tom's networking guide
 
Anzeige

Test Stonesoft IPS 1030

Test Stonesoft Intrusion Prevention System

Schutz für's Netz bei vollem Durchblick

Das IPS im laufenden Betrieb

Um die Leistungsfähigkeit des IPS im laufenden Betrieb zu untersuchen, verbanden wir uns über unser Management Center mit dem bereits angesprochenen Honeypot von Stonesoft, da wir dort mit einer viel größeren Zahl von Angriffseinträgen und Aktivitäten arbeiten konnten, als in unserem lokalen Testnetzwerk.

Damit ein IPS seine Schutzfunktion wirklich erfüllen kann, sind diverse Grundvoraussetzungen zu erfüllen. Zunächst einmal muss sichergestellt sein, dass das System laufende Angriffe auch wirklich erkennt. Das wird in der Regel durch Mustererkennung und häufige Pattern-Updates realisiert, was bei den Produkten der führenden Hersteller in durchaus vergleichbarem Umfang funktioniert. Zweitens ist es wichtig, dass die erkannten Unregelmäßigkeiten schnell die Aufmerksamkeit der verantwortlichen Administratoren erreichen. Hierzu muss das IPS einerseits mit leistungsfähigen Alertfunktionen ausgestattet sein, diesen Punkt sprachen wir bereits an, andererseits muss es aber auch mit einem Monitoring Tool arbeiten, dass die zuständigen Mitarbeiter direkt auf die Punkte aufmerksam macht, die von zentraler Bedeutung sind. Stonesoft realisiert letzteres über mehrere Bedrohungsgrade, die die IT-Verantwortlichen den einzelnen Angriffsmustern bei der Regeldefinition mitgeben. Da die Einträge für die meisten relevanten Angriffe bereits vom Hersteller des IPS vordefiniert wurden, sind diese "Severity Settings" zu Beginn der Arbeit mit dem System schon vorhanden, lassen sich aber bei Bedarf im Rahmen der Policy-Definition verändern.

Generell existieren zehn verschiedene Stufen, um die Bedeutung eines erkannten Angriffs zu klassifizieren. Loggt sich ein Administrator bei dem Stonegate Management Center ein, so landet er in einer Übersicht, die ihn direkt auf die gerade aktiven Meldungen aufmerksam macht. Er findet folglich eine Liste vor, die im zeigt, wie viele Alerts es mit den Schweregraden eins bis sechs, sieben und acht beziehungsweise neun und zehn gab. Klickt der Administrator auf den jeweiligen Eintrag, so öffnet sich eine tabellarische Auflistung der dazugehörigen Events. Klickt er nun auf das einzelne Ereignis, so erhält er sämtliche Detailinformationen, die das System zu dem Event gespeichert hat. Somit braucht ein Administrator nach dem Login nur zwei Klicks, um die Details des wichtigsten gerade laufenden Angriffs einzusehen. Schneller geht es kaum, folglich hinterließ dieser Punkt bei uns im Test einen sehr positiven Eindruck.

Das ist aber noch nicht alles: Die so genannte Log-Übersicht bietet den IT-Verantwortlichen eine Übersicht über alle vom System erfassten Ereignisse mit Informationen wie Zeitpunkt und Ursache des Loggings, Quell- und Zieladresse (IP- und MAC-Adressen), vorgenommener Aktion (Terminate, Permit, etc.), Scan-IP-Target, Dienst, Protokoll sowie der Nummer der Regel, die die Meldung ausgelöst hat. Durch einen Doppelklick auf einen Eintrag landet der Verantwortliche in der bereits angesprochenen Detailübersicht, die Quell- und Zielrechner (auch mit aufgelösten Namen), die vom IPS durchgeführte Aktion, eine Zusammenfassung mit kurzer Erklärung und einen HEX-Auszug der übertragenen Daten enthält. Bei der Zusammenfassung findet sich auch ein Verweis auf die zum Eintrag gehörigen CVE-Definition (Common Vulnerabilities and Exposures), falls der Administrator noch weitere Informationen einholen will.

Die Reports der Stonesoft IPS lassen sich unter anderem dafür nutzen, die IT-Mitarbeiter von Kundenunternehmen über sämtliche Geschehnisse auf dem Laufenden zu halten. (©Smartmedia PresService)

Kehren wir zurück zur Übersicht mit dem Log-Einträgen. Möchte ein IT-Mitarbeiter wissen, wie welche Vorkommnisse zusammenhängen, kann er umfassende Filterregeln nutzen, um verknüpfte Einträge sichtbar zu machen. So ist es ihm Beispielsweise möglich, die Quell-IP-Adresse eines Angriffs mit der Maus in das Filterfenster zu ziehen und so einen Filter zu generieren, der nur Einträge in der Liste übrig lässt, bei denen Angriffe von der genannten Adresse kamen. Möchte er zusätzlich nur Angriffe sehen, die über einen bestimmten Dienst ? wie beispielsweise Telnet ? abgelaufen sind, so zieht er den Telnet-Eintrag ebenfalls in das Filterfenster. Es ist folglich sehr einfach, mit dem Management Center auch komplexe Abfragen einzurichten und so schnell an die Informationen zu kommen, die einen gerade interessieren.

Unter der Log-Liste befindet sich eine Zeitleiste, auf der die Verwaltungssoftware die Zahl der zum jeweiligen Zeitraum vorgenommenen Einträge visualisiert. Möchte sich ein Administrator über bestimmte Zeitintervalle daraus im Detail informieren (beispielsweise weil dort besonders viele Einträge entstanden sind), so kann er die betroffene Stelle mit der Maus markieren und das Managementtool erzeugt dann eine Liste mit den dazugehörigen Daten. Alternativ ist es auch möglich, die Ausgabe durch "klassische" Filter mit Angabe von Datum und Uhrzeit zu steuern.

Blinkt unten am rechten Fensterrand ein Alarm-Icon, so sieht der zuständige Mitarbeiter auf einen Blick, dass gerade ein Alarm entdeckt wurde, den noch niemand bestätigt hat. Klickt er auf dieses Icon, so öffnet sich der Alarm-Browser, der nur unbestätigte Alarmmeldungen beliebigen Schweregrads enthält, damit der IT-Spezialist schnellen Zugriff auf die neuen Informationen erhält und so die Chance hat, zeitnah zu reagieren. Die Lösung eignet sich also in gewisser Weise auch zur Echtzeitüberwachung.

Die Audit-Übersicht der Stonesoft IPS zeigt, wer wann welche Änderungen im System vorgenommen hat. (©Smartmedia PresSservice)

Zusätzlich zur Log-Ansicht mit ihren leistungsfähigen Filterregeln und Detailinformationen bietet das System noch so genannte Übersichten an. Diese umfassen grafische Darstellungen mit Quell- und Ziel-IP-Adressen, angegriffenen Ports und so weiter. Die Übersichten lassen sich entsprechend der Anforderungen der Benutzer frei gestalten. Detailliertere Informationen erhalten die Anwender, wenn sie auf Einträge in den Grafiken doppelklicken. So führt ein Doppelklick auf die am meisten vorkommende Angreifer IP-Adresse zum Beispiel auf einer Statistikseite, die die fünf wichtigsten Angreiferadressen und die Zahl der Angriffe nennt.

Ebenfalls von Interesse sind die Reporting-Funktionen des Stonesoft IPS. Der Hersteller hat bereits eine große Zahl an Reports vordefiniert, es stellt aber auch kein Problem dar, eigene zu anzulegen. Die Reports führen Datenbank-Abfragen durch und fassen die Ergebnisse zusammen. Mit ihnen ist es beispielsweise möglich, Zusammenfassungen über die Einträge im IPS-Inspection-Log zu erzeugen, Auflistungen der täglichen Portscan-Vorgänge zu generieren, eine Liste der Top-Talker auszugeben und die aktuellen Alerts in Reportform zusammenzufassen. Die Reports stehen über das Management Center zur Einsicht zur Verfügung, lassen sich aber auch als CSV- beziehungsweise PDF-Dateien oder ähnliches versenden. Außerdem haben die Administratoren die Möglichkeit, Reports automatisch in bestimmten Intervallen (täglich, wöchentlich, etc.) erzeugen zu lassen und ? ebenfalls automatisch ? zu verschicken. Das ergibt beispielsweise bei Providern Sinn, die den IT-Verantwortlichen ihrer Kunden einmal in der Woche einen personalisierten Report zur Verfügung stellen müssen.

Last but not least ist auch noch die Auditing-Funktion der Software von Interesse. Sie listet sämtliche Maßnahmen auf, die die Administratoren getroffen haben und sorgt so dafür, dass immer sofort klar wird, wer wann welche Änderung am System vorgenommen hat. Damit stellt Stonesoft sicher, dass niemand unbeobachtet an dem Security-Werkzeug herummanipulieren kann.

Weitere Informationen

Angesehen von den genannten Punkten verfügt das Stonesoft-Produkt noch über eine andere Stärke. Die Lösung sichert das Netzwerk nämlich nicht nur mit Hilfe von Pattern ab, sondern schützt die Systeme auch gezielt vor bekannten Schwachstellen. Ein gutes Beispiel dafür ist der Conficker-Wurm. Dieser Wurm benutzte Schwachstellen des Windows-Betriebssystems, die bereits seit Jahren bekannt waren. Da das Stonesoft-IPS dazu in der Lage war, Angriffe auf diese Schwachstellen im Auge zu behalten und abzublocken, war es auch dazu fähig, Conficker in Schach zu halten. Da alle Conficker-Varianten versuchten, die gleiche Schwachstelle auszunutzen, war das IPS auch nicht auf schnelle Pattern-Updates angewiesen, um verschiedene Conficker-Versionen zu identifizieren, sondern konnte sämtliche Angriffe von vornherein unterbinden.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Gateprotect xUTM-Appliance V8
IT-Abteilungen wachsen selten im Gleichschritt mit den Aufgaben, die sie erfüllen sollen. Umso wichtiger ist es, dass Sicherheits-Lösungen auch ohne spezielle Einarbeitung einfach und schnell zu konfigurieren sind. [mehr]
Test Sonicwall TZ 190 Enhanced
Viel mehr als nur ein Netzwerkrouter mit UMTS-Failover weist das Produkt einen verwaltbaren Switch mit acht Ports, Firewall-Funktionalitäten und weitere Sicherheitsfunktionen auf. Das Testlabor des IAIT hat sämtliche Funktionen unter die Lupe genommen. [mehr]
Test SurfControl Web Filter Appliance
Die neue Web Filter Appliance von SurfControl soll Administratoren kleiner, mittlerer und großer Unternehmen in die Lage versetzen, die Sicherheit ihrer IT-Infrastrukturen auf einfache Art und Weise zu erhöhen. IAIT hat das Produkt im Testlabor genau unte [mehr]
Remotedesktop mit Windows XP
Mit der Remotedesktop-Funktion in Windows XP Professional wird der PC von einem Client-Computer über eine Netzwerkverbindung ferngesteuert. Die Einrichtung ist einfach, erfordert aber Sicherheitsvorkehrungen. Unser Workshop zeigt, was zu tun ist. [mehr]
Innominate mGuard und Watchguard Firebox X Edge
Im zweiten Teil vergleichen wir Security-Appliances für Arbeitsgruppen und kleinere Unternehmen. Im Testlabor konnten sie zeigen, wie gut Internet-Zugänge schützen VPN-Verbindungen aufbauen können. [mehr]
Innominate mGuard
Knallrot, mausgroß wie eine Computermaus und keine Form zu pressen ? das kann kein richtiges Sicherheits-Appliance sein! Wir haben uns das Gerät angeschaut und bemerkenswertes festgestellt. [mehr]
Firewalls für kleine Netze
Selbst Arbeitsgruppen und kleinere Unternehmen brauchen Firewalls ? sei es für den geschützten Internet-Zugang oder für die VPN-Anbindung von Partnern oder Filialen. Wie viel Sicherheit die Produkte von Telco Tech und D-Link bieten, zeigt unser Test. [mehr]
Anti-Spyware
Neben Viren und Spam quälen Ad- und Spy-Ware die Internet-Benutzer. Diese Werbe- und Ausspähprogramme befallen PCs oft im Huckepack mit beliebter Shareware. Wir haben die Wirksamkeit von vier Anti-Spyware-Tools untersucht. [mehr]
Personal Firewalls unter Windows XP
Schutz vor Viren und Würmern ist heutzutage wichtiger denn je. Das Service Pack 2 für Windows XP verbessert dafür die Systemsicherheit. Doch kann sich die neue Microsoft-Firewall gegen Produkte von der Konkurrenz durchsetzen? [mehr]
Client-basierte Spam-Filter
Unerwünschte Emails mit dubiosen Versprechungen stören im Arbeitsalltag. Besonders für kleinere Büros eignen sich dafür Client-basierte Spam-Filter. Wir haben vier dieser Lösungen unter die Lupe genommen. [mehr]
Anzeige