Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.03.2003 - 

Infinistream speichert Netzaktivität

Spurenanalyse nach Hacker-Attacken

MÜNCHEN (CW) - Angreifern auf der Spur: Network Associates (NAI) erweitert seine "Sniffer"-Reihe um eine Komponente, die Administratoren bei der Analyse von Attacken und dem Finden von Schwachstellen hilft.

Hacker schlagen meistens in der Nacht oder am Wochenende zu, wenn sie sich unbeobachtet fühlen. Doch selbst wenn sie ihre Angriffe auf Unternehmensnetze am Tag starten würden, könnte es sich kein Administrator leisten, ständig den Netzverkehr auf verdächtiges Treiben hin zu überwachen. Hier will die NAI-Tochter Sniffer Technologies mit ihrer "Infinistream"-Lösung Abhilfe schaffen. IT-Profis sollen damit eine Möglichkeit bekommen, auch im Nachhinein den genauen Ablauf einer Attacke zu analysieren, um eventuell Rückschlüsse auf die Urheber ziehen zu können.

Hierzu erfasst die Lösung den kompletten Datenverkehr im Unternehmensnetz und speichert ihn auf einer "Capture Engine". Dabei handelt es sich um eine Storage Appliance auf Linux-Basis, die mit einem Raid-System (Raid = Redundant Array of Independent Disks) ausgestattet ist und laut Hersteller je nach Konfiguration 2,1 (bei Raid 5) oder 2,9 (bei Raid 0) Terabyte Speicherkapazität bietet. Über Filter lässt sich die aufzuzeichnende Datenmenge eingrenzen: So kann der Administrator festlegen, dass nur Datenströme über bestimmte Ports oder mit spezifischen IP-Ziel- beziehungsweise Absenderadressen überwacht werden sollen.

NAI macht eine Beispielrechnung auf: Bei einem Full-Duplex-Gigabit-Netz mit einer angenommenen Netzauslastung von etwa fünf Prozent würde die Kapazität der Maschine ausreichen, um zweieinhalb Tage lang den Datenverkehr mitzuschneiden. Läuft der Speicher dennoch voll, werden ältere Daten automatisch überschrieben. Rein theoretisch reicht das vorhandene Speichervolumen jedoch aus, um ein komplettes Wochenende zu überwachen. Erfolgt ein Angriff oder verbreitet sich ein Virus, kann der Vorfall am darauf folgenden Montag ausgewertet werden.

Dazu greifen Administratoren auf die zu der Lösung gehörenden Werkzeuge "Mining Console" und die "Reconstruction/Replay Software" zurück. Über die Mining Console lassen sich mehrere Capture Engines gleichzeitig ansprechen und Daten nach Protokollen sortiert analysieren. Das Gerät erkennt verschiedene Arten von Datenströmen, darunter E-Mail, Voice over IP (VoIP) sowie typischerweise im Netz auftretende Protokolle wie HTTP oder FTP. Die Reconstruction-Software soll zum Beispiel dabei helfen, genau die E-Mail aufzuspüren, mit der ein konkreter Virus ins Unternehmensnetz gelangt ist. Laut NAI kann die Netzaktivität dabei genau so wiedergegeben werden, wie sie zum Zeitpunkt des akuten Vorfalls stattgefunden hat.

Nach Ansicht von Paul Bugala, Senior Analyst bei International Data Corp. (IDC), überbrückt NAI mit Infinistream eine Lücke, die gegenwärtig zwischen den Bereichen Netz- und Sicherheits-Management klafft. Das Produkt ist ab 85000 Dollar zu haben. Im Preis enthalten sind die Capture Engine sowie die beiden Anwendungen. Allgemein verfügbar ist es ab dem dritten Quartal 2003. (ave)