Rubrik: Produkte/Intrusion Detection

IDS-System "SynSpector" schützt vor Angriffen aus dem Netz

Auf Snort-Basis Schutz vor Missbrauch und Angriffe im Netzwerk

(04.01.05) - Das Intrusion Detection-System (IDS) "SynSpector" der Synergetic AG (Vertrieb: PSP) ist eine Security-Management-Lösung, die permanent den Netzwerk-Traffic auf verdächtige Inhalte und Angriffe überprüft. Aufbauend auf einem 1 HE-"IBM-BTO eServer2 und bewährter Snort-Basis erkennt der SynSpector Missbrauch und Angriffe im Netzwerk. Es überwacht alle wichtigen Serverdienste und löst bei Angriffen sofort Alarm aus. Das IDS dient auch zur Intrusion Prevention, da bei Angriffen sofort Gegenmaßnahmen auf unterstützten Routern und Firewalls eingeleitet werden können, um das Eingreifen eines Angreifers zu verhindern. Neben dem Management-System, das für 4.490 Euro zu haben ist, sind zusätzliche Sensoren für große Netzwerke zum Preis von 3.950 Euro erhältlich. Dabei sind das Pattern-Update und die Serviceleistungen für 12 Monate jeweils im Preis mit inbegriffen. Nach Ablauf dieser Servicezeit kann eine Firmenlizenz für weitere Updates zum Preis von 1.490 Euro erworben werden, das heißt die Folgekosten sind gering, da die Anzahl verwendeter Appliances für die Lizenzierung im Folgejahr egal ist.

SynSpector ist ein komplettes Security-Management-System, das Platz sparend in einem 1 HE großen IBM-BTO eServer untergebracht ist. Ein Intel Pentium 4-Prozessor mit 3,0-GHz-Taktfre-quenz und 1 GB RAM garantiert höchste Performance. Ausgestattet ist das System mit drei Netzwerkkarten (2x Gigabit-Ethernet-integriert als Sensor und Scan Interface sowie einer 100 MBit Management-Netzwerkkarte), einer 80-GB-Festplatte sowie einem CD-ROM- und Disketten-laufwerk. Eine grafische Weboberfläche ermöglicht eine einfache, intuitive und komfortable Installation und Administration des Systems.

Das SynSpector-System setzt sich aus mehreren Komponenten zusammen, die der Daten-sammlung, der Überprüfung auf mögliche Angriffe und der visuellen Darstellung sämtlicher Daten dienen. Mit diesen Modulen sind zwei Konzepte vereint: signaturbasierte Einbruchserkennung und die Erkennung von Anomalien des Netzwerkverkehrs. So werden beispielsweise starke Schwankungen des Mail- oder Netzwerkverkehrs erkannt. SynSpector kann Ereignisse nach Prioritäten einordnen und so je nach Priorität abgestufte Reaktionen einleiten. Das System schließt die Lücke in der Netzwerk-Überwachung, die von Firewall, Antivirensoftware und VPN nicht abgedeckt werden kann.

Der SynSpector kann als Management-System oder als Sensor-Appliance erworben werden. Das Manage-ment-System arbeitet ebenfalls als Sensor und dient darüber hinaus zur Verwaltung der eingesetzten Sensoren. Die Sensoren können vor oder hinter der Firewall platziert werden. Vor der Firewall dienen sie zum Schutz vor Angriffen aus dem Internet, hinter der Firewall wirken sie nicht nur zur Einbruchserkennung, sondern auch zur Prüfung der Firewall-Funktion. Ein wichtiges Einsatzgebiet des SynSpectors ist auch die Überprüfung und Überwachung des internen Netzwerkverkehrs. Er bietet außerdem viele Analysefunk-tionen, um Ungereimtheiten im Netzwerk auf die Schliche zu kommen.

Das System basiert auf der Open-Source Software Snort, die den Inhalt von Datenpaketen analysiert. Die darin enthaltene Scan Engine arbeitet mit optimierten Regeln, um verdächtige Pakete aufzuspüren. Darüber hinaus stellen die Spezialisten der Synergetic AG eigene Regeln für ihre Kunden zur Verfügung. Über ein komfortables Regelmanagement können auch einzelne Sensoren über das Management-System mit unterschiedlichen, für das jeweilige Netzwerksegment notwendigen Regeln eingerichtet werden. Das SynSpector-System ist an das Frühwarnsystem Internet Storm Center (ISC) angebunden. Dadurch können die Top-100-Angreifer automatisch aus dem Netzwerk ausgeschlossen werden.

Über den Distributionspartner PSP bietet Synergetic ein günstiges Lizenzierungsmodell für das IDS-System an: Für das Software- und Pattern-Update nach zwölf Monaten muss nur eine Firmenlizenz erworben werden, egal wie viele Appliances das Unternehmen einsetzt. (PSP: ma)