Suchen

Im Test: Stonegate Intrusion Prevention System von Stonesoft

Netzwerk-Angriffe mit IPS-Appliance loggen, analysieren und abwehren

Seite: 2/6

Testaufbau und Hinweise zur Implementierung

Wir führten den Test des IPS in zwei Schritten durch. Zuerst installierten wir das Produkt in unserem Testlabor, um einen Eindruck von der Einrichtung und der Konfiguration der Lösung zu erhalten. Danach griffen wir aus der Ferne auf ein Honeypot-System zu, das Stonesoft uns zur Verfügung stellte, um die Arbeit des IPS in einem Umfeld mit vielen Angriffen und entsprechend großem Datenaufkommen unter die Lupe zu nehmen.

Gehen wir zuerst auf die Installation des IPS ein. Für den Test platzierten wir einen Sensor, der in Form einer Appliance mit einfacher Bauhöhe kam (das IPS steht auch als reine Softwarelösung zur Verfügung), zwischen unserem LAN-Switch und dem Internet-Router, damit er dort sämtlichen ein- und ausgehenden Verkehr überwachen konnte.

Bildergalerie

Dazu verwendet die Appliance zwei paarweise zusammengeschaltete Netzwerkinterfaces. Es reicht zur Installation also aus, das Netzwerkkabel am Router anzuziehen, in den internen Port der Appliance zu stecken und dann eine neue Verbindung zwischen dem externen Port und dem Router herzustellen.

Die Netzwerkinterfaces wurden so konfiguriert, dass sie allen Verkehr durchlassen, wenn die Appliance ausgeschaltet ist (Pass Through Ethernet). Auf diese Weise stellt Stonesoft sicher, dass der Internetzugang auch dann funktioniert, wenn zum Beispiel das Netzteil in der Sensor-Appliance ausfällt, eine sehr sinnvolle Vorsichtsmaßnahme. Das Management der Appliance erfolgt im Betrieb über einen separaten Verwaltungsport, der eine IP-Adresse aus dem LAN-Segment erhält.

Schrittweise Implementierung

In der Praxis ist es wohl am sinnvollsten, zuerst die Appliance in ausgeschaltetem Zustand im Netz zu implementieren. Anschließend sollte man das Management Center und die sonstige zum Betrieb des IPS erforderliche Software installieren.

Die Installation der Software-Komponenten läuft, wie unter Windows üblich, Wizard-gesteuert ab. Während des Setups können IT-Verantwortliche optional auswählen, ob sie alle Bestandteile des Systems oder nur den Management Client einspielen wollen.

Im Test installierten wir die Software-Komponenten des IPS auf einem IBM X-3400-Server, der unter Windows Server 2008 in der 32-Bit-Version lief. Eine weitere Instanz des Management Centers (zum Zeitpunkt des Tests war Version 5.0.3 aktuell) spielten wir auf einer VMware-basierten virtuellen Maschine ein, die mit Windows Server 2003 R2 (ebenfalls in der 32-Bit-Version) arbeitete.

Danach lässt sich die Erstkonfiguration des Sensors (mit IP-Adresse, Default-Policy und ähnlichem) im Management Center durchführen und zum Schluss die erstellte Konfiguration auf einem USB-Stick speichern. Fahren die Administratoren danach die IPS-Appliance mit eingestecktem USB-Stick hoch, so liest das System die Konfigurationsdaten automatisch ein, konfiguriert sich entsprechend und meldet sich dann beim Management-Center-Server an.

Seite 3: Konfiguration im laufenden Betrieb

(ID:2042706)