Intrusion Detection über Häufigkeitsanalyse von Anomalien
Security-Appliance für große Netze
Die Sicherheitslösung Ally IP1000 von Lindy ist für große Unternehmensnetze mit mehreren 1000 Clients konzipiert und dient als netzwerkweites Intrusion Detection und Prevention System. Die Lösung verhindert das Ausspionieren des LANs durch Angriffe wie Spoofing, Session Hijacking oder Protokollmissbrauch zum Beispiel durch Blockieren von IP-Adressen oder Ports. Das 19-Zoll-Gerät (1 HE) überwacht hardwarebasiert den Datenverkehr bis in den GBit/s-Bereich und spürt unter anderem anhand von Häufigkeitsanalysen Anomalien auf und bewertet sie. In solch einem Fall sperrt Ally diesem Pakettyp den Zugang zu seinen Zieladressen und verweigert gegebenenfalls internen Geräten den Netzzugang. Nach einer konfigurierbaren Zeitspanne gibt das Gerät den Traffic wieder frei, um zu prüfen, ob diese Anomalien wieder auftreten, und um dann diesen Pakettyp auf die Blacklist zu setzen. Solche Vorgänge oder auch die zugelassene Anzahl ausgelöster Ping-Versuche auf eine IP-Adresse kann der Administrator detailliert konfigurieren.
Das Gerät fragt für seine Arbeit keine Signaturdatenbanken ab, sondern setzt die patentierten Techniken "Plug and Protect" und "Tagged Universal Resource Information Transmission" des Herstellers ein. Diese sollen die Konformität regulärer Protokollstrukturen (Protocol Enforcement) gewährleisten. Hierzu überwachen sie das Netz über Adressauthentifizierung und scannen den Traffic auf der untersten IP-Stack-Protokollebene auf Anomalien.
Zudem markiert das System alle gescannten Pakete mit einer Art Fingerabdruck, der verschlüsselte Informationen zum Beispiel über Quell- und Ziel-IP-Adresse enthält. Damit sollen DoS-Attacken abgewehrt werden.
Der Anwender verwaltet das System unter Linux und schließt dazu Tastatur, Maus und Monitor direkt an das Gerät an oder er geht über einen Netzwerkport. Um einem gänzlichen Ausfall des Netzwerks im Störungsfall des Ally vorzubeugen, besitzt er einen speziellen Dual 1000BaseT-Ethernet-Controller, der die Netzwerkdienste dann ohne Unterbrechung weiterlaufen lässt. Dieser Schaltprozess lässt sich auch so umkonfigurieren, dass der Netzwerkverkehr im Störungsfall unterbunden wird. Dann erhalten die Verantwortlichen Alarmmeldungen, und das System versendet zugleich eine SNMP-Message an relevante Server, die dann zu weiteren Aktionen veranlasst werden. Ally IP1000 kostet laut Liste 8400 Euro.
LANline/dp
Lesen Sie mehr zum Thema
