Intrusion Detection (IDS)

packetalarm NG Intrusion Detection

Netzwerkbasierende Angriffserkennung ist ein unverzichtbares Instrument in einer unternehmensweiten Security-Lösung: Keine andere Technologie ermöglicht die Echtzeit-Überwachung und Angriffserkennung der Kommunikationen in kompletten Netzwerksegmenten. So können Intrusion Detection-Systeme z.B. an Core-Switches oder über TAP-Devices an zentralen Stellen implementiert werden, um damit die gesamte interne Kommunikation zu überprüfen.

Laut aktuellen Studien kommen rund 60-80% aller Angriffe aus dem internen Netzwerk – und bleiben deshalb für Gateway-Sicherheitsprodukte unsichtbar. Die packetalarm Intrusion Detection-Systeme jedoch erkennen auch diese Angriffe zuverlässig. Passiv im Sniffing Modus eingesetzt, wird der Datenstrom nicht beeinflusst – das garantiert höchste Verfügbarkeit.

Das packetalarm IDS NG-System wurde speziell für die Überwachung von ganzen Netzwerksegmenten konzipiert. Durch die bewährte Scan- und Detection-Technologie sowie die Sensor-/Manager-Architektur liefert packetalarm IDS NG ein Höchstmaß an Performance und Skalierbarkeit.

Die intelligente Korrelation zwischen gefundenen Angriffen und den Systemattributen ermittelt in Echtzeit, welche Angriffe tatsächlich relevant und gefährlich für das Netzwerk sind. Alle Angriffsdaten und Systemschwachstellen werden in übersichtlichen Reports ausgegeben. Damit hilft packetalarm IDS NG dem Administrator, wichtige Informationen von unwichtigen zu trennen, und schafft damit mehr Sicherheit bei geringen Administrationskosten.

Die packetalarm IDS NG-Systeme verfügen über eine integrierte SNMP-Schnittstelle, mit der man statistische Daten von allen IDS-Systemen abrufen kann, um sich z.B. über CPU-Auslastung und Festplattenkapazität zu informieren.

IDS_NG_1000

Sichere Überwachung, sicheres Management

packetalarm IDS NG kann standardmäßig mit mehreren Interfaces zugleich „sniffen“ und bietet dadurch die Möglichkeit, mehrere Netzwerksegmente mit einem System zu überwachen. Die Sniffing Interfaces besitzen keine eigene IP-Adresse (Stealth-Modus). Dadurch ist das IDS-System selbst nicht angreifbar.

Das Management Interface kann einfach in einem z.B. durch eine Firewall geschützten Segment platziert werden. Zusätzlich kann über die Managementkonsole der Zugriff auf bestimmte IP-Adressen beschränkt werden. Die Kommunikation zwischen Browser und Manager ist dabei stets verschlüsselt.

Intrusion Prevention im Sniffing Modus

Wird die Intrusion Prevention Engine aktiviert, kann packetalarm IDS NG auf Angriffe reagieren und sie mittels TCP Reset oder dem Firewall Hardening verhindern.

Event-Korrelation

Per Event-Korrelation, überprüft packetalarm IDS NG-Systeme bei jedem entdeckten Angriff, ob er auf dem Zielsystem durchgeführt werden könnte. Dies wird anhand des integrierten Regelwerks und den definierten Systemattributen entschieden. Jede Übereinstimmung erhöht die Wahrscheinlichkeit, dass es sich um einen gefährlichen Angriff handelt.

Bei der Ausgabe können die Angriffe mit niedriger Gefährdungswahrscheinlichkeit herausgefiltert und so Fehlalarme vermieden werden. Natürlich kann der Administrator auch eigene Systemattribute erstellen, eigene Korrelationen zwischen Regeln und Attributen bilden und bestimmen, um wie viel sich die Wahrscheinlichkeit der Gefährdung dadurch erhöht oder verringert.

Die Systeme können in Echtzeit Events mit anderen Informationen korrelieren und unterstützen die Übernahme von externen Korrelationsdaten, wie z. B. aus Nessus™ oder prelude. Dabei wird prelude über das eigene Übertragungsprotokoll direkt unterstützt. Die von packetalarm NG erkannten Events können ebenfalls an externe Auswertungssysteme übergeben werden.

Einfache Erstellung von individuellen Signaturen

PacketAlarmNG_regel_editor_350

Die packetalarm IDS NG-Systeme bieten die Möglichkeit, einfach und schnell eigene Signaturen über die Managementoberfläche zu erstellen. Regeln können über den Regel-Editor anhand von z.B. Source- oder Destination-Adresse, Ports, Pakettyp, -größe, Inhalt (z.B. Schlüsselwörter, Text, Hexadezimal) oder Häufigkeit des Auftretens innerhalb einer definierten Zeitspanne erstellt werden. Damit kann der Datenverkehr individuellen alarmiert oder terminiert werden.

Anomalie-Erkennung

Angriffe oder Auswirkungen von Angriffen verursachen oft Abweichungen zum üblichen Datenverkehr. Ein plötzlicher Anstieg der Datenmenge oder der völlige Stillstand eines Dienstes können auf einen Angriff hinweisen. Mit der Anomalie-Erkennung der packetalarm IDS NG-Systeme werden Abweichungen von als normal definierten Datenmengen angezeigt und gemeldet. Die „normalen“ Datenmenge kann vom System automatisch erlernt oder vom Administrator anpassen werden.

Anomalien können für Netze, einzelne Maschinen und sogar einzelne Ports definiert werden. Gemeldet wird, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Unterschreitung eines üblichen Wertes festgestellt wird.

Optimales Monitoring, forensische Analyse und AutoReporting

Die packetalarm IDS NG-Systeme ermöglichen eine detaillierte forensische Analyse der Angriffe auf das Netzwerk. Eine einfach zu bedienende Abfrage- und Anzeigeoption listet innerhalb eines frei definierbaren Zeitraums die Vorfälle nach unterschiedlichen Kategorien auf. In der Anzeige wird die Gefährlichkeit der Events ausgewiesen (High, Medium, Low, Info). Dargestellt werden alle Angriffe, standardmäßig sogar inklusive des gesamten Angriffspaketes. Die packetalarm IDS NG-Systeme können Angriffe gebündelt nach Angriffsziel und Angreifer darstellen.

Alle Daten die für die Analyse benötigt werden, lassen sich problemlos exportieren. Über die Auto Report-Funktion werden automatisch die wichtigsten Angriffe und Regelverstößein einem übersichtlichen E-Mail-Report zusammengefasst – täglich, wöchentlich oder monatlich. Auch können die Ausgabediagramme und -tabellen können nach individuellen Wünschen zusammengestellt werden. So haben Management, IT-Leiter und Administrator die Möglichkeit, sich exakt die Daten anzeigen zu lassen, die für sie am wichtigsten sind.

Durch das automatische Software- und Pattern-Update sind die packetalarm NG Systeme immer auf dem neuesten Stand.