Der richtige Riecher: Sicherheit im Netz mit Intrusion Detection und Intrusion Prevention

2

Globale Kommunikation, mobile Arbeits-plätze und IT-gestützte Geschäftsprozesse gehören in Unternehmen und Behörden zum Standard. Der störungsfreie und reibungs-lose Betrieb der IT-Infrastrukturen ist damit maßgeblich für den Geschäftserfolg. Doch die Bedrohungen aus dem Internet nehmen weiter zu. Erfolgreiche Angriffe mindern die Produktivität, offenbaren Betriebsgeheim-nisse, verursachen teils enorme monetäre Schäden und gefährden existenzielle Ge-schäftsprozesse oder kritische Infrastruk-turen. Die erfolgreiche präventive Abwehr solcher Angriffe ist für den Erhalt von Image, Marktposition und Wettbewerbsfähigkeit von grundlegender Bedeutung.

Ein beliebtes Ziel für Cyber-Angriffe: Unternehmens- und Behördennetzwerke

Zur Absicherung des eigenen Netzwerks sind Firewalls und Virenscanner für den zu-verlässigen Schutz von komplexen Unter-nehmensnetzwerken zwar eine gute Basis, reichen allein aber nicht aus. Mit Intrusion Detection Systemen (IDS) oder Intrusion Prevention Systemen (IPS) können Sie bei Auffälligkeiten und Angriffen zeitnah gezielt und automatisiert reagieren.

Typische Segmente in einem Unternehmensnetzwerk

Internes Netz / LAN

Externe Anbindungen (Kunden, Partner, Lieferanten)

DMZ-Netz

Außenstelle / Standort / Filiale

3

Zuverlässiger Schutz vor Cyber-Attacken mit secunet snort

Für komplexe IT-Infrastrukturen und solche mit besonderen Sicherheitsanforderungen ist eine umfassende Cybersecurity-Strategie mit einer flexiblen und gleichzeitig zuver-lässigen Angriffserkennung unverzichtbar. Genau das bietet secunet snort: eine be-währte wie technisch ausgereifte und ska-lierbare Lösung zur Erkennung und Abwehr von Angriffen auf Netzwerke. Mit secunet snort minimieren Sie deutlich das Risiko

secunet snort IDS NG (Next Generation): Intrusion Detection SystemeSensible Infrastrukturen mit hohen Sicher-heitsanforderungen benötigen eine zu-verlässige Angriffserkennung, die weder die Verfügbarkeit noch die Performance beeinträchtigt. Hier sind die secunet snort Systeme erste Wahl. Für den Angreifer nicht sichtbar, liest der Sensor im Sniffing-Modus alle vorbeifließenden Daten auf der Layer 2 Ebene mit.

secunet snort IDS NG erkennt zuverlässig Angriffe in internen Netzwerksegmenten und ist Spezialist für High-Performance- Angriffserkennung.

secunet snort IPS NG (Next Generation): Intrusion Prevention Systemesecunet snort IPS NG eignet sich speziell für die Überwachung von internen Netz-werkübergängen oder besonders kritischen Applikationen und wird im Inline-Modus installiert. Somit können Angriffe auf die zu schützenden Systeme nicht nur er-kannt, sondern auch automatisch geblockt und aus dem Datenstrom herausgefiltert werden.

Auch hier arbeitet das System auf der Layer 2 Ebene und kann somit einfach in eine bestehende Netzwerkinfrastruktur inte-griert werden.

snort IDS NG

Intrusion Detection System im Sniffing-Modus:

Überwachung eines Netzdatenverkehrs ohne Performance-

Verluste und Reduktion der Verfügbarkeit

Intrusion Prevention System im Inline-Modus:

höchste Sicherheit mit integrierter Firewall- und Blocking-Funktion

snort IPS NG

von erfolgreichen Angriffen und daraus folgenden Schäden und unterstützen damit gleichzeitig das Informationssicherheits- management Ihrer Organisation.

Sie können secunet snort je nach Bedarf und Anforderung als Intrusion Detection System (IDS) oder als Intrusion Prevention System (IPS) einsetzen.

4

secunet snort IDS NG High Performance Intrusion Detection Systeme

secunet snort IDS NG ist speziell für die Echtzeitüberwachung und Angriffserken-nung der Kommunikation in kompletten Netzwerksegmenten konzipiert. Das Sys-tem erkennt zuverlässig auch Angriffe von Arbeitsplatzsystemen im internen Netzwerk, die für Firewalls meist unsichtbar bleiben. Implementiert an zentralen Stellen im in-ternen Netz, kann es die gesamte interne Datenkommunikation überprüfen.

Durch die bewährte Scan- und Detection-Technologie sowie die Sensor- / Manager-Architektur liefert secunet snort IDS NG ein Höchstmaß an Performance und Skalier-barkeit. Die intelligente Event-Korrelation zwischen erkannten Angriffen und dem Regelwerk ermittelt in Echtzeit, welche An-griffe tatsächlich relevant und gefährlich für das eigene Netzwerk sind. In der Datenaus-gabe werden alle Warnmeldungen angezeigt und in übersichtlichen Reports ausgegeben.

Dies hilft dem Administrator, wichtige von unwichtigen Informationen zu trennen, und minimiert den Aufwand für die Abwehr so-wie forensische Analyse von Angriffen.

Sichere Überwachung, sicheres Managementsecunet snort IDS NG kann standardmäßig mit mehreren Interfaces gleichzeitig sniffen, also mehrere Netzwerksegmente parallel überwachen. Die Sniffing Interfaces besit-zen keine eigene IP-Konfiguration und sind daher nicht angreifbar.

Das Management Interface kann problemlos in einem z. B. durch eine Firewall geschütz-ten Netzsegment platziert und der Zugriff auf bestimmte IP-Adressen beschränkt wer-den. Die Kommunikation zwischen Browser und Manager sowie zwischen Manager und Sensor ist durchgängig verschlüsselt.

Intrusion Detection EngineDie Intrusion Detection Engine von secunet snort verfügt über mehr als 12.000 Regeln und Signaturen zur Erkennung von Angrif-fen. Das System als IDS meldet erkannte Angriffe an das zentrale Management, wo diese durch einen Administrator strukturiert ausgewertet werden können. » Die bewährte Scan- und Detection-Techno-

logie sowie die Sensor-/Manager-Architektur des secunet snort IDS NG liefern ein Höchst-maß an Performance und Skalierbarkeit.

5

secunet snort IPS NG High Performance Intrusion Prevention Systeme

Reine Firewall-Systeme ohne ein inte- griertes IPS werden den aktuellen Anfor-derungen an die Netzwerksicherheit nicht mehr gerecht: Zu vielfältig und intelligent sind heute Würmer, Trojaner, Hacker und Co. Sie setzen besser auf die Strategie von secunet snort: Statt Kommunikations- möglichkeiten abzuschalten oder einzu-schränken, werden sämtliche IP-Pakete eingehend untersucht. Kern des IPS ist die Intrusion Prevention Engine. Als zwischen- geschaltete Kontrollinstanz bestimmt sie, ob Datenpakete passieren dürfen oder aussortiert werden. Angriffspakete werden direkt am Gateway abgeblockt, bevor sie in das Netzwerk eindringen können.

secunet snort IPS NG wird im Inline-Modus betrieben; Firewall und Intrusion Prevention Engine sind dabei stets aktiv. Das System kann vor WLAN-Hotspots, Serverfarmen oder einzelnen Servern eingesetzt werden, ohne dass an der Netzwerkkonfiguration etwas geändert werden muss. DHCP, BooTP, NT-Domain-Anmeldungen oder an-dere Broadcast-Kommunikationen laufen weiter, ohne dass ein Administrator eingrei-fen muss.

Interne Layer 2 / Layer 3 Firewallsecunet snort IPS NG hat eine interne Layer 2 / Layer 3 Firewall integriert. Diese ist die erste Kontrollstation und untersucht in Echtzeit detailliert alle Datenpakete zwischen den Netzwerksegmenten. Nur der tatsächlich regelkonforme Datenverkehr wird ungehindert zugelassen. Die Regeln der Firewall lassen sich bequem und einfach konfigurieren.

Intrusion Prevention EngineAuch die Intrusion Prevention Engine von secunet snort verfügt über mehr als 12.000 Regeln und Signaturen zur Erkennung von Angriffen. Sie greift im Inline-Modus aktiv in den Datenverkehr ein und blockt Angriffe, bevor sie in das Netzwerk eindringen kön-nen. Im Sniffing-Modus kann secunet snort IPS NG auf einen Teil der Angriffe (z. B. DoS-Angriffe) mittels TCP Reset oder Firewall Hardening reagieren.

Auto-Prevention-FunktionDie Auto-Prevention-Funktion vereinfacht die Konfiguration und erlaubt eine schnelle Übernahme der vordefinierten Standard- regeln in die individuellen Sicherheitsan-forderungen zum Schutz Ihrer Systeme. Mit dem automatischen Regel-Update sind Sie so immer aktuell auch gegen neuartige Angriffe geschützt.

» Das automatische Regel-Update von secunet snort schützt Sie schnell und wirksam auch gegen neuartige Angriffe. Die Auto-Prevention-Funktion ermöglicht damit einen automatischen Schutz.

6

Event-Korrelation reduziert die Gefahr von FehlalarmÜber die Event-Korrelation überprüfen die secunet snort NG Systeme bei entdeckten Angriffen, ob diese auf dem Zielsystem tat-sächlich ausgeführt werden könnten. Dazu werden vordefinierte Systemattribute der Angriffe mit selbst definierten Systemattri-buten zu den eigenen Systemen verglichen. Bei einer Übereinstimmung ist die Wahr-scheinlichkeit hoch, dass es sich tatsächlich um einen gefährlichen Angriff für die eige-nen Systeme handelt. Bei der Datenaus-gabe können die Angriffe mit niedriger Ge-fährdungswahrscheinlichkeit herausgefiltert und so Fehlalarme vermieden werden. Die Ergänzung eigener Systemattribute ist pro-blemlos möglich. Ebenso können Adminis-tratoren individuelle Korrelationen zwischen Regeln und Attributen bilden und festlegen, um welchen Grad sich die Wahrscheinlich-keit der Gefährdung dadurch erhöht oder verringert.

secunet snort kann Events in Echtzeit mit anderen Informationen verbinden und unter-stützt die Übernahme von externen Daten zu den im Netz vorhandenen Komponenten mittels CSV-Dateien (z. B. aus einem ex-ternen Portscannerprogramm, mit dem im Netz erreichbare Systeme ermittelt wurden). Die von den secunet snort NG Systemen erkannten Events können auch an externe Auswertungssysteme übergeben werden.

Individuelle Regeln, einfach erstelltDie secunet snort NG Systeme bieten die Möglichkeit, einfach und schnell eigene Prüfsignaturen über die Managementober-fläche zu erstellen. Die Regeln können auch in Kombination mit Source- oder Destina-tion-Adresse, Ports, Pakettyp, Paketgröße oder Inhalt und Häufigkeit des Auftretens in-nerhalb einer definierten Zeitspanne erstellt werden. Mit secunet snort können Sie somit individuelle Ereignisse festlegen, die zum Alarm führen.

Anomalie-Erkennung als zusätzliche WarnfunktionAngriffe haben in der Regel spürbare Auswirkungen auf den Datenverkehr: Ein abrupter Anstieg der Datenmenge oder das völlige Erliegen eines Internetdienstes kön-nen auf einen Angriff hindeuten. Mittels der Anomalie-Erkennung melden die secunet snort NG Systeme Abweichungen von der definierten Regel.

Anomalien können für Netze, einzelne Maschinen und sogar für einzelne Ports auf Maschinen definiert werden. Eine Meldung erfolgt, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Un-terschreitung eines üblichen Wertes festge-stellt wird. Welche Datenmenge „normal“ ist, erlernt das System in einer Testphase.

secunet snort NG Analyse- und Report-Funktionen

» Mit secunet snort können Sie ergänzend individuelle Ereignisse festlegen, die zum Alarm führen.

7

Optimales Monitoring, forensische Analyse und Auto-ReportingDie secunet snort NG Systeme ermögli-chen eine detaillierte forensische Analyse aller Angriffe auf das Netzwerk, die in der Datenausgabe übersichtlich angezeigt und direkt verschiedenen Kategorien (High, Medium, Low, Info) zugeordnet werden. secunet snort stellt Angriffe gebündelt nach Angriffsziel und Angreifer dar und gibt so den optimalen Überblick über attackierte Systeme. Sämtliche Daten, die für eine Analyse typischerweise benötigt werden, lassen sich schnell und flexibel aus dem System exportieren. Über die Auto-Report-Funktion werden die wichtigsten Angriffe und Regelverstöße in frei konfigurierbaren Reports übersichtlich zusammengefasst – Auswertungen können täglich, wöchentlich oder monatlich erfolgen. Auch die Ausgabe- diagramme und -tabellen können nach individuellen Wünschen zusammengestellt werden.

Automatisches Software-UpdateDurch das automatische Software- und Pattern-Update sind die secunet snort NG Systeme stets auf dem aktuellsten Stand.

SNMP-SchnittstelleDie secunet snort NG Systeme verfügen über eine integrierte SNMP-Schnittstelle, mit der Daten von allen Systemen abgerufen werden können. Informationen – beispiels-weise über CPU-Auslastung und Festplat-tenkapazität – sind damit auf Knopfdruck verfügbar.

» Auswertungen lassen sich mit secunet snort täglich, wöchentlich oder monatlich erstellen. IT-Leiter, IT-Sicherheitsverantwortliche und Administratoren können sich in übersichtlichen Reports jeweils genau die Daten anzeigen lassen, die für sie von Bedeutung sind.

8

Die neue Generation der secunet snort Systeme hat eine Administrationsoberfläche (GUI), die sich durch intuiti-ve Bedienerführung und Übersichtlichkeit bis ins letzte Detail auszeichnet. Dies ist insbesondere für den Betrieb in großen Netzwerken mit vielen IDS-/IPS-Sensoren und de-ren Managern von großem Vorteil.

Das Dashboard der secunet snort NG erlaubt eine spezi- fische Gestaltung, damit die jeweils wichtigsten Informatio-nen individuell auf einen Blick verfügbar sind.

Die Teamorientierung des Bedienerkonzeptes hilft Ihnen bei der Administration großer Netzwerke. Ein granulares Rollenkonzept für die Benutzerrechte ist darin ebenso ver-wirklicht wie ein „Read Only“-Modus. Selbst für einzelne Benutzergruppen können Rechte auf Aktionsebene defi-niert werden.

Selbstüberwachung für optimale EinsatzsicherheitAlle Appliances der secunet snort NG sind mit einer Hardware-Überwachungsfunktion ausgestattet, damit Sie jederzeit über Verfügbarkeit und Zustand Ihrer IDS-/IPS-Installation bestens informiert sind.

secunet snort NG Grafische Benutzeroberfläche

» Die Teamorientierung des Bedienerkonzeptes von secunet snort unterstützt Sie optimal bei der Administration großer Netzwerke.

9

Administration und Management in komplexen Netzwerken

Zentrales Management durch Sensor-Manager-Betrieb Angriffe können in verteilten Unternehmensnetzwerken oder landesweiten Behörden- und Regierungsnetzwerken an verschiedenen Stellen ansetzen. Für eine zuverlässige Angriffserkennung und -abwehr müssen in solchen Netz-werkstrukturen demzufolge viele Sensoren platziert werden.

Kein Problem mit den secunet snort NG Systemen: Sie lassen sich in beliebiger Anzahl als verteiltes System betreiben. Einzelne Sensoren werden dazu über die gesam-te IT-Infrastruktur verteilt und über einen Manager zentral konfiguriert, administriert und überwacht. Dezentral po-sitionierte Sensoren können auch über das Internet oder Virtual Private Networks mit dem zentralen Manager kom-munizieren. Die Kommunikation der secunet snort Systeme untereinander erfolgt verschlüsselt über das TLS-Proto-koll. Für die Kommunikation mit externen Systemen ste-hen verschlüsselte Protokolle wie HTTPS, SMTP via TLS, SNMP v.3 und SCP zur Verfügung.

secunet snort: Netzwerksicherheit für Netze jeder Art und Größe

Administration und Regeln für Sensoren Alle Einstellungen zum Scannen von Netzwerkpaketen und zur Erkennung von Angriffen werden auf dem secunet snort NG Manager über ein webbasiertes User Interface vorgenommen.

Neben den umfassenden Konfigurations- und Auto- Reporting-Funktionen verfügen Administratoren zudem über ein einfach handhabbares und anwenderfreundliches Updateverfahren. Dies erlaubt beispielsweise, mehrere Up-dates automatisiert einzuspielen oder beim Betrieb mehre-rer Sensoren ein Update auf einzelnen, dedizierten Sensor-systemen durchzuführen. Auch die Software-Distribution ist beim secunet snort NG Manager besonders einfach. Software-Updates werden auf dem Manager bereitgestellt und damit von zentraler Stelle auf die Sensoren verteilt und installiert. Die Möglichkeit, Updates parallel auszuführen, reduziert Aktionszeiten. Für die Administration vieler Sen-soren können Konfigurationseinstellungen als Regeln mit Hilfe von Templates einfach erstellt und einzelnen Sensoren zugeordnet werden. Das Kopieren solcher Policies für neue Sensoren ist leicht möglich. Um in Tests und Auditierungen von Konfigurationen auch unterschiedliche Versionen von Konfigurationen nachvollziehbar verwalten zu können, kann ein Im- und Export von Daten erfolgen.

Standort 1: secunet snort IPS NG

Zentraler Manager

HA-Manager

IPS-Sensor

Standort 2: secunet wall plus secunet snort IDS NG

IDS-Sensor

Mobiler Client

Standort 3: secunet snort IDS NG und IPS NG

IPS-Sensor

IDS-Sensor

Standort 4: secunet snort IPS NG als redundantes System

IPS-Sensor IPS-SensorHA-System

10

secunet snort NG: optimiert auf Einsatz-zweck und GeschwindigkeitIn die neue Generation der secunet snort NG Systeme haben wir unsere Erfahrungen aus vielen Jahren Produktentwicklung zur Absicherung von mittleren bis großen IT-Infrastrukturen eingebracht.

▀ Alle Produkte sind noch besser auf die Bedürfnisse der jeweiligen Einsatzum-gebung abgestimmt und können indivi-duell skaliert werden.

▀ Die secunet snort NG Sensoren und Manager sind für die schnelle Verarbei-tung von hohen Datenaufkommen ent-wickelt.

▀ Die secunet snort NG Manager sind speziell auf die Speicherung vieler Events und einer schnellen Verarbeitung der anfallenden Daten ausgelegt.

▀ Die Betriebssoftware der gesamten Appliance-Modellreihe beinhaltet eine Fehlerdiagnose für alle Hardwarekom-ponenten.

▀ Die Appliances der Modellreihe 500 NG und höher sind mit RAID sowie redun-danter Stromversorgung und Festplat-ten ausgestattet.

High-Speed-SensorenFür den Einsatz in großen Netzwerken mit vielen Sensoren und entsprechend ho-hem Datenaufkommen sind die secunet snort IDS 1000 NGx Sensoren vorgesehen. Die speziell entwickelte secunet snort NG Stream Distribution Technology garan-tiert die zuverlässige Verarbeitung größter Datenmengen. Durch parallele Nutzung mehrerer „IDS-Kerne“ kann die Verarbei-tung und Analyse der Daten nochmals be-schleunigt werden.

High AvailabilityAlle Sensoren und Manager der secunet snort NG verfügen über High-Availability-Funktionalitäten und können redundant ausgelegt werden. Im Falle einer Störung können automatisch und unverzüglich sämtliche Aufgaben durch ein Backup-System übernommen werden.

Made in Germanysecunet snort wird in Deutschland auf Basis der Open-Source-Software snort entwickelt. Unsere Kunden stellen hohe Anforderungen an die Sicherheit der Sys-teme in großen sensiblen Unternehmens- oder Behördennetzen und arbeiten Hand in Hand mit uns zusammen. Wir bieten Systemhandbücher, Service und einen 7/24-Support in Deutsch und Englisch an.

secunet snort NG Appliances

11

Modellübersicht secunet snort NG

Leistungsmerkmale secunet snort NG

Modell Empfohlene Bandbreite und Hardwareredundanz

RAID integr.

Sensor Sensor/Manager

Manager IDS IPS

200 NG Bis zu 200 MBit/s*Speicherung bis 55 Mio. Events** — ▀ ▀ — ▀ ▀

500 NG Bis zu 500 MBit/s*Speicherung bis 55 Mio. Events**Redundante Stromversorgung und HDD

▀ ▀ ▀ — ▀ ▀

1000 NGx Bis zu 2.000 MBit/s*Speicherung bis 55 Mio. Events**Redundante Stromversorgung und HDDKonsequente Auslegung auf die Verar-beitung extrem großer Datenmengen durch die gleichzeitige Nutzung mehrerer IDS-Kerne

▀ ▀ ▀ — ▀ —

Manager

Manager NG Speicherung bis 55 Mio. Events**Redundante Stromversorgung und HDD ▀ — — ▀ ▀ ▀

Ultra Manager NG

Speicherung bis 195 Mio. Events**Redundante Stromversorgung und HDD, Hot Spare HDDKonsequente Auslegung zur Speiche-rung großer Datenmengen und zum Management großer Netzwerke

▀ — — ▀ ▀ ▀

* Die Leistung kann in Abhängigkeit von der Konfiguration variieren.** Die tatsächliche Anzahl gespeicherter Events kann in Abhängigkeit von der Konfiguration variieren.

IDS NG IPS NG

Integration

Layer 2 (Inline-Modus) — ▀

Passiv (Sniffing-Modus) ▀ —

Dynamic Intrusion Detection und Intrusion Prevention

IDS-/IPS-Signaturen > 12.000 > 12.000

Individuelle Signaturen ▀ ▀Korrelation ▀ ▀

Auto-Prevention ▀ ▀Forensische Analyse ▀ ▀Anomalie-Erkennung ▀ ▀Traffic Trace ▀ ▀Port Scans ▀ ▀DoS ▀ ▀Buffer Overflow ▀ ▀Packet-Fragmentation-Angriff ▀ ▀UDP-Angrif ▀ ▀Application-Anomaly-Angriff ▀ ▀Application-Protocol-Analyse ▀ ▀RFC-Compliance-Prüfung ▀ ▀

IDS NG IPS NG

Systemmanagement

Sensormanagement ▀ ▀Anzahl Sensoren unlimitiert* unlimitiert*

Monitoring via SNMP ▀ ▀Hardwarediagnostik via SNMP (v1, v2, v3) ▀ ▀

High Availability ▀ ▀Logging

Interne Festplatte ▀ ▀Log an entferntem Syslog-Server ▀ ▀Log an SNMP-Server ▀ ▀E-Mail-Aussand bei Angriffen ▀ ▀Administration

Auto-Reporting ▀ ▀Automatisches Echtzeit-Update ▀ ▀Konsolen-Interface ▀ ▀Web-GUI (HTTPS) ▀ ▀Firewall-Modi und -Features

Layer 2/Layer 3 Firewall — ▀NAT, PAT — ▀Threshold-Analyse ▀ ▀Stateful Pattern Matching ▀ ▀

* Die tatsächliche Anzahl von Sensoren, die an ein Management angeschlossen werden kann, ist abhängig von der Konfiguration und liegt zwischen 150 und 300.

Weitere Informationen: www.secunet.com/snort

secunet Security Networks AG

Essen, Deutschland

Tel.: +49 201 5454-0

Fax: +49 201 5454-1000

E-Mail: info@secunet.com

www.secunet.com