.kernkompetenzen
SNORT Intrusion Detection, Intrusion Prevention
Intrusion Detection und Prevention auf Open Source Basis

Intrusion Dectection (IDS) wird im Internet immer wichtiger. Einbruchsversuche auf Basis bekannter Schwachstellen in eingesetzter Software stehen an der Tagesordnung. Whiz Kiddies, Script Kiddies und andere, technisch weitaus weniger versiert als "echte Hacker", greifen mit vorgefertigten Lösungen und gutem Support durch "31337 hxqr" (elite hackers) im grossen Massstab businesskritische Systeme an.

Mit SNORT gibt es schon seit längerem ein Open Source Werzeug, dass sich in Open Source basierte Unix-ähnliche Umgebungen gut intergrieren lässt. SNORT erkennt Einbruchsversuche in überwachte Netzwerke auf Basis von "Fingerprints" -- typischen Erkennungs-Spuren von bekannten "Exploits". Diese Exploits sind bekannte
Schwachstellen in Softwarepaketen. Zu diesen gibt es oftmals schon automatisierte Einbruchstools, deren Anwendung SNORT meldet.

Intrusion Prevention

Doch Erkennen alleine ist nicht alles. Intrusion Prevention Systems (IPS) verhindern Einbrüche!
Mit Snort-inline gibt es eine Erweiterung, mit der Snort in der Verbindung mit einer Linux Firewall den Netzwerkverkehr von Einruchsversuchen und Viren säubert. SNORT-Inline untersucht den Netzwerktraffic, der durch die Firewall fliesst, und kann bei Verdacht auf bösartige Versuche genau diese Kommunikation unterbinden -- ohne jedoch gewollte Kommunikation mit dem angreifenden Rechner dadurch stark zu beeinträchtigen. Es werden lediglich die mit bösartigen Signaturen behafteten Datenpakete aus dem sonst unverändert erlaubten Datenstrom entfernt.

Nagios Integration

CUBiT kann Snort mit Nagios derart integrieren, dass die Alarmierung durch Nagios erfolgt. Desweiteren komplettiert CUBiT dadurch seine Nagios Security Initiative, zu der auch eine chkrootkit-Einbindung in Nagios gehört.

CUBiT berät Sie aktiv, an welchen Stellen im Netzwerk welche Sicherheitsüberprüfungen sinnvoll eingesetzt werden können. Wir unterstützen Sie bei der Hardwareauswahl, Sizing, und einer geclusterten, ausfallsicheren Konfiguration. Denn bei Ausfall Ihres Security-Gateways (bei Anwendung von Traffic-Filtern) ist die geschützte Anwendung ebenfalls offline. Daher ist eine gesicherte Konzeptionierung, gefolgt von einer geordneten Einführung und einem -- optional von uns betreuten -- stabilen Produktionsbetrieb notwendig!

Das hält die Anwendungen nicht nur verfügbar, sondern schützt, bei regelmässiger Pflege der Signaturen und entsprechenden Updates, deutlich vor Angreifern und Hackversuchen.

Interessiert? Wir beraten Sie selbstverständlich jederzeit gerne! Bitte wenden Sie sich an uns!

Paul.Witta@CUBiT.at
+43 1 7189880 0