Die Technik ist in jeder Platinum- und Diamond-DFE (Distribution-Forwarding-Engine) integriert und soll selbst bei Volllast aller Ports störungsfrei arbeiten. Bereits seit längeren verwendet Enterasys das Verfahren den Switches der "Matrix"-Serie und deren Vorgängermodellen.

In den vergangenen Monaten hat sich nach Angaben von Enterasys gezeigt, dass die Nutzung von Flow-Setup-Throttling den Kunden einen Zeitvorsprung bei der Abwehr von Gefahren im Netzwerk gibt.

Das Verfahren beruht auf der Analyse der Anzahl von Verbindungen (Flows), die ein System im Netzwerk aufbaut. Eine ungewöhnlich hohe Quote ist meist ein guter Indikator dafür, dass eine Ausbreitung eines Virus oder Wurms bevorsteht.

Verdächtige Ports sperren

Denn ein infiziertes System versucht, möglichst viele potenzielle Ziele im Netzwerk zu finden und zu diesen innerhalb möglichst kurzer Zeit eine Verbindung aufzubauen.

Verdächtige Ports können vollautomatisch desaktiviert werden. Außerdem lassen sich befallene Systeme mit Hilfe des "Netsight Automated Security Manager" in Quarantäne stecken.

"Die integrierte Anomalie-Erkennung gewinnt immer mehr an Bedeutung, insbesondere bei den heutigen Geschwindigkeiten im Netzwerk", sagt Markus Nispel, Director Solution-Architecture bei Enterasys Networks.

Entlastung für Intrusion-Detection-Systeme

"Traditionelle Intrusion-Detection-Systeme (IDS) können hier kaum Schritt halten und werden daher nur an bestimmten Punkten im Netz eingesetzt. Die integrierte Detection nimmt den IDS-Systemen diese Last ab und kann als Vorfilter verstanden werden", so der Fachmann weiter.

Enterasys plant, die Analysefunktion der Matrix-N-Serie an ihr eignes Intrusion-Detection- und -Prevention-System "Dragon Intrusion Defense" zu koppeln.

Außerdem will der Hersteller die Erkennungskünste auf der Switch-Seite weiter verfeinern, um noch präzisere Aussagen zu potenziellen Gefahren im Netzwerk machen zu können.

www.enterasys.com