Detektive fürs LAN: Intrusion Detection-Systeme im Test

Der Hauptunterschied zwischen der IPS-Sicherheitssoftware von McAfee im Vergleich zu anderen Anwendungen, beispielsweise von Computer Associates oder Snort, besteht in der Tatsache, dass die Software von McAfee als individuelles verteiltes Host-basiertes System ausgelegt ist, also als letzte Verteidigungslinie. Die beiden anderen Anwendungen sind zwar auch als unabhängige Host-basierte Single-Port-Systeme konfigurierbar, aber im Grunde darauf ausgelegt, als netzwerkweite Überwachungssysteme zu arbeiten.

Dieser Host-basierte Schutz als letzte Verteidigungslinie ist vergleichbar mit Firewallsystemen auf einer Karte. Diese Firewallsysteme sind in einer PCI-Karte integriert, die die Network Interface Card (NIC) am Host-Rechner ersetzen und eine letzte Verteidigungslinie gegen Eindringlinge auf dem speziellen Rechner bieten soll. In vergleichbarer Weise wird bei McAfee Entercept der IPS-Agent direkt auf dem jeweiligen Rechner positioniert, von wo aus er an einen zentralen Managementserver berichtet.

Je mehr Hindernisse ein Sicherheitsteam potenziellen Hackern in einem Netzwerk in den Weg stellen kann, desto besser sind die Chancen, die Angriffe abwehren zu können oder ein gut funktionierendes Warnsystem einzurichten. Bei der Anwendung dieses Sicherheitskonzepts, das in Schichten aufgeteilt ist, kommt es vor allem darauf an, sicherzustellen, dass die Systemverwaltung durch das Sicherheitsteam in Bezug auf Zeit- und Ressourcenaufwand nicht ins Uferlose wächst.

Installation, Konfiguration und Verwaltung des Entercept 5.0-Pakets verliefen problemlos. In der Eingangsinstallation kann der Benutzer festlegen, ob er einen Managementserver, eine Konsole oder einen Agenten installieren will. Im Test wurden alle drei Optionen auf einem Rechner installiert, wobei der Administrator für die Datenbank einen zentralen Managementserver mit SQL-Server, eine gesonderte Konsole zur Verwaltung und verschiedene Agenten auf den zu schützenden Host-Rechnern auswählen konnte.

Die Installationsroutine sieht optional die Installation der Microsoft SQL Server Desktop Engine (MSDE) oder die Ausführung eines SQL-Servers vor. Bei der Installation wird auch Crystal Reports 9 installiert.

Dieses Produkt eignet sich hervorragend als letzte Verteidigungslinie oder auch zur gezielten Absicherung, wenn bestimmte Rechner im Netzwerk eine IDS-/IPS-Überwachung benötigen. Dies ist besonders bei offenen Netzwerken mit nicht klar definierten Grenzen interessant, bei denen das Sicherheitsteam jeden Netzwerkknoten als potenzielle Gefährdung betrachten muss. Dabei darf man nicht vergessen, dass die Datenaufzeichnungen von IDS-/IPS-Systemen sehr umfangreich sein können. Verfügt das Sicherheitsteam also nicht über genügend Mitarbeiter oder erlaubt das Budget keine umfassende Netzwerküberwachung, können zumindest die wichtigsten Host-Rechner geschützt werden.