schwerpunkt - Midrange Magazin

Weitere Magazine

Empfehlungen

Info

48 MARKTüBERSICHT SECuRITy APPLIANCE werden heute in der Regel nicht mehr großflächig eingesetzt. Unter Intrusion Prevention hingegen versteht man das aktive Blockieren eines Angriffs und zwar ehe er sein Ziel erreicht. Hierbei unterscheidet man zwischen aktiven und passiven Angriffen. Ein aktiver Angriff besteht häufig aus dem Ausnutzen einer Schwachstelle, um Zugriff auf Systeme zu bekommen oder die Verfügbarkeit des Systems zu kompromittieren. Passive Angriffe haben in erster Linie die Aufgabe den Datenverkehr zu überwachen, um sensitive Informationen zu erlangen. In beiden Fällen handelt es sich um eine Intrusion – egal ob nur die Verfügbarkeit von Systemen beeinträchtigt wird oder Daten und Informationen ausgespäht werden. Intrusion Prevention-Systeme (IPS) sind meist eine Kombination aus sogenannten Netzwerksensoren und einem Managementsystem. Die Sensoren werden hierbei an neuralgischen Punkten im Netzwerk integriert. Diese Punkte sind von Unternehmen zu Unternehmen unterschiedlich. Viele Organisationen implementieren ein Intrusion Prevention-System hinter den VPN-Zugängen (Virtual Private Network) oder an Verbindungen zu anderen Standorten. VPN-Zugänge bilden hierbei häufig den Einfallspunkt für Angriffe, da die verbundenen Systeme oftmals ohne größere Schutzmechanismen mit dem Internet verbunden sind, aber eine vertrauenswürdige Kommunikation in das interne Netzwerk haben. Oft werden MIDRANGE MAgAZIN · 06/2012 Intrusion Prevention-Systeme auch eingesetzt, um Verbindungen zu Zulieferern zu sichern oder Netzwerksegmente voneinander zu trennen. Viele IPS bieten im Netzwerk zusätzlich zur reinen Angriffserkennung auch Firewall- Funktionalitäten für die Kontrolle der erlaubten Kommunikation. Um den größtmöglichen Schutz zu ermöglichen, müssen IPS „inline“ betrieben werden. Nur in dieser Betriebsart – bei der die Sensoren aktiv in einen Netzwerk-Link eingeschleift Eine Appliance-basierte Intrusion-Prevention-Lösung spielt ihre Vorteile im täglichen Betrieb aus. Quelle: McAfee werden – ist ein aktives Blocken von Angriffen möglich. Die Hersteller von Intrusion Prevention-Systemen bieten hierzu in der Regel verschiedene Möglichkeiten der Implementierung. Beim sogenannten „Inline Fail Close“-Betrieb wird die Netzwerkkommunikation unterbrochen, sollte es zu einem Totalausfall des Sensors kommen. Im häufiger genutzten „Inline Fail Open“-Modus werden in der Regel Bypass Units verwendet, die den Netzwerklink aufrecht erhalten, sollte es zu einem Ausfall des Sensors kommen. Vorteile einer Appliance-Lösung für die Intrusion Prevention Das ideale Netzwerk-IPS ist eine Appliance, die ohne hohen administrativen Aufwand Angriffe gegen das eigene Netzwerk aufzeigt, sie aktiv blockt und keinen Einfluss auf die Performance des Netzwerks hat. Zusätzlich sollten derartige Systeme nicht nur die Sicherheit im Netzwerk allgemein erhöhen, sondern auch Attacken aufzeigen beziehungsweise stoppen, nicht erwünschten Netzwerkverkehr unterbinden und das Netzwerk vor Zero Day Exploits schützen. Ferner müssen die Sensoren eines IPS in der Lage sein, Denial of Service- oder Distributed Denial of Service-Angriffe zu stoppen sowie Bot-Netze und Würmer zu erkennen. Herkömmliche IPS setzen hierzu mehrere Verfahren ein. Eine Mischung aus signaturbasierender und Anomalie-basierender Erkennung sorgt für hohe Erkennungsraten. Regelmäßige Signatur-Updates sind hierbei genauso wichtig wie bei einem Virenscanner. Nur so sind die Sensoren in der Lage, auch neue Angriffe zuverlässig zu erkennen. Zusätzlich verfügen viele Produkte über die Möglichkeit, Access Control Lists zu implementieren, um Port-basierend die Netzwerkkommunikation zu unterbinden oder die IP-Kommunikation zwischen verschiedenen Netzwerkbereichen einzuschränken. Klassische IPS konnten in der Vergangenheit eine gute Absicherung gewährleisten. Für die Zukunft sind jedoch intelligentere Mechanismen nötig. Dazu hat beispielsweise Gartner Research neue Anforderungen an IPS gestellt, und diese mit dem Zusatz „Next Generation“ versehen. Anforderungen an Next Generation IPS Um den Anforderungen an die aktuellen Bedrohungen gerecht zu werden, müssen Next Generation IPS um neue Mechanismen zur Angriffserkennung und zur Reputation erweitert werden. Eine dieser Funktionen ist die Application Awareness. Die Erkennung der Anwendung erfolgt hierbei auf Anwendungsschicht und nicht basierend auf dem Port und dem genutzten Protokoll. Dadurch können Angriffe auf Anwendungen zuverlässig erkannt und blockiert werden. Die Herausforderung an die Next Generation IPS ist zudem, den administrativen Aufwand trotz zusätzli-
cher Mechanismen möglichst gering zu halten. Ein Fine Tuning des Regelwerks mit minimalem Aufwand hilft insbesondere mittelständischen Unternehmen, bei denen IPS von der Netzwerkabteilung mitbetrieben werden und keine speziellen IT-Sicherheitsfachkräfte zur Verfügung stehen. Auch sollte man die Möglichkeit haben, auftretende Ereignisse automatisch zu korrelieren und zu bewerten. Ein IPS, das pro Tag mehrere hundert Events erzeugt, ist nicht administrierbar. Insbesondere dann nicht, wenn es keine Möglichkeiten zur automatischen Priorisierung der Events gibt. Mögliche Korrelationsmöglichkeiten sind hierbei die Integration von Ergebnissen von Verwundbarkeits- Scannern oder anderen Client-Informationen. Dies soll möglichst automatisiert geschehen, so dass kein Wechsel zwischen verschiedenen Oberflächen und Administrationstools nötig ist. Korrelationsmöglichkeit als Sicherheitsfaktor Viele IPS bieten heutzutage schon die Möglichkeit, aufgetretene Ereignisse mit weiteren Informationen, zum Beispiel Ergebnissen von Verwundbarkeits-Scannern zu korrelieren. Dies ist besonders hilfreich, denn die Analyse des Netzwerkverkehrs kann umso genauer erfolgen, je mehr relevante und zusätzliche Informationen der Intrusion Prevention-Lösung zur Verfügung gestellt werden. Dies gibt dem IPS bessere Möglichkeiten, Entscheidungen über das Blockieren von Angriffen zu treffen und so im Endeffekt Fehlentscheidungen – sogenannte False- Postiv Erkennungen – extrem gering zu halten. Viele Angriffe beginnen oft mit dem Herunterladen einer absolut unverdächtigen Datei von einer maliziösen Webseite. Hierbei handelt es sich in der Regel um PDF-Dateien, Bitmaps, Microsoft Office-Dokumente oder Java Archive (JAR). Ohne Kontext sensitiver Informationen über potenzielle Bedrohungen, Systemverwundbarkeiten, Nutzerverhalten und viele andere Faktoren, haben Netzwerk Intrusion-Prevention- Systeme fast keine Möglichkeit, neue und technisch anspruchsvolle Angriffe zu erkennen. Zuverlässige und leistungsfähige Next Generation IPS sind durch hohe Erkennungsraten in der Standardkonfiguration und umfangreiche Möglichkeiten zur Angriffserkennung gekennzeichnet. Die wenigsten Kunden haben die Zeit und das Wissen, um intensive Regelwerkanpassungen zu betreiben. Daher ist es wichtig, dass die Standardkonfiguration schon die maximale Erkennung aufweist und wenig Anpassung erfordert. Zusätzlich wird eine performante Inspection Engine benötigt, die in der Lage ist, in Echtzeit den kompletten Datenverkehr zu analysieren. Auch wenn alle Signaturen in einem Regelwerk aktiviert sind. Die McAfee Network Security-Lösung erfüllt diese Anforderungen und bietet hohen Schutz bei geringem administrativen Aufwand. Die Sensoren haben nicht nur eine hohe Erkennungsrate bei bekannten und unbekannten Angriffen, sondern erfüllen auch alle Anforderungen, die an Next Generation IPS gestellt werden. Hierzu ANZEIGE gehören Application Awareness, umfangreiche Mechanismen zur erweiterten Erkennung von Botnets, erweiterte Analyse des Datenverkehrs in http- und https-Umgebungen, spezielle Mechanismen zum Schutz von Web-Servern, Connection Limiting und die Anbindung der McAfee Intrusion-Prevention- Lösung an die McAfee Global Threat Intelligence (GTI). Dies ermöglicht zum einen, externe IP-Adressen auf ihre Reputation hin zu untersuchen, und so die Kommunikation mit potenziell gefährlichen IPs zu unterbinden oder zu limitieren. Über Geo Locations kann im Intrusion-Prevention-Management- System aufgezeigt werden, mit welchen Ländern kommuniziert wird. Diese Informationen können dann zusätzlich für die Analyse des Datenverkehrs genutzt werden. Tanja Hofmann ó www.mcafee.de SuS Group GmbH · www.sus-group.de · Fon 0 26 23 – 92 64 55 - 0 06/2012 · MIDRANGE MAgAZIN Mikkelwilliam, iStockphoto.com 49
Seite 1 und 2: 305819I98E · ISSN 0946-2880 · B 3
Seite 3 und 4: Rainer Huttenloher Chefredakteur ra
Seite 5 und 6: SECURITy APPLIANCE Anbieterübersic
Seite 7 und 8: für Power-Linux stellen den Schlü
Seite 9 und 10: Hollywood in Eindhoven Film ab: it.
Seite 11 und 12: WORKSHOPS KALENDER DNUG Konferenz i
Seite 13 und 14: seines Vaters Regeln halten musste,
Seite 15 und 16: Eifert: Wir haben unser komplettes
Seite 17 und 18: (VAR). Er muss normalerweise späte
Seite 19 und 20: käufe, dazu eine große Akquisitio
Seite 21 und 22: „Man muss sich auf seinen Partner
Seite 24 und 25: 24 SCHWERPUNKT OBERFLäCHENKONZEPTE
Seite 30 und 31: 30 SCHWERPUNKT DOKuMENTENMANAgEMENT
Seite 32: 32 SCHWERPUNKT DOKuMENTENMANAgEMENT
Seite 35 und 36: Dokumenteneingangsverarbeitung mit
Seite 37 und 38: Bestellung per Fax +49 8191 70661 F
Seite 39 und 40: Ein abschließender Tipp zum Status
Seite 41 und 42: RPG-Programme für grafi sche Clien
Seite 43 und 44: MARKTüBERSICHT SECuRITy APPLIANCE
Seite 45 und 46: ANZEIGE Mobile Device Management Mo
Seite 47: Intrusion Prevention-Systeme müsse
Seite 52: 2012 JAHRE Druck Output- Management

schwerpunkt - Midrange Magazin

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?