich die Möglichkeit einer aktiven Reaktion darauf eröffnen.

Es besteht zusätzlich die Notwendigkeit der Einbindung der Standorte B, C und D in die neu zu implementierende Sicherheitslösung. Weitere Forderungen bestehen an eine zentrale Administration sämtlicher zu installierender IDS & IPS-Systeme, eines umfangreichen und zentralen Reportings, bzw. der redundanten Auslegung des zentralen Managers und des Standortes D. Da das Unternehmen bereits über ein Firewall-System verfügt, soll die Installation ohne neuerliche Änderung der IP-Adressen, sowie der bestehenden IT-Struktur erfolgen.

Standort A

Der Einsatz von packetalarm IPS NG im Bridging Modus, erlaubt eine transparente Integration des Systems, hinter den vorhandenen Firewall‘s. Durch die integrierte Layer 2/Layer 3-Firewall in packetalarm IPS NG kann so auf einfache Art und Weise ein zweistufiges Firewall-Konzept realisiert werden. Durch die Installatuion von packetalarm IPS NG im Inline Modus können Angriffe, die von einer Firewall nicht erkannt werden können, gezielt verhindert werden.

Alle im Unternehmensnetzwerk zu integrierenden packetalarm NG Systeme können durch ihre Sensor/Manager-Funktionalitäten zentral von einem zusätzlichen, als Manager installierten packetalarm NG-System konfiguriert, administriert und überwacht werden. Das geforderte Redundanz-System für den zentralen Manager soll in Niederlassung B installiert werden, um die räumliche Trennung als Back-up Rechenzentrum zu gewähren.

Die Auto-Prevention von packetalarm IPS NG unterstützt den Administrator aktiv in der Entscheidung, wie ein analysierter Angriff behandelt werden soll. In packetalarm NG sind werkseitig berreits mehr als 6.000 Signaturen und Regeln integriert. Sie sind in einem Expertensystem, der Auto-Prevention, vorkonfiguriert und in Gefahrenstufen klassifiziert. Ist die Auto-Prevention in packetalarm IPS NG aktiviert, werden alle gefundenen Signaturen gemäß der im Expertensystem vordefinierten Reaktion behandelt. Neue, durch das Online-Update gelieferte Signaturen und Regeln, werden automatisch den Richtlinien der Auto-Prevention untergeordnet. Die Auto-Prevention ermöglicht so mit nur „einem Klick“ einen umfassenden Schutz ihres Netzwerkes.

Standort_A_IPS_NG

Standort B

Standort B als Niederlassung des Unternehmens soll im Zuge einer Reorganisation seines Netzwerkes ebenfalls die Möglichkeit zu einer aktiven Reaktion auf Angriffe erhalten, die sich mit den Forderungen der Zentrale decken. Am Standort B ist zudem der Betrieb des redundanten Manager-Systems vorgesehen. Durch die räumliche Trennung des HA-Managers zum Manager in Standort A sind die Forderungen an ein Back-up erfüllt.

Die Kommunikation aller packetalarm NG-Systeme untereinander erfolgt verschlüsselt. Alle Systeme des Netzwerkes reporten an den zentralen packetalarm Manager in Standort A.

Der Datenverkehr wird nun durch packetalarm IPS NG sowohl durch die integrierte Layer 2/Layer 3-Firewall auf seine Zulässigkeit, als auch durch die aktive Prevention Engine auf Angriffe hin untersucht.

Die packetalarm NG Event-Korrelation überprüft dabei bei jedem entdeckten Angriff anhand von definierten Systemattributen, ob er auf einem im Netzwerk installierten Gerät durchgeführt werden könnte. Das hinzufügen eigen definierter Systemattribute ist jederzeit möglich. packetlarm NG bietet zusätzlich die Möglichkeit der Übernahme von Daten aus externen Systemen wie z.B. „ArcSightTM“ oder „prelude“.

Standort_B_IPS_NG

Standort C

Der Standort C als Entwicklungszentrum hat die Notwendigkeit zur Überwachung auch des internen Datenverkehrs. Die Performance des bestehenden Netzwerkes darf dabei unter keinen Umständen beeinträchtigt werden.

Durch den Einsatz von packetalarm IDS NG und seiner Installation im Sniffing Modus kann diese Forderung erfüllt werden. Der interne Datenverkehr von Client zu Server, von Client zu Client und vom Netzwerk/Client ins Internet kann damit analysiert werden. Die von packetalarm IDS NG gesammelten Daten werden ebenfalls dem zentralen Manager in Standort A übermittelt und stehen dort dem Reporting zur Verfügung..

Durch die in packetalarm IDS NG integrierte Funktion zum Senden eines TCP-Resets oder aktivieren eines Firewall-Hardenings ist es möglich, auf Angriffe zu reagieren. Wie alle packetalarm NG Produkte verfügt auch IDS NG über die Funktion des Traffic-Trace. Diese Funktion steht für die Möglichkeit eine beliebige Anzahl von Datenpaketen, nach Eingang eines mit einem Angriff behafteten Paketes, zu speichern.

Standort_C_IDS_NG

Standort D

Der Standort D betreibt im internen Hosting den Webshop des Unternehmens und muss deshalb unbedingt einen ausfallsicheren Zugriff auf den Server gewährleisten.

Durch den Einsatz von packetalarm IPS NG als High-Availability Lösung ist die Verfügbarkeit für Shop-Nutzer und -betreiber sichergestellt. Sämtliche Dienste und Aufgaben werden vom Stand-By- System im Bedarfsfall übernommen.

Standort_D_IPS_NG

 

Gesamtbetrachtung

Die packetalarm NG Produktfamilie bietet mit ihrer Ausstattung für alle Anwendungsgebiete eine technisch erprobte und preislich attraktive Lösung. Durch ihre Flexibilität in Installation und Administration werden die heutigen Anforderungen an erweiterbare Sicherheitslösung erfüllt. Durch den Einsatz mehrerer packetalarm NG Systeme kann unkompliziert ein kostengünstiges und umfassendes Sicherheitskonzept aufgebaut werden. Die einzigartige packetalarm Management Technologie ermöglicht eine einfache und zentrale Administration. Unabhängig davon ob nur ein oder mehrere Systeme eingesetzt werden. packetalarm NG garantiert Skalierbarkeit und Investitionssicherheit vom Technologieführer in Sachen Angriffserkennung und Angriffsvermeidung.