tom's networking guide
 
Anzeige

Test Stonesoft IPS 1030

Test Stonesoft Intrusion Prevention System

Schutz für's Netz bei vollem Durchblick

Konfiguration im laufenden Betrieb

Nachdem wir ? wie eben beschrieben ? mit Hilfe des Management Centers eine erste Konfiguration erstellt und die IPS-Appliance mit eingestecktem USB-Stick hochgefahren hatten, meldete sich das Produkt wie erwartet beim Management-Server an und wir konnten uns daran machen, die Konfiguration des IPS vorzunehmen. Es ergibt an dieser Stelle keinen Sinn, im Detail auf den gesamten Funktionsumfang des Management Centers einzugehen, da dieses Tool extrem mächtig ist und dieses Vorgehen demzufolge den Rahmen des Beitrags sprengen würde. Viele Funktionen ? wie etwa die Administrationsmöglichkeiten für die Firewall ? sind für unsere Analyse auch unerheblich. Deswegen werden wir uns darauf beschränken, uns mit den Features auseinanderzusetzen, die für die Arbeit mit dem IPS zentrale Bedeutung haben.

Um die Intrusion-Protection-Lösung praktisch nutzen zu können, ist es zunächst einmal sinnvoll, sich beim Management Center einzuloggen und mit seiner Hilfe automatische Backups der aktuellen Konfiguration einzurichten. Das geht über den Konfigurationsdialog unter "File / System Tools / Backup". Hier bietet das Verwaltungswerkzeug alle zum Sichern der Konfiguration erforderlichen Funktionen an. Nach dem Anlegen des Backup-Jobs lässt dieser sich dann einfach mit einem Task-Manager verknüpfen, der ihn regelmäßig im Hintergrund ausführt. Im Test ergaben sich dabei keine Schwierigkeiten.

Im nächsten Schritt sollten sich die Administratoren mit der Log-Konfiguration befassen. In diesem Zusammenhang legen sie Regeln fest, die bestimmen, welche Daten aus den Log-Dateien auszufiltern sind, damit diese nicht überlaufen. Es ist ja bei weitem nicht alles, was das IPS an den Log-Server überträgt, für spätere Analysen relevant. Über "Configuration / Log Data Pruning" stehen den IT-Verantwortlichen die zum automatischen Pflegen der Logs erforderlichen Werkzeuge zur Verfügung. Sobald die Log-Konfiguration abgeschlossen wurde, ergibt es Sinn, unter "File / System Tools / Configure Updates and Upgrades" automatische Updates zu aktivieren. Damit lassen sich sowohl Aktualisierungen der im IPS verwendeten Erkennungsmuster als auch der IPS-Engine durchführen.

Die Übersichten der Stonesoft IPS verschaffen den Mitarbeitern mit Hilfe grafischer Darstellungen einen Überblick über den Status des Netzwerks. (©Smartmedia PresSservice)

Zum Abschluss der Konfiguration geht es an die Definition der Benachrichtigungen, die das IPS im Bedarfsfall an die IT-Mitarbeiter schickt. Die dazugehörigen Features finden sich unter "Configuration / Configuration / Administration / Alert Configuration". Hier geben die zuständigen Mitarbeiter den Alarmmeldungen einen Namen und definieren anschließend über die Regeldefinition, welche Policy-Verletzung den jeweiligen Alert auslösen soll. In Verbindung mit frei definierbaren Empfängeradressen für die Alarmmeldungen lässt sich das System dann so konfigurieren, dass die Alerts immer nur an die Administratoren gehen, die für bestimmte Angriffsmuster oder Netzwerksegmente zuständig sind. Das hilft sehr dabei dafür zu sorgen, dass sämtliche Meldungen stets bei den richtigen Personen landen. Die Alarmmeldungen lassen sich sogar automatisch eskalieren. So kann im ersten Schritt nach einer Regelverletzung eine Mail an den zuständigen Administrator gehen. Bestätigt dieser die Meldung nicht innerhalb einer halben Stunde, so sendet das System dem gleichen Administrator bei entsprechender Konfiguration zusätzlich eine SMS. Bestätigt dieser die Meldung nach einer weiteren halben Stunde immer noch nicht, so sendet das IPS einen SMNP-Trap an die zentrale Verwaltungskonsole. Diese Art der Alertkonfiguration ist sehr mächtig und flexibel und sorgt so dafür, dass die IT-Mitarbeiter immer über alles schnell im Bilde sind.

Damit wurde das IPS fertig eingerichtet und es kann jetzt daran gehen, die überwachten Datenströme mit Hilfe des System Monitorings zu analysieren und die IPS-Policy mit den dabei gewonnenen Erkenntnissen genau an die Anforderungen des Unternehmensnetzes anzupassen. Hierbei ergibt es Sinn, sie zunächst einmal in einem Modus zu aktivieren, in dem sie sämtliche Vorkommnisse nur protokollieren. Wenn dann absehbar ist, dass die Regeln richtig zu den lokalen Gegebenheiten passen, können die Administratoren daran gehen, automatische Schutzmaßnahmen wie das Blocken von Verbindungen zu aktivieren, ohne dabei Gefahr zu laufen, die Verfügbarkeit der im Netzwerk benötigten Dienste zu unterbrechen. Die Regeldefinition selbst läuft ? wie bei solchen Systemen üblich ? über das zu verwendende Angriffsmuster, das Interface, Quelle, Ziel, Aktion (Permit, Terminate, Continue) und ähnliches ab. Bei der Arbeit mit dem Management Center haben die Benutzer jederzeit die Option, sich zu allen Regeln Details anzeigen zu lassen, so dass niemand beim Einsatz der Lösung im Dunkeln bleibt.

Der Prozess der Policy-Erstellung ist ? je nach der Komplexität des Netzes - durchaus langwierig und besteht aus dem sich mehrfach wiederholenden Schritt, die Policy anzupassen, zu sehen wie sie sich in der Praxis verhält, sie nochmals anzupassen, ihre Funktionsweise erneut zu analysieren und so weiter. Oft wird es auch nötig sein, die Alerts mit den aktualisierten Policy-Definitionen abzustimmen. Deswegen ist auch das automatische Backup der Systemkonfiguration so wichtig, da es extrem ärgerlich wäre, wenn eine IPS-Policy, deren Konfiguration Tage oder sogar Wochen gedauert hat, wegen eines Systemfehlers verloren ginge. In unserem Testnetz definierten wir eine Policy, die diverse Angriffsmuster erkannte sowie protokollierte und gleichzeitig Peer-to-Peer-Verkehr unterband. Dabei traten keine Probleme auf und das System verhielt sich wie erwartet.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Gateprotect xUTM-Appliance V8
IT-Abteilungen wachsen selten im Gleichschritt mit den Aufgaben, die sie erfüllen sollen. Umso wichtiger ist es, dass Sicherheits-Lösungen auch ohne spezielle Einarbeitung einfach und schnell zu konfigurieren sind. [mehr]
Test Sonicwall TZ 190 Enhanced
Viel mehr als nur ein Netzwerkrouter mit UMTS-Failover weist das Produkt einen verwaltbaren Switch mit acht Ports, Firewall-Funktionalitäten und weitere Sicherheitsfunktionen auf. Das Testlabor des IAIT hat sämtliche Funktionen unter die Lupe genommen. [mehr]
Test SurfControl Web Filter Appliance
Die neue Web Filter Appliance von SurfControl soll Administratoren kleiner, mittlerer und großer Unternehmen in die Lage versetzen, die Sicherheit ihrer IT-Infrastrukturen auf einfache Art und Weise zu erhöhen. IAIT hat das Produkt im Testlabor genau unte [mehr]
Remotedesktop mit Windows XP
Mit der Remotedesktop-Funktion in Windows XP Professional wird der PC von einem Client-Computer über eine Netzwerkverbindung ferngesteuert. Die Einrichtung ist einfach, erfordert aber Sicherheitsvorkehrungen. Unser Workshop zeigt, was zu tun ist. [mehr]
Innominate mGuard und Watchguard Firebox X Edge
Im zweiten Teil vergleichen wir Security-Appliances für Arbeitsgruppen und kleinere Unternehmen. Im Testlabor konnten sie zeigen, wie gut Internet-Zugänge schützen VPN-Verbindungen aufbauen können. [mehr]
Innominate mGuard
Knallrot, mausgroß wie eine Computermaus und keine Form zu pressen ? das kann kein richtiges Sicherheits-Appliance sein! Wir haben uns das Gerät angeschaut und bemerkenswertes festgestellt. [mehr]
Firewalls für kleine Netze
Selbst Arbeitsgruppen und kleinere Unternehmen brauchen Firewalls ? sei es für den geschützten Internet-Zugang oder für die VPN-Anbindung von Partnern oder Filialen. Wie viel Sicherheit die Produkte von Telco Tech und D-Link bieten, zeigt unser Test. [mehr]
Anti-Spyware
Neben Viren und Spam quälen Ad- und Spy-Ware die Internet-Benutzer. Diese Werbe- und Ausspähprogramme befallen PCs oft im Huckepack mit beliebter Shareware. Wir haben die Wirksamkeit von vier Anti-Spyware-Tools untersucht. [mehr]
Personal Firewalls unter Windows XP
Schutz vor Viren und Würmern ist heutzutage wichtiger denn je. Das Service Pack 2 für Windows XP verbessert dafür die Systemsicherheit. Doch kann sich die neue Microsoft-Firewall gegen Produkte von der Konkurrenz durchsetzen? [mehr]
Client-basierte Spam-Filter
Unerwünschte Emails mit dubiosen Versprechungen stören im Arbeitsalltag. Besonders für kleinere Büros eignen sich dafür Client-basierte Spam-Filter. Wir haben vier dieser Lösungen unter die Lupe genommen. [mehr]
Anzeige