GuardiCore Active Network Protection Platform

SDN-Honeypot findet Angreifer

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

GuardiCore selbst wähnt sich noch im Stealth Mode, wirbt jedoch schon jetzt um Partner und Kunden.
GuardiCore selbst wähnt sich noch im Stealth Mode, wirbt jedoch schon jetzt um Partner und Kunden. (Bild: GuardiCore)

Per Software-Defined Networking (SDN) will das israelische Start-up GuardiCore Angriffe auf Rechenzentren erkennen und für eine genaue Analyse auf aktive Hotspots umleiten. Die GuardiCore Active Network Protection Platform for Datacenter soll schon im zweiten Quartal 2015 verfügbar sein.

Das 2013 gegründete, israelische Unternehmen GuardiCore will noch im zweiten Quartal eine Sicherheitslösung für Rechenzentrum mit starkem Verkehrsaufkommen anbieten. Das Unternehmen wähnt sich zwar selbst noch im Stealth Mode, hat auf Kongressen, Nachfrage und der eigenen Homepage jedoch schon einiges über ein geplantes Produkt preisgegeben. Demnach soll die Active Network Protection Platform Angriffe auch in Traffic-starken Umgebungen effektiv erkennen. Dabei versucht die Lösung gar nicht erst, den gesamten Netzwerktraffic zu überwachen. Die erste Komponente der Plattform heißt "Active Honeypot".

Bei konventionellen Ansätzen gehen verdächtige Verbindungsversuche ins Leere (mehrfach nicht per ACK beantwortete Send-Pakete) oder werden durch Firewalls geblockt. Angreifer können sich auf diesem Weg zu offenen Ports und Sicherheitslücken durchprobieren, Administratoren erhalten bestenfalls einen wenig aussagekräftigen Eintrag in den Logfiles.

Die von GuardiCore beschriebene Lösung spürt nun genau solche vergeblichen oder scheiternden Verbindungsversuche auf und hält Verbindungen aufrecht: RST Packets werden etwa verworfen, Verbindungen jedoch zu einer "Investigation Maschine" umgeleitet; die emuliert genau den Service, welchen die verdächtige Verbindung ansprechen wollte. Sicherheitsverantwortliche können damit überwachen, was Angreifer im Schilde führen und erhalten einen vollständigen, forensischen Bericht. Angreifer sollen sich dagegen auf Produktivsystemen wähnen und nichts davon merken, dass sie zu einem Honeypot umgeleitet wurden.

Auf diese Weise lasse sich vergleichsweise einfach zwischen echten Angriffen und Fehlkonfigurationen unterscheiden: Sucht ein Druckserver am falschen Ort nach Treibern ist das weniger verdächtig als eine VM die auf einer anderen VM Shell-Code startet oder gar eine Backdoor nachlädt. Dieser Ansatz reduziere auch die Gefahr falscher Alarme.

Die Active Network Protection Platform setzt auf SDN-Prinzipien. GuardiCore nutzt dafür beispielsweise die Northbound API des SDN Controllers HP VAN und installiert OpenFlow-Regeln auf open vSwitches; Netzwerkpakete fungieren als Trigger. Die Analyse findet nicht im Controller selbst statt, sondern in virtuellen Maschinen: Als lokales Modul im Hypervisor, das lediglich den Datenverkehr der darauf aufsetzenden VMs bearbeitet. Laut GuardiCore skaliere die Lösung bis zu Multi-Terabit-Verkehren innerhalb einzelner Rechenzentren (East-West-Traffic).

Weitere Informationen zu GuardiCore liefert die Homepage des Unternehmens. Auf YouTube gibt es zudem eine Präsentation des Ansatzes.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43163487 / Intrusion-Detection und -Prevention)