Suchen

Im Test: Stonegate Intrusion Prevention System von Stonesoft

Netzwerk-Angriffe mit IPS-Appliance loggen, analysieren und abwehren

Seite: 3/6

Konfiguration im laufenden Betrieb

Die weitere Arbeit wie die eigentliche Konfiguration der IPS-Appliance läuft über die zentrale Verwaltungskonsole ab. Wir wollen nicht im Detail auf den vollen Funktionsumfang des Management Centers eingehen, da dieses Tool extrem mächtig ist. Viele Funktionen – wie etwa die Administrationsmöglichkeiten für die Firewall – sind für unsere Analyse auch unerheblich. Deswegen beschränken wir uns auf die Features, die für die Arbeit mit dem IPS zentrale Bedeutung haben.

Bei der Arbeit mit der Intrusion-Protection-Lösung ist es zunächst einmal sinnvoll, sich beim Management Center einzuloggen und automatische Backups der aktuellen Konfiguration einzurichten. Das geht über den Konfigurationsdialog unter „File / System Tools / Backup“. Ein angelegter Backup-Jobs lässt sich mit einem Task-Manager verknüpfen, der die Konfiguration regelmäßig im Hintergrund sichert.

Bildergalerie

Im nächsten Schritt sollten sich die Administratoren mit der Log-Konfiguration befassen. Denn nicht alles, was das IPS an den Log-Server überträgt, ist für spätere Analysen relevant. Damit die Log-Dateien nicht überlaufen, lassen sich bestimmte Daten mithilfe von Regeln ausfiltern. Die entsprechenden Werkzeuge zur Log-Pflege sind unter „Configuration / Log Data Pruning“ hinterlegt.

Nach der Log-Konfiguration sollten unter „File / System Tools / Configure Updates and Upgrades“ automatische Updates aktiviert werden. Damit lassen sich sowohl Aktualisierungen der im IPS verwendeten Erkennungsmuster als auch der IPS-Engine durchführen.

Granulare Alert-Benachrichtigugnen

Zum Abschluss der Konfiguration geht es an die Definition der Benachrichtigungen, die das IPS im nach manuell definierten Regeln an die hinterlegten IT-Mitarbeiter schickt. Die dazugehörigen Features finden sich unter „Configuration / Configuration / Administration / Alert Configuration“.

Alarmmeldungen lassen sich so konfigurieren, dass sie nur an die Administratoren gehen, die für bestimmte Angriffsmuster oder Netzwerksegmente zuständig sind. Dank automatischer Eskalation kann im ersten Schritt nach einer Regelverletzung eine Mail an den zuständigen Administrator gehen. Bestätigt dieser die Meldung nicht, so erhält er bei entsprechender Konfiguration zusätzlich eine SMS. Wird auch diese SMS nicht bestätigt, so sendet das IPS einen SMNP-Trap an die zentrale Verwaltungskonsole.

Seite 4: Netzwerk-Monitoring und Policy-Definition

(ID:2042706)