Suchen

Im Test: Stonegate Intrusion Prevention System von Stonesoft

Netzwerk-Angriffe mit IPS-Appliance loggen, analysieren und abwehren

Seite: 4/6

Netzwerk-Monitoring und Policy-Definition

Nachdem das IPS fertig eingerichtet wurde kann man sich daran machen, die überwachten Datenströme mithilfe des System Monitorings zu analysieren. Mit den gewonnenen Erkenntnissen lässt sich das IPS-Regelwerk genau an die Anforderungen des Firmennetzes anzupassen.

Hierbei sollte man sämtliche Vorkommnisse zunächst einmal nur protokollieren. Damit lässt sich verhindern, dass automatische Schutzmaßnahmen wie das Blocken von Verbindungen die Verfügbarkeit der im Netzwerk benötigten Dienste unterbrechen. Die Regeldefinition selbst erfolgt kann über Angriffsmuster, Interface, Quelle, Ziel, Aktion (Permit, Terminate, Continue) und ähnlichem erfolgen. Bei der Arbeit mit dem Management Center haben die Benutzer jederzeit die Option, sich Details zu allen Regeln anzeigen zu lassen.

Bildergalerie

Der Prozess der Policy-Erstellung ist je nach der Komplexität des Netzes eventuell langwierig. Denn man muss wiederholt die Policy anpassen und sehen wie sie sich in der Praxis verhält. Oft ist es auch nötig, die Alerts mit den aktualisierten Policy-Definitionen abzustimmen. Da die Konfiguration der IPS-Policy unter Umständen Tage oder sogar Wochen dauert, ist auch das automatische Backup der Systemkonfiguration so wichtig.

In unserem Testnetz definierten wir eine Policy, die diverse Angriffsmuster erkannte sowie protokollierte und gleichzeitig Peer-to-Peer-Verkehr unterband. Dabei traten keine Probleme auf und das System verhielt sich wie erwartet.

Das IPS im laufenden Betrieb

Um die Leistungsfähigkeit des IPS im laufenden Betrieb zu untersuchen, verbanden wir uns über unser Management Center mit dem bereits angesprochenen Honeypot von Stonesoft. Dort konnten wir mit einer viel größeren Anzahl von Angriffseinträgen und Aktivitäten arbeiten, als in unserem lokalen Testnetzwerk.

Damit ein IPS seine Schutzfunktion wirklich erfüllen kann, sind diverse Grundvoraussetzungen zu erfüllen. Zunächst einmal muss sichergestellt sein, dass das System laufende Angriffe auch wirklich erkennt. Das wird in der Regel durch Mustererkennung und häufige Pattern-Updates realisiert, was bei den Produkten der führenden Hersteller in durchaus vergleichbarem Umfang funktioniert.

Zweitens ist es wichtig, dass die erkannten Unregelmäßigkeiten schnell die Aufmerksamkeit der verantwortlichen Administratoren erreichen. Hierzu muss das IPS einerseits mit leistungsfähigen Alertfunktionen ausgestattet sein. Andererseits muss es aber auch ein Monitoring-Tool bieten, das die zuständigen Mitarbeiter direkt auf die Punkte aufmerksam macht, die von zentraler Bedeutung sind.

Stonesoft realisiert letzteres über mehrere Bedrohungsgrade, die die IT-Verantwortlichen den einzelnen Angriffsmustern bei der Regeldefinition mitgeben. Da die Einträge für die meisten relevanten Angriffe bereits vom Hersteller des IPS vordefiniert wurden, sind diese „Severity Settings“ zu Beginn der Arbeit mit dem System schon vorhanden, lassen sich aber bei Bedarf im Rahmen der Policy-Definition verändern.

Seite 5: Log-Analyse und Alerting

(ID:2042706)