Merkmale

Kombination von host- und netzwerkbasierenden IDRS

Ein Host-IDS wird zur Überwachung von Unzulänglichkeiten im Programmablauf, der Benutzeraktivitäten, unberechtigten Zugriffen, u.a.m. auf einem einzelnen System genutzt. Neue Sensoren werden automatisch vom IDS erkannt und integriert. Es werden verschiedene Betriebssysteme für Server und Netzwerkkomponenten unterstützt (Windows, Linux, Solaris, HP-UX, Cisco IOS, Bintec, Lucent, 3COM, u.a.).

Das Netzwerk-IDS dient zur Analyse und Protokollierung des Datenstromes in einem Netzwerksegment. Die Anzahl der Sensoren und deren Bandbreite ist nur durch die Kapazität der verwendete Hardware begrenzt. Die Überwachung der Sensorfunktionen sowie deren Steuerung erfolgt automatisch und zentral über den Managementserver.

Verbindung der grundlegenden IDS Methoden signaturbasierend, anomalieerkennend sowie protokollanalysierend

Signaturbasierende Funktionen erkennen aktiv Angriffszenarien auf Grundlage von bekannten und hypothetischen Datenmustern, die in Form von Signaturen verwaltet und mit dem spezifischen Inhalten aus dem Datenstrom verglichen werden. Tägliche Updates der bekannten Signaturen, die Möglichkeit eigene Signaturen zu erstellen, sowie einstellbare Vorfilter erweitern den normalen Leistungsumfang dieser Funktionen erheblich.

Funktionen zur Anomalieerkennung vergleichen die Parameter des laufenden Benutzerverhaltens im Netzwerk und zeigen Abweichungen vom Normalzustand. Die archivierten Datenbestände sind in mehreren Zeitbereichen vergleichbar.

Bei der Protokollanalyse wird davon ausgegangen, dass Datenpakete im wesentlichen immer den gleichen Aufbau haben. So kann sehr gezielt und mit hoher Geschwindigkeit nach bestimmten Vorgängen im Datenstrom gesucht werden.

Leistungsfähige Datenbank und optimierte Software

Die integrierte Datenbank verwaltet zentral alle Vorfälle, Signaturen und Benutzerdaten. Sie ist selbstwartend und passt sich automatisch dem Umfang des IDRS an. Die Größe des Datenbestandes ist allein durch die verwendete Hardware des Servers begrenzt.

Grundlage für das Betriebssystem der Netzwerksensoren und des Managementservers ist ein angepasstes Linuxsystem, das sich durch hohe Leistungsfähigkeit und stabilen Betrieb auszeichnet. Optional stehen auch andere Betriebssysteme zur Verfügung.

Ein zentraler Baustein im IDRS ist „Snort“. Diese extrem leistungsfähige Scan- und Search-Engine analysiert und protokolliert den Datenstrom der Netzwerksensoren. Die auf der Basis „Open-Source“ entwickelte Software wurde bereits über 150.000 mal installiert.

Spezielle Anpassungen

Optional stehen für verschiedene Anwendungen zusätzliche Module im IDRS zur Verfügung.

Mit dem ISP-Modul lassen sich Zugriffsbeschränkungen für verschiedene Benutzergruppen auf Basis von IP-Adressen verwalten. So besteht die Möglichkeit, verschiedene, getrennte Netzwerke in einem IDRS gemeinsam zu überwachen und zu managen.

Das Content-Security-Modul verschlüsselt den gesamten Dateninhalt der archivierten Ereignisse mit mehrfachen Passwörtern, so dass diese nur nach dem sogenannten „Mehraugen- Prinzip“ geöffnet werden können.