Der richtige Riecher: Sicherheit im Netz mit Intrusion Detection und Intrusion Prevention 2 Ein beliebtes Ziel für Cyber-Angriffe: Unternehmens- und Behördennetzwerke Globale Kommunikation, mobile Arbeitsplätze und IT-gestützte Geschäftsprozesse gehören in Unternehmen und Behörden zum Standard. Der störungsfreie und reibungslose Betrieb der IT-Infrastrukturen ist damit maßgeblich für den Geschäftserfolg. Doch die Bedrohungen aus dem Internet nehmen weiter zu. Erfolgreiche Angriffe mindern die Produktivität, offenbaren Betriebsgeheimnisse, verursachen teils enorme monetäre Schäden und gefährden existenzielle Geschäftsprozesse oder kritische Infrastrukturen. Die erfolgreiche präventive Abwehr solcher Angriffe ist für den Erhalt von Image, Marktposition und Wettbewerbsfähigkeit von grundlegender Bedeutung. Zur Absicherung des eigenen Netzwerks sind Firewalls und Virenscanner für den zuverlässigen Schutz von komplexen Unternehmensnetzwerken zwar eine gute Basis, reichen allein aber nicht aus. Mit Intrusion Detection Systemen (IDS) oder Intrusion Prevention Systemen (IPS) können Sie bei Auffälligkeiten und Angriffen zeitnah gezielt und automatisiert reagieren. Außenstelle / Standort / Filiale Externe Anbindungen (Kunden, Partner, Lieferanten) DMZ-Netz Internes Netz / LAN Typische Segmente in einem Unternehmensnetzwerk 3 Zuverlässiger Schutz vor Cyber-Attacken mit secunet snort Für komplexe IT-Infrastrukturen und solche mit besonderen Sicherheitsanforderungen ist eine umfassende Cybersecurity-Strategie mit einer flexiblen und gleichzeitig zuverlässigen Angriffserkennung unverzichtbar. Genau das bietet secunet snort: eine bewährte wie technisch ausgereifte und skalierbare Lösung zur Erkennung und Abwehr von Angriffen auf Netzwerke. Mit secunet snort minimieren Sie deutlich das Risiko secunet snort IDS NG (Next Generation): Intrusion Detection Systeme Sensible Infrastrukturen mit hohen Sicherheitsanforderungen benötigen eine zuverlässige Angriffserkennung, die weder die Verfügbarkeit noch die Performance beeinträchtigt. Hier sind die secunet snort Systeme erste Wahl. Für den Angreifer nicht sichtbar, liest der Sensor im SniffingModus alle vorbeifließenden Daten auf der Layer 2 Ebene mit. secunet snort IDS NG erkennt zuverlässig Angriffe in internen Netzwerksegmenten und ist Spezialist für High-PerformanceAngriffserkennung. secunet snort IPS NG (Next Generation): Intrusion Prevention Systeme secunet snort IPS NG eignet sich speziell für die Überwachung von internen Netzwerkübergängen oder besonders kritischen Applikationen und wird im Inline-Modus installiert. Somit können Angriffe auf die zu schützenden Systeme nicht nur erkannt, sondern auch automatisch geblockt und aus dem Datenstrom herausgefiltert werden. Auch hier arbeitet das System auf der Layer 2 Ebene und kann somit einfach in eine bestehende Netzwerkinfrastruktur integriert werden. von erfolgreichen Angriffen und daraus folgenden Schäden und unterstützen damit gleichzeitig das Informationssicherheitsmanagement Ihrer Organisation. Sie können secunet snort je nach Bedarf und Anforderung als Intrusion Detection System (IDS) oder als Intrusion Prevention System (IPS) einsetzen. snort IDS NG Intrusion Detection System im Sniffing-Modus: Überwachung eines Netzdatenverkehrs ohne PerformanceVerluste und Reduktion der Verfügbarkeit snort IPS NG Intrusion Prevention System im Inline-Modus: höchste Sicherheit mit integrierter Firewall- und Blocking-Funktion 4 secunet snort IDS NG High Performance Intrusion Detection Systeme secunet snort IDS NG ist speziell für die Echtzeitüberwachung und Angriffserkennung der Kommunikation in kompletten Netzwerksegmenten konzipiert. Das System erkennt zuverlässig auch Angriffe von Arbeitsplatzsystemen im internen Netzwerk, die für Firewalls meist unsichtbar bleiben. Implementiert an zentralen Stellen im internen Netz, kann es die gesamte interne Datenkommunikation überprüfen. Durch die bewährte Scan- und DetectionTechnologie sowie die Sensor- / ManagerArchitektur liefert secunet snort IDS NG ein Höchstmaß an Performance und Skalierbarkeit. Die intelligente Event-Korrelation zwischen erkannten Angriffen und dem Regelwerk ermittelt in Echtzeit, welche Angriffe tatsächlich relevant und gefährlich für das eigene Netzwerk sind. In der Datenausgabe werden alle Warnmeldungen angezeigt und in übersichtlichen Reports ausgegeben. »» Die bewährte Scan- und Detection-Technologie sowie die Sensor-/Manager-Architektur des secunet snort IDS NG liefern ein Höchstmaß an Performance und Skalierbarkeit. Dies hilft dem Administrator, wichtige von unwichtigen Informationen zu trennen, und minimiert den Aufwand für die Abwehr sowie forensische Analyse von Angriffen. Sichere Überwachung, sicheres Management secunet snort IDS NG kann standardmäßig mit mehreren Interfaces gleichzeitig sniffen, also mehrere Netzwerksegmente parallel überwachen. Die Sniffing Interfaces besitzen keine eigene IP-Konfiguration und sind daher nicht angreifbar. Das Management Interface kann problemlos in einem z. B. durch eine Firewall geschützten Netzsegment platziert und der Zugriff auf bestimmte IP-Adressen beschränkt werden. Die Kommunikation zwischen Browser und Manager sowie zwischen Manager und Sensor ist durchgängig verschlüsselt. Intrusion Detection Engine Die Intrusion Detection Engine von secunet snort verfügt über mehr als 12.000 Regeln und Signaturen zur Erkennung von Angriffen. Das System als IDS meldet erkannte Angriffe an das zentrale Management, wo diese durch einen Administrator strukturiert ausgewertet werden können. 5 secunet snort IPS NG High Performance Intrusion Prevention Systeme Reine Firewall-Systeme ohne ein integriertes IPS werden den aktuellen Anforderungen an die Netzwerksicherheit nicht mehr gerecht: Zu vielfältig und intelligent sind heute Würmer, Trojaner, Hacker und Co. Sie setzen besser auf die Strategie von secunet snort: Statt Kommunikationsmöglichkeiten abzuschalten oder einzuschränken, werden sämtliche IP-Pakete eingehend untersucht. Kern des IPS ist die Intrusion Prevention Engine. Als zwischengeschaltete Kontrollinstanz bestimmt sie, ob Datenpakete passieren dürfen oder aussortiert werden. Angriffspakete werden direkt am Gateway abgeblockt, bevor sie in das Netzwerk eindringen können. secunet snort IPS NG wird im Inline-Modus betrieben; Firewall und Intrusion Prevention Engine sind dabei stets aktiv. Das System kann vor WLAN-Hotspots, Serverfarmen oder einzelnen Servern eingesetzt werden, ohne dass an der Netzwerkkonfiguration etwas geändert werden muss. DHCP, BooTP, NT-Domain-Anmeldungen oder andere Broadcast-Kommunikationen laufen weiter, ohne dass ein Administrator eingreifen muss. Interne Layer 2 / Layer 3 Firewall secunet snort IPS NG hat eine interne Layer 2 / Layer 3 Firewall integriert. Diese ist die erste Kontrollstation und untersucht in Echtzeit detailliert alle Datenpakete zwischen den Netzwerksegmenten. Nur der tatsächlich regelkonforme Datenverkehr wird ungehindert zugelassen. Die Regeln der Firewall lassen sich bequem und einfach konfigurieren. Intrusion Prevention Engine Auch die Intrusion Prevention Engine von secunet snort verfügt über mehr als 12.000 Regeln und Signaturen zur Erkennung von Angriffen. Sie greift im Inline-Modus aktiv in den Datenverkehr ein und blockt Angriffe, bevor sie in das Netzwerk eindringen können. Im Sniffing-Modus kann secunet snort IPS NG auf einen Teil der Angriffe (z. B. DoSAngriffe) mittels TCP Reset oder Firewall Hardening reagieren. »» Das automatische Regel-Update von secunet snort schützt Sie schnell und wirksam auch gegen neuartige Angriffe. Die Auto-Prevention-Funktion ermöglicht damit einen automatischen Schutz. Auto-Prevention-Funktion Die Auto-Prevention-Funktion vereinfacht die Konfiguration und erlaubt eine schnelle Übernahme der vordefinierten Standardregeln in die individuellen Sicherheitsanforderungen zum Schutz Ihrer Systeme. Mit dem automatischen Regel-Update sind Sie so immer aktuell auch gegen neuartige Angriffe geschützt. 6 secunet snort NG Analyse- und Report-Funktionen Event-Korrelation reduziert die Gefahr von Fehlalarm Über die Event-Korrelation überprüfen die secunet snort NG Systeme bei entdeckten Angriffen, ob diese auf dem Zielsystem tatsächlich ausgeführt werden könnten. Dazu werden vordefinierte Systemattribute der Angriffe mit selbst definierten Systemattributen zu den eigenen Systemen verglichen. Bei einer Übereinstimmung ist die Wahrscheinlichkeit hoch, dass es sich tatsächlich um einen gefährlichen Angriff für die eigenen Systeme handelt. Bei der Datenausgabe können die Angriffe mit niedriger Gefährdungswahrscheinlichkeit herausgefiltert und so Fehlalarme vermieden werden. Die Ergänzung eigener Systemattribute ist problemlos möglich. Ebenso können Administratoren individuelle Korrelationen zwischen Regeln und Attributen bilden und festlegen, um welchen Grad sich die Wahrscheinlichkeit der Gefährdung dadurch erhöht oder verringert. Individuelle Regeln, einfach erstellt Die secunet snort NG Systeme bieten die Möglichkeit, einfach und schnell eigene Prüfsignaturen über die Managementoberfläche zu erstellen. Die Regeln können auch in Kombination mit Source- oder Destination-Adresse, Ports, Pakettyp, Paketgröße oder Inhalt und Häufigkeit des Auftretens innerhalb einer definierten Zeitspanne erstellt werden. Mit secunet snort können Sie somit individuelle Ereignisse festlegen, die zum Alarm führen. secunet snort kann Events in Echtzeit mit anderen Informationen verbinden und unterstützt die Übernahme von externen Daten zu den im Netz vorhandenen Komponenten mittels CSV-Dateien (z. B. aus einem externen Portscannerprogramm, mit dem im Netz erreichbare Systeme ermittelt wurden). Die von den secunet snort NG Systemen erkannten Events können auch an externe Auswertungssysteme übergeben werden. Anomalien können für Netze, einzelne Maschinen und sogar für einzelne Ports auf Maschinen definiert werden. Eine Meldung erfolgt, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Unterschreitung eines üblichen Wertes festgestellt wird. Welche Datenmenge „normal“ ist, erlernt das System in einer Testphase. »» Mit secunet snort können Sie ergänzend individuelle Ereignisse festlegen, die zum Alarm führen. Anomalie-Erkennung als zusätzliche Warnfunktion Angriffe haben in der Regel spürbare Auswirkungen auf den Datenverkehr: Ein abrupter Anstieg der Datenmenge oder das völlige Erliegen eines Internetdienstes können auf einen Angriff hindeuten. Mittels der Anomalie-Erkennung melden die secunet snort NG Systeme Abweichungen von der definierten Regel. 7 Optimales Monitoring, forensische Analyse und Auto-Reporting Die secunet snort NG Systeme ermöglichen eine detaillierte forensische Analyse aller Angriffe auf das Netzwerk, die in der Datenausgabe übersichtlich angezeigt und direkt verschiedenen Kategorien (High, Medium, Low, Info) zugeordnet werden. secunet snort stellt Angriffe gebündelt nach Angriffsziel und Angreifer dar und gibt so den optimalen Überblick über attackierte Systeme. Sämtliche Daten, die für eine Analyse typischerweise benötigt werden, lassen sich schnell und flexibel aus dem System exportieren. Über die Auto-ReportFunktion werden die wichtigsten Angriffe und Regelverstöße in frei konfigurierbaren Reports übersichtlich zusammengefasst – Auswertungen können täglich, wöchentlich oder monatlich erfolgen. Auch die Ausgabediagramme und -tabellen können nach individuellen Wünschen zusammengestellt werden. Automatisches Software-Update Durch das automatische Software- und Pattern-Update sind die secunet snort NG Systeme stets auf dem aktuellsten Stand. SNMP-Schnittstelle Die secunet snort NG Systeme verfügen über eine integrierte SNMP-Schnittstelle, mit der Daten von allen Systemen abgerufen werden können. Informationen – beispielsweise über CPU-Auslastung und Festplattenkapazität – sind damit auf Knopfdruck verfügbar. »» Auswertungen lassen sich mit secunet snort täglich, wöchentlich oder monatlich erstellen. IT-Leiter, IT-Sicherheitsverantwortliche und Administratoren können sich in übersichtlichen Reports jeweils genau die Daten anzeigen lassen, die für sie von Bedeutung sind. 8 secunet snort NG Grafische Benutzeroberfläche Die neue Generation der secunet snort Systeme hat eine Administrationsoberfläche (GUI), die sich durch intuitive Bedienerführung und Übersichtlichkeit bis ins letzte Detail auszeichnet. Dies ist insbesondere für den Betrieb in großen Netzwerken mit vielen IDS-/IPS-Sensoren und deren Managern von großem Vorteil. Das Dashboard der secunet snort NG erlaubt eine spezifische Gestaltung, damit die jeweils wichtigsten Informationen individuell auf einen Blick verfügbar sind. Die Teamorientierung des Bedienerkonzeptes hilft Ihnen bei der Administration großer Netzwerke. Ein granulares Rollenkonzept für die Benutzerrechte ist darin ebenso verwirklicht wie ein „Read Only“-Modus. Selbst für einzelne Benutzergruppen können Rechte auf Aktionsebene definiert werden. »» Die Teamorientierung des Bedienerkonzeptes von secunet snort unterstützt Sie optimal bei der Administration großer Netzwerke. Selbstüberwachung für optimale Einsatzsicherheit Alle Appliances der secunet snort NG sind mit einer Hardware-Überwachungsfunktion ausgestattet, damit Sie jederzeit über Verfügbarkeit und Zustand Ihrer IDS-/IPSInstallation bestens informiert sind. 9 Administration und Management in komplexen Netzwerken Zentrales Management durch Sensor-Manager-Betrieb Angriffe können in verteilten Unternehmensnetzwerken oder landesweiten Behörden- und Regierungsnetzwerken an verschiedenen Stellen ansetzen. Für eine zuverlässige Angriffserkennung und -abwehr müssen in solchen Netzwerkstrukturen demzufolge viele Sensoren platziert werden. Kein Problem mit den secunet snort NG Systemen: Sie lassen sich in beliebiger Anzahl als verteiltes System betreiben. Einzelne Sensoren werden dazu über die gesamte IT-Infrastruktur verteilt und über einen Manager zentral konfiguriert, administriert und überwacht. Dezentral positionierte Sensoren können auch über das Internet oder Virtual Private Networks mit dem zentralen Manager kommunizieren. Die Kommunikation der secunet snort Systeme untereinander erfolgt verschlüsselt über das TLS-Protokoll. Für die Kommunikation mit externen Systemen stehen verschlüsselte Protokolle wie HTTPS, SMTP via TLS, SNMP v.3 und SCP zur Verfügung. IDS-Sensor Administration und Regeln für Sensoren Alle Einstellungen zum Scannen von Netzwerkpaketen und zur Erkennung von Angriffen werden auf dem secunet snort NG Manager über ein webbasiertes User Interface vorgenommen. Neben den umfassenden Konfigurations- und AutoReporting-Funktionen verfügen Administratoren zudem über ein einfach handhabbares und anwenderfreundliches Updateverfahren. Dies erlaubt beispielsweise, mehrere Updates automatisiert einzuspielen oder beim Betrieb mehrerer Sensoren ein Update auf einzelnen, dedizierten Sensorsystemen durchzuführen. Auch die Software-Distribution ist beim secunet snort NG Manager besonders einfach. Software-Updates werden auf dem Manager bereitgestellt und damit von zentraler Stelle auf die Sensoren verteilt und installiert. Die Möglichkeit, Updates parallel auszuführen, reduziert Aktionszeiten. Für die Administration vieler Sensoren können Konfigurationseinstellungen als Regeln mit Hilfe von Templates einfach erstellt und einzelnen Sensoren zugeordnet werden. Das Kopieren solcher Policies für neue Sensoren ist leicht möglich. Um in Tests und Auditierungen von Konfigurationen auch unterschiedliche Versionen von Konfigurationen nachvollziehbar verwalten zu können, kann ein Im- und Export von Daten erfolgen. Standort 2: secunet wall plus secunet snort IDS NG Standort 1: secunet snort IPS NG Zentraler Manager Standort 3: secunet snort IDS NG und IPS NG Mobiler Client IDS-Sensor HA-Manager IPS-Sensor IPS-Sensor IPS-Sensor Standort 4: secunet snort IPS NG als redundantes System secunet snort: Netzwerksicherheit für Netze jeder Art und Größe IPS-Sensor HA-System 10 secunet snort NG Appliances secunet snort NG: optimiert auf Einsatzzweck und Geschwindigkeit In die neue Generation der secunet snort NG Systeme haben wir unsere Erfahrungen aus vielen Jahren Produktentwicklung zur Absicherung von mittleren bis großen ITInfrastrukturen eingebracht. ▀▀ Alle Produkte sind noch besser auf die Bedürfnisse der jeweiligen Einsatzumgebung abgestimmt und können individuell skaliert werden. ▀▀ Die secunet snort NG Sensoren und Manager sind für die schnelle Verarbeitung von hohen Datenaufkommen entwickelt. ▀▀ Die secunet snort NG Manager sind speziell auf die Speicherung vieler Events und einer schnellen Verarbeitung der anfallenden Daten ausgelegt. ▀▀ Die Betriebssoftware der gesamten Appliance-Modellreihe beinhaltet eine Fehlerdiagnose für alle Hardwarekomponenten. ▀▀ Die Appliances der Modellreihe 500 NG und höher sind mit RAID sowie redundanter Stromversorgung und Festplatten ausgestattet. High-Speed-Sensoren Für den Einsatz in großen Netzwerken mit vielen Sensoren und entsprechend hohem Datenaufkommen sind die secunet snort IDS 1000 NGx Sensoren vorgesehen. Die speziell entwickelte secunet snort NG Stream Distribution Technology garantiert die zuverlässige Verarbeitung größter Datenmengen. Durch parallele Nutzung mehrerer „IDS-Kerne“ kann die Verarbeitung und Analyse der Daten nochmals beschleunigt werden. High Availability Alle Sensoren und Manager der secunet snort NG verfügen über High-AvailabilityFunktionalitäten und können redundant ausgelegt werden. Im Falle einer Störung können automatisch und unverzüglich sämtliche Aufgaben durch ein BackupSystem übernommen werden. Made in Germany secunet snort wird in Deutschland auf Basis der Open-Source-Software snort entwickelt. Unsere Kunden stellen hohe Anforderungen an die Sicherheit der Systeme in großen sensiblen Unternehmensoder Behördennetzen und arbeiten Hand in Hand mit uns zusammen. Wir bieten Systemhandbücher, Service und einen 7/24-Support in Deutsch und Englisch an. 11 Modellübersicht secunet snort NG Modell Empfohlene Bandbreite und Hardwareredundanz 200 NG Bis zu 200 MBit/s* Speicherung bis 55 Mio. Events** — 500 NG Bis zu 500 MBit/s* Speicherung bis 55 Mio. Events** Redundante Stromversorgung und HDD Bis zu 2.000 MBit/s* Speicherung bis 55 Mio. Events** Redundante Stromversorgung und HDD Konsequente Auslegung auf die Verarbeitung extrem großer Datenmengen durch die gleichzeitige Nutzung mehrerer IDS-Kerne 1000 NGx RAID integr. Sensor IPS Sensor/ Manager Manager IDS ▀ ▀ — ▀ ▀ ▀ ▀ ▀ — ▀ ▀ ▀ ▀ ▀ — ▀ — ▀ — — ▀ ▀ ▀ ▀ — — ▀ ▀ ▀ Manager Manager NG Speicherung bis 55 Mio. Events** Redundante Stromversorgung und HDD Ultra Manager NG Speicherung bis 195 Mio. Events** Redundante Stromversorgung und HDD, Hot Spare HDD Konsequente Auslegung zur Speicherung großer Datenmengen und zum Management großer Netzwerke * Die Leistung kann in Abhängigkeit von der Konfiguration variieren. ** Die tatsächliche Anzahl gespeicherter Events kann in Abhängigkeit von der Konfiguration variieren. Leistungsmerkmale secunet snort NG IDS NG IPS NG Integration IPS NG Systemmanagement Layer 2 (Inline-Modus) — ▀ Passiv (Sniffing-Modus) ▀ — Dynamic Intrusion Detection und Intrusion Prevention IDS-/IPS-Signaturen IDS NG Sensormanagement ▀ ▀ unlimitiert* unlimitiert* Monitoring via SNMP ▀ ▀ Hardwarediagnostik via SNMP (v1, v2, v3) ▀ ▀ High Availability ▀ ▀ Anzahl Sensoren > 12.000 > 12.000 Individuelle Signaturen ▀ ▀ Interne Festplatte ▀ ▀ Korrelation ▀ ▀ Log an entferntem Syslog-Server ▀ ▀ Auto-Prevention ▀ ▀ Log an SNMP-Server ▀ ▀ ▀ ▀ Logging Forensische Analyse ▀ ▀ E-Mail-Aussand bei Angriffen Anomalie-Erkennung ▀ ▀ Administration Traffic Trace ▀ ▀ Auto-Reporting ▀ ▀ Port Scans ▀ ▀ Automatisches Echtzeit-Update ▀ ▀ ▀ ▀ ▀ ▀ DoS ▀ ▀ Konsolen-Interface Buffer Overflow ▀ ▀ Web-GUI (HTTPS) Packet-Fragmentation-Angriff ▀ ▀ Firewall-Modi und -Features UDP-Angrif ▀ ▀ Layer 2/Layer 3 Firewall — ▀ — ▀ Application-Anomaly-Angriff ▀ ▀ NAT, PAT Application-Protocol-Analyse ▀ ▀ Threshold-Analyse ▀ ▀ RFC-Compliance-Prüfung ▀ ▀ Stateful Pattern Matching ▀ ▀ * Die tatsächliche Anzahl von Sensoren, die an ein Management angeschlossen werden kann, ist abhängig von der Konfiguration und liegt zwischen 150 und 300. Weitere Informationen: www.secunet.com/snort secunet Security Networks AG Essen, Deutschland Tel.: +49 201 5454-0 Fax: +49 201 5454-1000 E-Mail: [email protected] www.secunet.com
© Copyright 2024 ExpyDoc
