Netzwerkverkehr in Echtzeit analysieren, um Attacken oder gefährliche Inhalte zu blocken

Firewalls alleine reichen nicht, um ein Netzwerk abzusichern

(02.09.05) - Der jüngste Windows-Schädling hatte Mitte August für erhebliche Aufregung gesorgt. Schlagzeilen brachten Tatsache, dass selbst IT-Systeme von Großkonzernen wie Kraft Foods, UPS und Disney befallen waren.

Glück im Unglück hatten die Unternehmen, die nach entsprechenden Warnmeldungen rechtzeitig Updates ihrer Virenscanner vorgenommen haben. Allerdings bieten solche Werkzeuge keinen ständigen Schutz vor Viren- oder Wurm-Infektionen und sind nicht auf allen Endsystemen installier-bar. Gleichzeitig nimmt die Bedrohung durch solche IT-Schädlinge beständig zu: In der zweiten Hälfte 2004 wurden laut Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weltweit 7.360 neue Computerviren und - würmer registriert, 64 Prozent mehr als im ersten Halbjahr. Neben einer raschen Reaktion auf Sicherheitsvorfälle und einem nachhaltigen Schutz misst das BSI der Prävention eine hohe Priorität zu. Obwohl Unternehmen und öffentliche Verwaltung zunehmend auf eine funktionierende Informationstechnologie angewiesen seien, räumen nur wenige der IT-Sicherheit den erforderlichen Stellenwert ein.

Firewalls alleine reichen nicht mehr aus, um ein Netzwerk auf der sicheren Seite zu wissen, da einige Türen im System offen bleiben müssen, um alltägliche Geschäftsprozesse ablaufen zu lassen (Internet, E-Mail-Verkehr etc.).

Wirksamen Schutz können IDS/IPS-Systeme wie "Enterasys Dragon Intrusion Defense" in Verbindung mit dem "Dynamic Intrusion Response"- (DIRS-)Verfahren von Enterasys bieten, die ein Bestandteil der Secure Networks-Architektur sind.

Das Dragon-System beobachtet den Netzwerkverkehr in Echtzeit, um Attacken oder gefährliche Inhalte zu analysieren. Dragon Sensor analysiert den Netzwerk-Verkehr auf Protokoll- und Anwendungs-Ebene. Dragon verfügt über eine wissensbasierte Datenbank, in der alle bekannten Signaturen von Angriffen und Hacker-Techniken gespeichert sind. Im Gegensatz zu anderen Systemen arbeitet Dragon nicht nur signaturbasiert, sondern sucht auch nach Auffälligkeiten im Datenverkehr und Abweichungen von definierten Netzwerk-Policies - "Protocol und Anomalie Detection". Dies ermöglicht es, Angriffe aus dem Internet oder anderen IP-Netzwerken sofort zu erkennen, ggf. abzubrechen und nachhaltig zu verhindern bzw. die jeweiligen Benutzer direkt am Access-Port in Quarantäne zu setzen (via DIRS). (Enterasys: ma)