Packetalarm - ABACOM GmbH & Co KG

heute nicht mehr denkbar. Zu vielfältig und „clever“ sind heute Würmer, Trojaner, Hacker und Co. um Bedrohungen nur mit einer reinen auf IP und Portadressen basierten Entscheidung zu eliminieren. Doch reicht ein einfaches Intrusion Prevention Add-on auf einer Firewall aus, um die heutigen Gefahren abzuwehren?

PacketAlarm IPS verfolgt hier eine ganz andere Strategie. Nicht das simple Reduzieren von Kommunikationsmöglichkeiten, sondern die detaillierte Untersuchung jedes einzelnen Paketes und die damit verbundene Möglichkeit, Angriffe gezielt zu erkennen stehen im Vordergrund. Das Herzstück bildet die Intrusion Prevention Engine, die auf der Technik des bewährten Intrusion Detection Systems PacketAlarm IDS beruht. Natürlich wird auf eine Stateful Inspection Firewall nicht verzichtet. Ganz im Gegenteil, egal, ob es sich um die Event-Korrelation, den Schwachstellen-Scanner, die Anomalie-Erkennung oder die Auto-Prevention handelt, es wird immer die neueste Sicherheitstechnologie eingesetzt und stetig weiterentwickelt.

Intrusion Prevention im Routing und Bridging Modus
Das Intrusion Prevention System PacketAlarm IPS kann inline sowohl im Routing Modus auf Layer 3, als auch im Bridging Modus auf Layer 2 betrieben werden. Obwohl PacketAlarm IPS im Bridging Modus „unsichtbar“ zwischen der Kommunikation sitzt, ist die Firewall und die Prevention Engine aktiv. So kann PacketAlarm IPS auch vor WLAN Hotspots, Serverfarmen oder einzelnen Servern eingesetzt werden, an der Netzwerk-Konfiguration muss nichts geändert werden. DHCP, Bootp, NT-Domain Anmeldungen oder andere Broadcast Kommunikationen funktionieren weiterhin, ohne dass ein Administrator eingreifen muss.
Die PacketAlarm IPS Appliance verfügt über eine, die PacketAlarm IPS Software über beliebig viele demilitarisierte Zonen, so genannte DMZs, und dies im Routing und im Bridging Modus. So können gezielt Systeme mit sensiblen Daten oder Anwendungen abgegrenzt und geschützt werden.

Stateful Inspection Firewall
Die erste „Kontrollstation“ für den gesamten Datenverkehr ist die PacketAlarm IPS Multi Inspection Firewall. Sie überwacht in Echtzeit alle Datenpakete zwischen dem zu schützenden Netzwerk und den externen Netzen. Nur der tatsächlich erwünschte Datenverkehr fließt ungehindert weiter. Einfach und ohne großen Aufwand lassen sich die Regeln der Firewall konfigurieren und erlauben einen Einsatz innerhalb kürzester Zeit.

Intrusion Prevention
Die PacketAlarm Intrusion Prevention Engine verfügt über mehr als >4000 Regeln und Signaturen zur Erkennung von Angriffen. Das System greift aktiv in den Datenverkehr ein und blockt Angriffe, bevor sie in das Netzwerk eindringen können. Mit einer speziellen Auto-Prevention Funktion wird die Konfiguration vereinfacht und ein schnelles Anpassen der Regeln oder Regelgruppen an die unterschiedlichen Sicherheitsbedürfnisse der zu schützenden Systeme ermöglicht. Nur PacketAlarm Produkte verfügen über die Auto-Prevention Funktion und sind daher mit dem automatischen Regelupdate schneller gegen Angriffe geschützt als andere Systeme.

Vulnerability Scanner
Mit dem leistungsstarken PacketAlarm IPS Vulnerability-Scanner werden die zu schützenden Systeme zielgerichtet auf Schwachstellen untersucht. Kontinuierlich fährt PacketAlarm so genannte Tests und listet die dabei gefundenen Vulnerabilities übersichtlich auf. Neben der gut strukturierten Darstellung werden umfassende Informationen zu den gefundenen Schwachstellen gegeben und zudem Empfehlungen,wie diese beseitigt werden können, ausgesprochen.

Event-Korrelation
Durch eine spezielle Funktion, der Event-Korrelation, überprüft PacketAlarm IPS bei jedem entdeckten Angriff, ob er auf dem Zielsystem durchgeführt werden könnte. Dies wird anhand von definierten Systemattributen oder mit Hilfe der vom Vulnerability-Scanner gefundenen Schwachstellen entschieden. Jede Übereinstimmung erhöht die Wahrscheinlichkeit, dass es sich um einen gefährlichen Angriff handelt. Bei der Ausgabe können die Angriffe mit niedriger Wahrscheinlichkeitsstufe herausgefiltert und soFehlalarme vermieden werden. Natürlich kann der Administrator auch eigene Systemattribute erstellen, eigene Korrelationen zwischen Regeln und Attributen oder Schwachstellen bilden und bestimmen, um wie viel sich die Wahrscheinlichkeit der Gefährdung dadurch erhöht oder verringert.

Anomalie-Erkennung
Angriffe oder Auswirkungen von Angriffen verursachen oft Abweichungen im Datenverkehr. Ein plötzliches Ansteigen der Datenmenge oder das völlige Lahmlegen eines Internetdienstes können auf einen Angriff hinweisen. Mit der Anomalie-Erkennung zeigt PacketAlarm IPS Abweichungen von definierten „normalen“ Datenmengen an und meldet diese. Welche Datenmenge „normal“ ist, kann PacketAlarm lernen und vom Administrator anpassen lassen. Anomalien können für Netze, einzelne Maschinen und sogar einzelne Ports auf Maschinen definiert werden. Gemeldet wird, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Unterschreitung eines üblichen Wertes festgestellt wird.

Optimales Monitoring, forensische Analyse und AutoReporting
PacketAlarm IPS ermöglicht eine detaillierte forensische Analyse über die Angriffe auf das Netzwerk. Eine einfach zu bedienende Abfrage und Anzeigeoption listet innerhalb eines frei definierbaren Zeitraums die Vorfälle nach unterschiedlichen Kategorien auf. In der Anzeige wird die Gefährlichkeit der Events ausgewiesen (High, Medium, Low, Info). Dargestellt werden alle Angriffe, standardmäßig sogar inklusive des gesamten Angriffspaketes. PacketAlarm IPS stellt Angriffe gebündelt nach Angriffsziel und Angreifer dar, und verschafft so einen optimalen Überblick über attackierte Systeme. Alle Daten die für die Analyse benötigt werden, lassen sich problemlos exportieren. Über eine spezielle Auto-Report Funktion werden automatisch die wichtigsten Angriffe und Regelverstöße in einem übersichtlichen E-Mail Report zusammengefasst. Es kann frei konfiguriert werden, ob die Reports täglich, wöchentlich oder monatlich versendet werden. Auch die Ausgabediagramme und -tabellen können nach individuellen Wünschen zusammengestellt werden. So haben Management, IT-Leiter und Administrator die Möglichkeit sich genau die Daten anzeigen zu lassen, die für sie am wichtigsten sind.
Die PacketAlarm IDP Appliance können Sie selbstverständlich auch als Managed Service bei ABACOM mieten und jederzeit unverbindlich vorab für bis zu 30 Tage kostenlos testen.