computerwoche.de

Archiv

Attrappen-Server als Schutzinstrument

Symantec legt Köder für Hacker aus

18.07.2003
MÜNCHEN (CW) - Mit drei neuen Sicherheitsprodukten baut Symantec seine Palette an Tools für die Einbruchserkennung aus. Unternehmen sollen mit "Decoy Server 3.1", "Manhunt 3.0" und "Host IDS 4.1" Bedrohungen nicht nur besser identifizieren, sondern auch gezielter darauf reagieren können.

Mit Speck fängt man Mäuse: Getreu diesem Motto bringt der Sicherheitsspezialist Symantec neue Intrusion-Detection-Systems- (IDS-)Lösungen auf den Markt, die nicht nur Angriffsversuche entdecken und verhindern, sondern Unternehmen zusätzlich auch helfen sollen, unter Umständen deren Urheber zu ermitteln.

Mit falschen Servern Hacker bewusst in die Irre führen

Wichtiges Werkzeug hierzu ist Symantecs "Decoy-Server", mit dessen Hilfe Unternehmen eine Falle für Hacker auslegen können. Die Software stammt aus der Übernahme des Herstellers Recourse im Juli 2002 und war bislang unter der Bezeichnung "Mantrap" verfügbar. Symantec hat die Bedienoberfläche überarbeitet und das generelle Look-and-Feel verändert. Der Decoy-Server ist eine Attrappe, denn hier werden auf einem realen Rechner zwei oder mehrere Server simuliert (so genannte "Cages"). Symantec empfiehlt als Prozessorbasis Suns "Ultra" ab Version 5 oder einen Intel-Prozessor ab Pentium II, der Suns Hardware Compatibility Lists (HCL) entspricht. Damit die Illusion möglichst echt wirkt, umfasst die Simulation auch einen Mail-Server, der zwischen den virtuellen Anwendern der Cages sogar E-Mail-Verkehr fließen lässt.

Angriffe auf Attrappen-Server werden mitgeschnitten

Attackiert ein Hacker den Decoy-Server, halten dessen Protokollierungs-Module die Details des Angriffs fest. Die Aufzeichnungen lassen sich anschließend auswerten und die Attacken sogar wieder abspielen. Auf diese Weise können Administratoren rekonstruieren, welche Schwachstellen von den Angreifern wie ausgenutzt werden können. Zudem soll dies auch dabei helfen, unnötige Fehlalarme von Intrusion-Detection-Lösungen im Unternehmensnetz zu reduzieren. Eine Lizenz für zwei Cages des Servers kostet rund 9200 Euro.

Die neue Version des in erster Linie auf die Überwachung der Netzinfrastruktur ausgerichteten IDS-Produkts Manhunt enthält eine zusätzliche Funktion, mit der sich nicht nur Signaturen von Angriffen verteilen, sondern auch die Technik der Manhunt-Sensoren selbst anpassen lässt. Dies geschieht auf Basis von Informationen aus Symantecs "Security-Response"-Abteilung und umfasst unter anderem auch Regeln, um Event-Daten zu verfeinern und Attacken zu entdecken. Die Software läuft ab sofort auch auf Linux: Der Hersteller gibt Red Hats "Linux 8" als Vorraussetzung an.

Neu ist auch das Lizenzierungsmodell für die Software. Symantec rechnet künftig nicht mehr pauschal nach der generell unterstützten Bandbreite der Lösung ab, sondern kalkuliert nach der tatsächlich anfallenden Menge an verdächtigen Datenverkehr. Ein Beispiel: Bei 100 Mbit/s fallen laut Hersteller rund 9200 Euro an Kosten an.

Speziell auf den Schutz von Servern im Unternehmen ist Host IDS 4.1 ausgerichtet. Das bislang unter der Bezeichnung "Intruder Alert" von Symantec erhältliche Produkt bietet in der neuen Version Prozess-Management-Funktionen, mit denen Administratoren bestimmte IT-Prozesse definieren und ungewöhnliche Ereignisse verhindern können sollen. Von einer zentralen Konsole aus lassen sich Regeln für das Überwachen der Server und Reaktionen auf festgestellte Aktivitäten erstellen und verteilen. Der Preis für das Tool beträgt pro Serverlizenz rund 1200 Euro. Sämtliche neuen Produkte sind ab sofort erhältlich. (ave)