|
|
Rubrik: Produkte/Intrusion Detection GFI: Neues Intrusion Detection-System als Freeware Erkennung von Eindringlingen, Manipulationsprotokollierung und (20.12.02) – GFI, Anbieter von Sicherheitssoftware für Netzwerke und Inhalte, hat die Veröffentlichung ihrer neuen Freeware "GFI LANguard System Integrity Monitor" (S.I.M.) bekannt gegeben. Das Intrusion Detection-System (IDS) erkennt Trojaner und andere böswillige Angriffe gegen Netzwerke, indem es Manipulationen an wichtigen Systemdateien aufspürt. Administratoren werden über diese Ereignisse sofort benachrichtigt, damit umgehend Abwehrmaßnahmen eingeleitet werden können. Schwachstellen, die einen Angriff oder eine Manipulation begünstigt haben, können somit schnell beseitigt werden. Weitere Informationen und eine kostenfreie Kopie des Produkts stehen unter http://www.gfi.com/lansim/index.html zum Download bereit.
Anzeige
Überwachung wichtiger Systemdateien Angreifer von außen oder auch interne Angestellte mit böswilligen Absichten können die Unternehmensarbeit mehrerer Jahre mühelos innerhalb weniger Minuten zunichte machen. Alles, was sie dazu brauchen, ist z. B. ein Trojaner, der die Zerstörung der Daten für sie übernimmt. Eindringlinge, die einen Trojaner im Netzwerk platzieren wollen, der nicht sofort erkannt wird, müssen hierfür bestimmte Dateien modifizieren. Bei Angriffen von innen hingegen werden Dateien oftmals einfach verändert oder gelöscht. Die neue GFI-Freeware GFI LANguard System Integrity Monitor (S.I.M.) hilft jedoch, sich gegen diese Bedrohung abzusichern, denn der S.I.M. läuft als Dienst und hat die Aufgabe, wichtige Systemdateien zu überwachen. Findet ein Zugriff auf diese Dateien statt, wird sofort eine Warnmeldung an den Administrator gesendet. Funktionsweise des GFI LANguard
S.I.M. Der GFI LANguard S.I.M. überwacht wichtige Systemdateien, indem er für sie zuerst eine Prüfsumme erstellt, die in der Datenbank des S.I.M. gespeichert wird. Dafür wird der bewährte Hash-Algorithmus MD5 eingesetzt, entwickelt von Ronald Rivest, einem der renommiertesten Kryptographen weltweit. An zuvor festgelegten Zeitpunkten wird eine neue Prüfsumme erstellt und mit der in der Datenbank gespeicherten Summe verglichen. Werden hierbei Abweichungen festgestellt, bedeutet dies, dass die Datei geändert und daher vermutlich böswillig manipuliert wurde. Der Netzwerk-Administrator wird über dieses Ereignis unverzüglich per E-Mail informiert. Vorteil dieser Methode ist, dass Systemdateien nicht von Trojanern oder Viren infiziert werden können, ohne dass der Administrator sofort davon erfährt – selbst wenn der Angriff durch neue Malware erfolgt, die von gängigen Anti-Virus-Lösungen noch nicht erkannt wird. Da Administratoren über im gesamten LAN infizierte/modifizierte Dateien informiert werden, können sie sofort Gegenmaßnahmen einleiten. Das System lässt sich gründlich von Trojanern und Viren reinigen, ohne dabei Gefahr zu laufen, dass es aufgrund übersehener Dateien erneut infiziert wird. Die Abfolge der Ereignisse wird zudem im Ereignisprotokoll
des GFI LANguard S.I.M. gespeichert, das über die
Ereignisanzeige von Windows dargestellt werden kann. Dies hat folgende Vorteile:
·
Das System kann
relativ einfach in den Ausgangszustand zurückversetzt werden (da dem
Administrator die betroffenen Daten bekannt sind).
·
Der Administrator
kann stichhaltige Beweise gegen den Angreifer sammeln (dies ist von Vorteil,
wenn es sich um einen internen Täter handelt).
·
Administratoren
können sich ein genaueres Bild davon machen, welche Absichten externe Hacker
tatsächlich verfolgen. "Für Administratoren ist es unerlässlich, dass sie über gelöschte oder geänderte Systemdateien stets auf dem Laufenden sind leider ist der Informationsfluss gerade bei solchen wichtigen Ereignissen bislang sehr zäh gewesen. Mit dem GFI LANguard S.I.M. ändert sich dies, denn nun steht Administratoren ein einfaches, aber sehr effektives Tool zur Verfügung, das sie bei Änderungen wichtiger Systemdateien sofort informiert", so André Muscat, Produkt-Manager für GFI LANguard S.I.M. Integration mit GFI LANguard
S.E.L.M. GFI LANguard S.I.M. ist eng mit GFI LANguard Security Event Log Monitor (S.E.L.M.) integriert, dem Host-basierten IDS von GFI, mit dem Windows-basierte Netzwerke in Echtzeit auf Sicherheitsverletzungen überwacht werden können. Der GFI LANguard S.E.L.M. scannt kontinuierlich die Ereignisanzeigen sämtlicher mit Windows NT/2000/XP betriebenen Rechner in einem Netzwerk. Wird ein ungewöhnliches Ereignis wie ein unautorisierter Zugriff auf eine zugangsbeschränkte Datei festgestellt, verschickt der S.E.L.M. eine Warnmeldung in Echtzeit an den zuständigen Systemadministrator. Dadurch ist es möglich, auf potenzielle Angriffe und Eindringversuche unmittelbar reagieren zu können um diese abzuwehren. Wird der GFI LANguard S.E.L.M. zusammen mit dem Arbeitsstation-basierten GFI LANguard S.I.M. eingesetzt, profitieren Anwender vor allem von umfangreichen Konsolidierungs- und Berichtsfunktionen. Da ein großer Anteil der böswilligen Angriffe von Insidern stammt, helfen dem S.E.L.M. die vom S.I.M. bereit gestellten Daten beim Zuordnen und Erkennen eines verdächtigen Anwenderverhaltens, bei fehl geschlagenen Login-Versuchen sowie bei Versuchen unautorisiert auf Objekte zuzugreifen oder diese zu löschen. Die Überwachung von Ereignissen dieser Art hilft potenzielle interne Schwachstellen zu erkennen, bevor sie ernsthafte Schäden verursachen. Weitere Funktionen des GFI LANguard
S.I.M. Folgende Features stehen mit dem GFI LANguard
S.I.M. zur Verfügung:
·
Mehrfache Scan-Aufträge, mit denen Administratoren verschiedene
Dateitypen in unterschiedlichen Zeitabständen überwachen können.
·
Bei mehreren Scan-Aufträgen können E-Mail-Warnmeldungen an unterschiedliche
Empfänger geschickt werden.
·
Web-Seiten werden auf
Änderungen überprüft und unerlaubte Manipulationen sofort entdeckt.
·
Eingriffsicher
Dateiänderungen werden in der Windows-Ereignisanzeige protokolliert. Weitere Informationen unter: http://www.gfisoftware.de/news/. (ma) GFI
Software Tel. (0700)
306810-00, Fax: +49 (0700) 306810-10 E-Mail: nmakris@gfisoftware.de Web: www.gfisoftware.de |
