English

Der beste Tresor in einer Bank nützt nichts ohne eine Einbruchmeldeanlage. Übertragen auf die Informationssicherheit heißt das: Firewalls ohne geeignete Systeme zur zuverlässigen Erkennung von Angriffen machen die Firewalls nahezu wertlos.

Vielleicht haben Sie schon Intrusion Detection/Prevention Systeme (IDS/IPS) im Einsatz, vielleicht haben Sie sie auch schon wieder aus dem Netz geworfen (Thema unzuverlässige Erkennung und false positives). Dann wissen Sie, dass der Einsatz von IDS/IPS mit einigen Schwierigkeiten verbunden ist.

Zuverlässige Angriffserkennung mit Honeypots

Honeypots sind Systeme, die speziell dafür installiert werden, um Angreifer im Netzwerk anzulocken und als IDS einen Alarm auszulösen. Sobald ein solches System angegriffen wird, haben Sie ein Problem. Nicht eventuell ein Problem oder wahrscheinlich doch kein Problem... Das heißt. Die Zuverlässigkeit der Alarmierung durch Honeypots liegt nahe bei 100%, dort wo sie hingehört.

Sie können neben projektspezifischen Eigenentwicklungen auf Basis von OpenSource auch kommerzielle Produkte auswählen, um die für Sie passende "Alarmanlage" zu bauen.

Absicherung kritischer Stellen mit IDS/IPS-Systemen

Um wie ein IDS nicht nur Alarme auszulösen, sondern Netzwerke automatisch vor Angreifern zu schützen werden IPS-Systeme an exponierten Stellen im Netzwerk eingesetzt. Das können Firewalls mit integriertem IPS oder auch Hochleistungssysteme im Kern des Netzwerks sein. Bei verschlüsseltem Verkehr (z.B. SSL) sind zusätzliche Maßnahmen notwendig, um die Verschlüsselung vor dem IDS/IPS aufzubrechen und nach der Kontrolle des Datenverkehrs wieder für die Gegenseite verwertbar zur verschlüsseln.

Neben den Netzwerksensoren sind auch die Host-based Systeme von entscheidender Bedeutung in komplexen Infrastrukturen. Alle Segmente lassen sich mit Honeypots und IDS/IPS-Systeme nicht abdecken. Dort kommen Host-basierende Systeme zum Einsatz. Wir arbeiten hier mit verschiedenen Herstellern eng zusammen, um für Sie die passende Lösung entwickeln zu können.

Anomalie- und Angriffserkennung mit Netflow

Um eine flächendeckende Überwachung des Netzwerks zu erreichen, bietet sich der Einsatz von Netflow an. Dabei werden die Router zu Sensoren im Netzwerk erweitert und liefen ihre Flow-Daten an den zentralen Flow-Kollektor. Die Funktionalität ist auf professionellen Layer-3 Komponenten oft schon vorhanden. Lediglich der Flow-Kollektor muss noch aufgebaut werden. Hier können wir auf Komponenten zurück greifen, die wir in bisherigen Projekten auf Basis von OpenSource bereits entwickelt haben und projektspezifisch erweitern und anpassen. Ein weiteres und sehr mächtiges Einsatzgebiet von Netflow ist die Netzwerk-Forkensik.