Intrusion-Prevention

IDP Schema Zeichnung für die ZyWALL
Was ist Intrusion-Prevention?
Die IDP-Technologie von ZyXEL erkennt Schädlinge anhand von Mustern (Signaturen) und abnormalem Verhalten. Sie überprüft den Dateninhalt von mehreren IP-Paketen. Durch die Anomalie-Erkennung werden unbekannte Attacken auch aufgedeckt, ohne dass eine neue Signatur vorhanden sein muss.



Wie sicher ist Internet-Browsen?
Möchte man Internetseiten aufrufen, muss zwangsläufig der Port 80 für HTTP geöffnet sein. Da Webseiten oft mit dynamischen Inhalten (ActiveX, Cookies, PHP- und Java-Scripts etc.) programmiert sind, muss im Browser die Sicherheitseinstellung auf «tief» gesetzt sein, damit diese Inhalte angezeigt werden. Über den offenen Port gelangen unerwünschte Eindringlinge auf den Rechner. Die Schädlinge installieren und aktivieren sich meist automatisch. Ein Intrusion-Prevention-System erkennt solchen schädlichen Code während des Datentransfers über das Netzwerk und schützt die eingebundenen Rechner.



IDP versus Firewall
Eine Firewall kontrolliert Ports und IP-Adressen. Mit dem Stateful-Packet-Inspection-Mechanismus überprüft sie zudem ganze IP-Sessions auf die korrekte Einhaltung von RFC-Spezifikationen. Eine Intrusion-Prevention-Lösung hingegen untersucht den Dateninhalt von Paketen. Die Lösung von ZyXEL kann sogar fragmentierte IP-Pakete erkennen und analysieren.



IDP versus Anti-Virus-Scanner
Im Gegensatz zu einem Anti-Viren-Scanner erkennt die Intrusion-Prevention ein abnormales Datenaufkommen, das durch Schädlinge generiert wird. Die IDP bekämpft also mit der Anomalie-Erkennung nicht nur die Schädlinge selbst, sondern auch deren Wirkung anhand von bestimmten Datenmustern. Der IT-Administrator kann den Schädling in einem zweiten Schritt eliminieren.

IDP-Signaturen der ZyWALL
Die ZyWALL umfasst über 1'800 IDP-Signaturen, die stündlich automatisch aktualisiert werden können. Die Datenbank erkennt Schädlinge aus 12 Kategorien wie z. B. Buffer-Overflows, Access-Control, Trojaner, Würmer, Peer-to-Peer-Applikationen etc. Die jeweiligen Blockiermassnahmen der Signaturen sind bereits vorkonfiguriert. Der IT-Manager kann deshalb sehr schnell ein System in Betrieb nehmen und später Anpassungen vornehmen.

Keine Chance für BitTorrent, eDonkey, Kazaa oder Skype
Peer-to-Peer (P2P)- und Messaging-Applikationen sind gefährliche Anwendungen für die ganze IT-Infrastruktur. Sie suchen über offene Ports automatisch den Weg zum Internet und umgehen so praktisch jede normale Firewall. Das Intrusion-Prevention-System kontrolliert den gesamten Datenverkehr und kann gezielt P2P-Inhalte blockieren. Legitime Dateninhalte werden ungehindert weitergeleitet.