27.03.2007 | Redakteur: Stephan Augsten
Netzwerke stehen unter Dauerbeschuss von Hackern und Malware. Firewalls, Antivirus-Software und Antispyware-Lösungen verhindern, dass die meisten Attacken tatsächlich ernsten Schaden anrichten. Aber auch über neue Angriffsmethoden müssen Netzwerk-Manager zeitgerecht informiert werden – und zwar so, dass Quelle und Art der Attacke klar erkennbar sind. Allerdings erfordert jede Intrusion Prevention Appliance eine entsprechende Management-Software.
Hersteller von Intrusion Prevention Appliances bieten für ihre Geräte Management-Pakete an, die eingehende Rohdaten interpretieren und verständlich darstellen. Bei der Auswahl der Geräte ist daher ein Blick auf die entsprechenden Management-Lösungen unbedingt anzuraten und genauso wichtig wie die Evaluierung der Hardware.
Neben den Angeboten kommerzieller Hersteller gibt es die Open-Source-Lösung Snort, die kostenlos heruntergeladen werden kann. Das Produkt wird von Sourcefire als Supported Version angeboten.
Intrusion Prevention Management Software muss eine Logik enthalten, die „false positives“ erkennt. Dabei handelt es sich um Vorkommnisse, die als Angriffe interpretiert wurden, aber keine sind. Ansonsten könnte ein Administrator mit Informationen überflutet werden und echte Angriffe schlichtweg übersehen. Außerdem muss die Anwendung einfach zu konfigurieren sein, sodass ein erkannter false positive nicht erneut vom System gemeldet wird.
Zu Beginn einer neuen Attacke wird ein Netzwerk möglicherweiwe hundert oder tausend Mal innerhalb weniger Stunden getroffen. Meldet die Management-Software aber jedes einzelne Ereignis, wird damit der Administrator überfordert. Im Idealfall bringt das Überwachungs-Tool ähnliche Events in Korrelation, bewertet sie als mehrfache Instanzen eines Angriffs und stellt diesen entsprechend dar.
Management-Software muss skalierbar sein und mit dem Netzwerk wachsen, um es zu unterstützen. Hersteller von Intrusion-Prevention-Geräten bieten Lösungen an, die sich bis zu einem gewissen Grad ans Netzwerk anpassen lassen und bestimmte Größen abdecken. Sehr große Netzwerke erfordern jedoch mehrere Geräte.
Desweiteren sollte Management-Software in der Lage sein, Informationen über alle Geräte hinweg zu sammeln und den Angriff in einer einheitlichen Darstellung wiederzugeben. Große Multi-Site-Netzwerke werden oftmals von einem lokalen Team gemanaged, zusätzlich werden alle Netze zentral überwacht. Bei solchen Verbünden empfiehlt sich ein mehrstufiges System, das lokalen Administratoren nur Einblick auf die lokalen Angriffe bietet und dem zentralen Management den Zugriff auf das gesamte Netzwerk gewährt.
Intrusion-Prevention-Geräte und die dazugehörige Software müssen sich in andere Management-Produkte integrieren lassen, um einen einheitlichen Überblick über das Netzwerk zu ermöglichen. Große Hersteller bieten eine hohe Integration in andere Produkte aus dem eigenen Hause.
Cisco’s CS-MARS kommuniziert mit Cisco Firewalls, Router, Switches und Radius-Servern um einen übergreifenden Einblick in die Angriffe auf das Netzwerk zu bieten. Kleinere Anbieter mit reinem Fokus auf Intrusion Prevention stellen Schnittstellen zur Verfügung, um Daten in Produkte anderer Hersteller oder Open-Source-Produkte zu übertragen. TopLayer Networks „Network Security Analyser Management“-Produkte funktioniert mit dem Open-Source Schwachstelle-Scanner Nessus und liefert auch XML-Ausgaben, sodass es sich auch in kundenspezifische Lösungen integrieren lässt.
Um den Status eines Netzwerks auf den ersten Blick zu erfassen, bieten die meisten Management-Pakete eine grafische Oberfläche (GUI, Graphical User Interface). Die Ansicht kann in Form von Karten erfolgen, die den Zustand des Netzwerkes und der derzeit laufenden Angriffe darstellt.
Andere GUIs zeigen eine grafische Ansicht des Netzwerks, mit Markierungen der infizierten oder attackierten Netzteile. Einige Pakete erlauben auch eine individuelle Anpassung, sodass Anwender ihr Netz optimal darstellen können. Stellen Sie sicher, dass Sie eine Software wählen, die den Anforderungen Ihrer Administratoren entsprechen.
Besondere Regeln zur Berichts-Erstellung beinhalten solche Richtlinien wie Sarbanes.Oxley (SOX) oder der Health Insurance Portability and Accountability Act (HIPAA). Eine Intrusion Prevention Management Software sollte demnach in der Lage sein, entsprechende Reports für die Infrastruktur zu erstellen.
Zusätzlich zu den Reports getätigter Angriffe muss eine Management-Software selbstständig und ohne manuelles Eingreifen agieren können, um Attacken umgehend zu beenden bzw. auszusetzen. Intrusion Prevention Geräte werden entlang der wichtigen Netzwerk-Routen installiert und sollen Angriffs-Pakete blockieren und ihre Ausbreitung im Netzwerk verhindern. Sie können jedoch Angriffe nicht immer an der Quelle eindämmen.
Erkennen und melden Intrusion-Prevention-Appliances beispielsweise Pakete, die Viren enthalten, kann die Management-Software die eingehenden Meldungen konsolidieren und die Quellen ausmachen. Liegt der Ursprung etwa auf einem infizierten Laptop innerhalb des Netzwerks, kann die Management-Software den damit verbundenen Switch ausfindig machen und ihn anweisen, den jeweiligen Port abzuschalten.
Sollten die Pakete von außerhalb des Netzwerkes kommen, ändert eine intelligente Management-Software die Filter-Konfiguration des Routers, der die Online-Verbindung herstellt. Auf diese Weise werden die Pakete des Angriffs blockiert und können gar nicht erst ins Netz eindringen.
Bei der Evaluierung und der Entscheidung für eine Intrusion-Prevention-Lösung darf der Fokus also nicht nur auf der Hardware liegen. Genauso wichtig ist eine skalierbare Management-Software, die mit dem Netzwerk wächst und sich in bestehende Systeme integrieren lässt. Sie muss die Informationen knapp und prägnant anzeigen, darf den Administrator aber nicht mit Informationen überfluten, sodass dieser eine potenziell gefährliche Situation schnell erkennt und direkt darauf reagieren kann.
Letztlich zählt aber auch die Flexibilität: Die Lösung sollte auf Veränderungen und neue Arten von Angriffen angepasst und adaptiert werden können. Nur mit solch einer umfassenden Management-Software ist das Firmennetz effektiv gegen Gefahren von innen und außen geschützt.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000306)
