Im Test: Snort als Basis für umfangreiches Threat-Management

Die aktuelle Version der Netzwerk-Threat-Management-Lösung 3D System« von Sourcefire glänzt besonders mit stark vereinfachtem Deployment und Management. Network Computing hat sich das System, das Snort für Intrusion-Protection verwendet, genauer angesehen.

Sourcefire ist durch ihre IPS-Software »Snort« (Intrusion-Protection-System) bestens bekannt. Dass das Unternehmen auch eine hoch entwickelte Netzwerk-Threat-Management-Lösung offeriert, wissen hingegen nur wenige Sicherheits-Profis. Das sollte sich ändern, denn die Appliance »3D-System Version 4.8« arbeitet ganz hervorragend.

Die drei Hauptkonzepte hinter dieser Appliance sind simpel: interne und externe Bedrohungen entdecken, die Schwachstellen bestimmen und dann gegen die Bedrohungen verteidigen. Es handelt sich um eine Lösung mit mehreren Sensor-Appliances, die der Administrator an beliebigen Stellen im Netzwerk installiert. Über die Defence-Center-Appliance (DC) verwaltet er 3D-Sensoren zentral. Sourcefire offeriert verschiedene Sensoren für das Monitoring von Verbindungsgeschwindigkeiten von 5 MBit/s bis hinauf zu 10 GBit/s.

Die Sensoren verwenden das bekannte Snort, das Intrusion-Detection und -Prevention zur Verfügung stellt. Hinzu kommen Sourcefires Realtime-Network-Awareness (RNA) und Realtime-User-Awareness (RUA). RNA beobachtet interne und externe Systeme und sammelt detaillierte Informationen darüber. Dazu gehören die genutzten Betriebssysteme, ausgeführte Dienste und Applikationen sowie – das ist das Wichtigste – Schwachstellen.

1. Im Test: Snort als Basis für umfangreiches Threat-Management
2. Im Test: Snort als Basis für umfangreiches Threat-Management (Fortsetzung)
3. Fazit