GuardiCore Active Network Protection Platform SDN-Honeypot findet Angreifer

Autor / Redakteur: Dirk Srocke / Peter Schmitz |

Per Software-Defined Networking (SDN) will das israelische Start-up GuardiCore Angriffe auf Rechenzentren erkennen und für eine genaue Analyse auf aktive Hotspots umleiten. Die GuardiCore Active Network Protection Platform for Datacenter soll schon im zweiten Quartal 2015 verfügbar sein.

Anbieter zum Thema

GuardiCore selbst wähnt sich noch im Stealth Mode, wirbt jedoch schon jetzt um Partner und Kunden.
GuardiCore selbst wähnt sich noch im Stealth Mode, wirbt jedoch schon jetzt um Partner und Kunden.
(Bild: GuardiCore)

Das 2013 gegründete, israelische Unternehmen GuardiCore will noch im zweiten Quartal eine Sicherheitslösung für Rechenzentrum mit starkem Verkehrsaufkommen anbieten. Das Unternehmen wähnt sich zwar selbst noch im Stealth Mode, hat auf Kongressen, Nachfrage und der eigenen Homepage jedoch schon einiges über ein geplantes Produkt preisgegeben. Demnach soll die Active Network Protection Platform Angriffe auch in Traffic-starken Umgebungen effektiv erkennen. Dabei versucht die Lösung gar nicht erst, den gesamten Netzwerktraffic zu überwachen. Die erste Komponente der Plattform heißt "Active Honeypot".

Bei konventionellen Ansätzen gehen verdächtige Verbindungsversuche ins Leere (mehrfach nicht per ACK beantwortete Send-Pakete) oder werden durch Firewalls geblockt. Angreifer können sich auf diesem Weg zu offenen Ports und Sicherheitslücken durchprobieren, Administratoren erhalten bestenfalls einen wenig aussagekräftigen Eintrag in den Logfiles.

Bildergalerie

Die von GuardiCore beschriebene Lösung spürt nun genau solche vergeblichen oder scheiternden Verbindungsversuche auf und hält Verbindungen aufrecht: RST Packets werden etwa verworfen, Verbindungen jedoch zu einer "Investigation Maschine" umgeleitet; die emuliert genau den Service, welchen die verdächtige Verbindung ansprechen wollte. Sicherheitsverantwortliche können damit überwachen, was Angreifer im Schilde führen und erhalten einen vollständigen, forensischen Bericht. Angreifer sollen sich dagegen auf Produktivsystemen wähnen und nichts davon merken, dass sie zu einem Honeypot umgeleitet wurden.

Auf diese Weise lasse sich vergleichsweise einfach zwischen echten Angriffen und Fehlkonfigurationen unterscheiden: Sucht ein Druckserver am falschen Ort nach Treibern ist das weniger verdächtig als eine VM die auf einer anderen VM Shell-Code startet oder gar eine Backdoor nachlädt. Dieser Ansatz reduziere auch die Gefahr falscher Alarme.

Die Active Network Protection Platform setzt auf SDN-Prinzipien. GuardiCore nutzt dafür beispielsweise die Northbound API des SDN Controllers HP VAN und installiert OpenFlow-Regeln auf open vSwitches; Netzwerkpakete fungieren als Trigger. Die Analyse findet nicht im Controller selbst statt, sondern in virtuellen Maschinen: Als lokales Modul im Hypervisor, das lediglich den Datenverkehr der darauf aufsetzenden VMs bearbeitet. Laut GuardiCore skaliere die Lösung bis zu Multi-Terabit-Verkehren innerhalb einzelner Rechenzentren (East-West-Traffic).

Weitere Informationen zu GuardiCore liefert die Homepage des Unternehmens. Auf YouTube gibt es zudem eine Präsentation des Ansatzes.

(ID:43163487)