 |
Observer® 12 nun verfügbar
Mit Freude geben wir unsere neue Version 12 bekannt. Diese beinhaltet MPLS Analyse, Unterstützung weiterer Hersteller im VoIP-Bereich, automatisierte MultiHop-Analyse, SMB-Applikationsanalyse, SSL-Entschlüsselung und volle Unterstützung von IPv6. Außerdem ermöglicht GigaStor™ Security Forensik das Einpflegen von Snort-Regeln für Intrusion Detection, um Tausende von Sicherheitsverletzungen und verdächtiger Netzwerkanomalien zu erkennen. Der neue Observer Reporting Server ermöglicht ein unternehmensweites Reporting von Netzwerk- und Applikationsaktivitäten, indem es Daten aus mehreren Probes zusammenfaßt und aggregierte Reports erstellt.
Erfahren Sie mehr |
|
In der Praxis: GigaStor Security-Forensik
Übersicht
GigaStor Security-Forensik ist eine wichtige dritte Komponente der retrospektiven Analyse, um schnell und sicher feststellen zu können, ob ein Performance-Problem durch das Netzwerk, Applikation oder eine Sicherheitsverletzung bedingt ist. Security Forensik ist zudem sehr wichtig für alle Compliance- und Sicherheitsnachforschungen. |
Die Version 12 beinhaltet in allen GigaStor-Appliances die neue Funktionalität Security Forensik. GigaStor Security Forensik beantwortet Ihnen schnell und sicher die wichtige Frage. War es das Netzwerk?, War es die Applikation?, oder War es eine Sicherheitsverletzung? bei der Fehlersuche im Netzwerk. Sobald eine Sicherheitsverletzung erkannt wurde, ermöglicht Ihnen die GigaStor eine tiefergehende Analyse, um die Ursache, Quelle und Zeit festzustellen und bis auf die Paketebene „einzutauchen“. |
 |
Mit der Hilfe von GigaStor Security Forensik können Sie Sicherheitsverletzungen im Kontext mit allen anderen Netzwerkaktivitäten sehen, die in Ihrem Netzwerk zu dieser Zeit aufgetreten sind. Zum Beispiel können herkömmliche IDS-Systeme Sie lediglich darüber informieren, daß ein Angriff oder Hacker-Script stattgefunden hat. GigaStor ergänzt dies mit tiefergehenden Informationen, wie der Suche nach dem infizierten Laptop, der sich Minuten zuvor ins Netzwerk verbunden hat. Sie könnten auch andere Netzwerkgeräte und Stationen sehen, die mit dem Laptop in Kommunikation standen.
Zusätzlich zur Problemeingrenzung hilft GigaStor Security Forensik bei Compliance- und Sicherheitsnachforschungen. Wie eine Überwachungskamera agierend, bietet die GigaStor eine unabhängige, unveränderte Sicht des vollständigen Netzwerkverkehrs und -Aktivität, um Datentransfers und Kommunikationen, so wie sie exakt stattgefunden haben, wieder nachzubilden. Einzigartig bei der GigaStor ist auch die Möglichkeit, früher aufgenommenen Netzwerkverkehr nach neuen Signaturen, die erst nach dem Angriff erschienen sind, „abzuscannen“. Dies ermöglicht, vorher unbekannte “Zero-Day” Angriffe zu erkennen.
Die neue Funktionalität der GigaStor kann Ihnen helfen, deutlich mehr Probleme schneller und sicherer einzugrenzen. Eine Zusammenarbeit zwischen Netzwerk-, Applikation- und Sicherheit-beauftrageten Spezialisten wird zudem ermöglicht. Zudem besteht die Möglichkeit mehrere Tage alte Daten nach neuen Signaturen “abzuscannen” und damit neu aufkommende Risiken zu reduzieren.
Tech Tip: Snort-Regel aufsuchen und importieren
GigaStor Security Forensik versteht die Snort-Regel Syntax. Diese Syntax wird durch die führende Intrusion Detection Lösung, Snort (www.snort.org), eingesetzt, so wie auch von anderen Open-Source-Entwicklern von Signaturen, wie Bleeding Edge of Snort (www.bleedingsnort.com). Die Snort-Regeln, bzw. Signaturen erkennen Hacker-Angriffe, Netzwerk-Anomalitäten und Sicherheitsverletzungen. Wie bei einer Anti-Virus-Lösung sin immer wieder neue Regeln und Signaturen nötig. Anbieter wie Snort.org bieten Zugang zu den allerneuesten Regeln auf der Basis eines Abonnements.
- Regel, die von einer Open-Source Intrusion Detection Web-Seite heruntergeladen werden, stehen üblicherweise als gzip (GNU Zip) komprimierte Dateien mit der Extension “*.gz” zur Verfügung. Diese Dateien können mit WinRAR oder anderer Packsoftware geöffnet werden.
- Im Observer im GigaStor Control Panel klicken Sie das Analyze-Icon im oberen Menü.
- Im Analysis Options Menü unter Forensic Analysis wählen Sie als Profile das Default Forensics Profile aus und klicken Sie auf Edit. Dies führt Sie zum Forensic Settings Panel.
- Vom Forensic Settings Panel klicken Sie auf “Import Snort Files…”
- Dann wählen Sie das Verzeichnis aus, wo Sie Ihre Snort-Regel-Dateien entpackt hatten und wählen Sie alle Dateien aus. Klicken Sie dann auf Öffnen und die GigaStor wird damit beginnen, die Snort-Regeln zu laden.
- Am Ende des Ladevorgangs erscheint die Snort File Import Summary Fenster. Diese Übersicht zeigt eine Zusammenfassung der geladenen Regeln und Fehler, die beim Laden aufgetreten sind. Einige Fehler treten immer auf, da es sich um Open Source handelt. Klicken Sie auf Schließen um fortzufahren.
- Unter Forensic Settings, klicken Sie auf Edit neben “Rules profile”, um die Snort Regeln zu bearbeiten.
- In der “Rules profile” Anzeige, können Sie einzelne Regeln auswählen oder mit der rechten Maustaste auf die weiße Fläche neben den Regeln klicken und mit “Select All Rules” alle importierten Regeln auswählen. Dann klicken Sie auf OK um fortzufahren.
- Nachdem GigaStor Security Forensics alle Regeln kompilliert hat, wird die Snort Compilation Errors Anzeige alle während der Kompillierung aufgetretenen Fehler anzeigen. Sie können diese Anzeige mit Close schließen. Damit ist die Komplillierung der Regeln abgeschlossen.
|
 |
April 2007 
