Intrusion Prevention (IPS)

packetalarm NG Intrusion Prevention

Ein reines Firewall-System ohne integrierte Intrusion Prevention bietet heute keinen zuverlässsigen Schutz mehr – die Angriffe durch Würmer, Trojaner, Hacker und Co. sind zu vielfältig und zu intelligent geworden. Ein nur auf IP-Adressen und Ports basierten Sicherheitssystem stellt für Angreifer kaum noch ein echtes Hindernis dar. Auch ein einfaches „Intrusion Prevention Add-on“ zu einer Firewall bietet nur unwesentlich mehr Schutz.

Aus diesem Grund verfolgen wir mit den packetalarm IPS NG-Systemen eine ganz andere Strategie: Statt einer simplen Abschaltung von Kommunikationsmöglichkeiten werden sämtliche IP-Pakete detailliert untersucht. Nur so können Angriffe gezielt erkannt werden.

Das Herz des packetalarm IPS NG-Systeme ist die Intrusion Prevention Engine, ergänzt um eine Layer2/Layer3 Firewall. Egal, ob es sich um die Event-Korrelation, die Anomalie-Erkennung oder die Auto-Prevention handelt, es wird immer die neueste Sicherheitstechnologie eingesetzt die wir stetig weiterentwickeln.

Das Intrusion Prevention-System packetalarm IPS NG wird im Bridging-Modus auf Layer 2 betrieben. Obwohl es damit „unsichtbar“ direkt in der Kommunikation sitzt, sind Firewall und Prevention Engine stets aktiv.

So kann das System packetalarm IPS NG auch vor WLAN-Hotspots, Serverfarmen oder einzelnen Servern eingesetzt werden – an der Netzwerkkonfiguration muss nichts geändert werden. DHCP, BootP, NT-Domain-Anmeldungen oder andere Broadcast-Kommunikation laufen weiter, ohne dass ein Administrator eingreifen muss.

IDS_NG_1000

Layer 2/Layer 3 Firewall

Die erste „Kontrollstation“ für den gesamten Datenverkehr ist die Layer 2/Layer 3 Firewall. Sie überwacht in Echtzeit alle Datenpakete zwischen Netzwerksegmenten. Nur der tatsächlich erwünschte Datenverkehr fließt ungehindert weiter. Die Regeln der Firewall lassen sich bequem und einfach konfigurieren.

Intrusion Prevention

Die Intrusion Prevention Engine verfügt über mehre tausend Regeln und Signaturen zur Erkennung von Angriffen. Das System greift aktiv in den Datenverkehr ein und blockt Angriffe, bevor sie in das Netzwerk eindringen können.

Auto-Prevention-Funktion

Die Auto Prevention-Funktion vereinfacht die Konfiguration vereinfacht und eine schnelle Klassifizierung der Regeln oder Regelgruppen an die individuellen Sicherheitsanforderungen für ihr System. Diese Auto-Prevention-Funktion gibt es nur bei den packetalarm NG IPS-Systemen – mit dem automatischen Regel-Update sind Sie schneller gegen Angriffe geschützt als mit anderen Systemen.

Alle packetalarm NG-Produkte lassen sich in einem verteilten System beliebig kombinieren. Administration, Konfiguration und Analyse erfolgen über einen zentralen Manager.

Event-Korrelation

Per Event-Korrelation überprüfen die packetalarm IPS NG-Systeme bei jedem entdeckten Angriff , ob er auf dem Zielsystem ausgeführt werden könnte. Dies wird anhand des integrierten Regelwerks und den definierten Systemattributen entschieden. Jede Übereinstimmung erhöht die Wahrscheinlichkeit, dass es sich um einen gefährlichen Angriff handelt.

Bei der Ausgabe können die Angriffe mit niedriger Gefährdungswahrscheinlichkeit herausgefiltert und so Fehlalarme vermieden werden. Natürlich kann der Administrator auch eigene Systemattribute erstellen, eigene Korrelationen zwischen Regeln und Attributen bilden und bestimmen, um wie viel sich die Wahrscheinlichkeit der Gefährdung dadurch erhöht oder verringert.

Das packetalarm IPS NG-System kann in Echtzeit Events mit anderen Informationen korrelieren und unterstützt die Übernahme von externen Korrelationsdaten, wie z. B. aus Nessus™ oder prelude. Dabei wird prelude über das eigene Übertragungsprotokoll direkt unterstützt. Die von packetalarm NG erkannten Events können an externe Auswertungssysteme übergeben werden.

packetalarm IPS NG bietet die Möglichkeit, einfach und schnell eigene Intrusion Prevention Signaturen über einen komfortablen Regel-Editor zu erstellen.

Einfache Erstellung von individuellen Signaturen

Die packetalarm IDS NG-Systeme bieten die Möglichkeit, einfach und schnell eigene Signaturen über die Managementoberfläche zu erstellen. Die Regeln können über den Regel-Editor anhand von z.B. Source- oder Destination-Adresse, Ports, Pakettyp, Paketgröße oder Inhalt (z.B. Schlüsselwörter, Text oder Hexadezimal) oder Häufigkeit des Auftretens innerhalb einer definierten Zeitspanne erstellt werden. Damit kann der Datenverkehr individuell alarmiert oder terminiert werden.

PacketAlarmNG_regel_liste_700

Anomalie-Erkennung

Angriffe oder deren Auswirkungen verursachen oft Abweichungen zum üblichen Datenverkehr. Ein plötzlicher Anstieg der Datenmenge oder der völlige Stillstand eines Dienstes können auf einen Angriff hinweisen. Mit der Anomalie-Erkennung der packetalarm IPS NG-Systeme werden Abweichungen von als normal definierten Datenmengen angezeigt und gemeldet. Die „normale“ Datenmenge kann vom System automatisch erlernt oder vom Administrator angepasst werden.

Anomalien können für Netze, einzelne Systeme und sogar für einzelne Ports definiert werden. Gemeldet wird, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Unterschreitung eines üblichen Wertes festgestellt wird.

Optimales Monitoring, forensische Analyse und AutoReporting

Die packetalarm IPS NG-Systeme ermöglichen eine detaillierte forensische Analyse der Angriffe auf das Netzwerk. Eine einfach zu bedienende Abfrage- und Anzeigeoption listet innerhalb eines frei definierbaren Zeitraums die Vorfälle nach unterschiedlichen Kategorien auf. In der Anzeige wird die Gefährlichkeit der Events ausgewiesen (High, Medium, Low, Info). Dargestellt werden alle Angriffe, standardmäßig sogar inklusive des gesamten Angriffspaketes. Das packetalarm IPS NG-System kann Angriffe sortiert nach Angriffsziel und Angreifer darstellen.

Alle Daten, die für die Analyse genutzt werden, lassen sich problemlos exportieren. Über die Auto Report-Funktion werden automatisch die wichtigsten Angriffe und Regelverstöße in einem übersichtlichen E-Mail-Report zusammengefasst – täglich, wöchentlich oder monatlich. Auch die Ausgabediagramme und -tabellen individuellen Wünschen zusammengestellt werden. So haben Management, IT-Leiter und Administrator die Möglichkeit, sich genau die Daten anzeigen zu lassen, die für sie am wichtigsten sind.