IDS / IPS

Das Intrusion Detection / Prevention System ("IDS / IPS") pflegt eine Datenbank bekannter Bedrohungen, um die Computer in Ihrem Netzwerk vor einem breiten Spektrum von feindlichen Angriffen zu schützen, Warnmeldungen auszugeben, wenn solche Bedrohungen festgestellt werden, und die Kommunikationsverbindung zu feindlichen Quellen zu beenden. Das System zur Erkennung und Bekämpfung von Netzwerkbedrohungen basiert auf Suricata.

Seine Bedrohungsdatenbank besteht aus einem von ProofPoint bereitgestellten, ausführlichen Regelsatz. Dieser Regelsatz enthält eine Blacklist mit IP-Adressen, Muster zur Erkennung von Malware in Kommunikationsverbindungen, Muster für Netzwerk-Scans, Muster für Brute-Force-Angriffe und mehr. Im IDS-Modus generiert die IDS / IPS-Vorrichtung lediglich Warnmeldungen, wenn eine Regel auf den Datenverkehr zutrifft. Im IPS-Modus generiert die IDS / IPS-Vorrichtung Warnmeldungen und blockiert bösartigen Datenverkehr zusätzlich. Sobald Sie IDS / IPS aktivieren, sind alle Regeln standardmäßig aktiv. Falls Dienste fälschlicherweise im Netzwerk von IDS / IPS blockiert werden, können Sie die IDS / IPS-Vorrichtung so konfigurieren, dass sie die Regel ignoriert, die den falschen Alarm ausgelöst hat.

Wenn die IDS / IPS-Vorrichtung aktiviert ist, scannt sie durchgehend den gesamten Datenverkehr.

Wichtig:

IDS / IPS ist in der UTM-Lizenz enthalten. Wenn Sie Ihre LANCOM R&S®Unified Firewall das erste Mal starten, läuft IDS / IPS 30 Tage als Testversion. Nach Ablauf dieser Frist wird IDS / IPS automatisch deaktiviert. Weitere Informationen zu den Lizenzen finden Sie unter Lizenz.

Navigieren Sie zu UTM > IDS/IPS, um ein Bearbeitungsfenster zu öffnen, in dem Sie die IDS / IPS-Einstellungen anzeigen, aktivieren und anpassen können.

Im Bearbeitungsfenster IDS/IPS können Sie die folgenden Elemente konfigurieren:

Eingabefeld Beschreibung
I/0 Ein Schiebeschalter gibt an, ob der jeweilige IDS / IPS aktiv (I) oder inaktiv (0) ist. Klicken Sie auf den Schiebeschalter, um den Status von IDS / IPS zu ändern. IDS / IPS ist standardmäßig deaktiviert.
IDS/IPS-Lizenz Dieses Feld zeigt die Lizenzinformationen zu IDS / IPS an.
Modus Wählen Sie den gewünschten IDS / IPS-Modus aus, indem Sie die entsprechende Optionsschaltfläche auswählen. Die folgenden Modi sind verfügbar:
  • IDS (Ereignisse loggen) – In diesem Modus werden Ereignisse lediglich aufgezeichnet. Es wird keine Aktion ausgelöst.
  • IPS Drop (Pakete verwerfen und loggen) – Wenn ein Ereignis ausgelöst wird, werden die Pakete in Verbindung mit dem Ereignis ohne Mitteilung an den Absender verworfen. Ein Protokolleintrag wird erstellt.
  • IPS Reject (Pakete ablehnen und loggen) – Wenn ein Ereignis ausgelöst wird, werden die Pakete in Verbindung mit dem Ereignis abgelehnt. Bei TCP-Verbindungen sendet Ihre LANCOM R&S®Unified Firewall hierzu ein RST-Paket an den Absender und erstellt einen Protokolleintrag (siehe auch Protokolle).

Im Tab Regeln legen Sie IDS / IPS-Regeln fest, die ignoriert werden sollen. Fügen Sie beliebig viele Regeln hinzu.

Eingabefeld Beschreibung
SID Geben Sie die eindeutige Signatur-ID (SID) einer Regel ein und klicken Sie auf , um die Regel zur Liste hinzuzufügen. Sie können einzelne Einträge in der Liste bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken. Die SID einer Regel entnehmen Sie dem entsprechenden Protokolleintrag (siehe auch Protokolle). Weitere Informationen finden Sie unter Symbole und Schaltflächen.
Beschreibung Optional: In dieses Eingabefeld können Sie zusätzliche Informationen zur IDS / IPS-Regel, die ignoriert werden soll, eintragen. Wenn Sie dieses Feld freilassen, wird es automatisch gefüllt, sobald Ihre LANCOM R&S®Unified Firewall auf eine Regel stößt, die mit der Signatur-ID übereinstimmt.

Alternativ können Sie IDS / IPS-Regeln, die ignoriert werden sollen, aus dem Systemprotokoll auswählen und hinzufügen. Weitere Informationen finden Sie unter Systemprotokoll.

Mit der Schaltfläche Ignorierte Regeln löschen unten links im Bearbeitungsfenster können Sie alle ignorierten IDS / IPS-Regeln gleichzeitig entfernen.

Im Tab können Sie Profile für automatische IDS / IPS-Aktualisierungen erstellen:

Eingabefeld Beschreibung
Von Geben Sie den Zeitpunkt der ersten automatischen IDS / IPS-Aktualisierung ein. Sie können das Datum im Format MM/TT/JJJJ eingeben oder im Auswahlfenster ein Datum auswählen. Geben Sie die Uhrzeit im Format hh:mm:ss ein.
Intervall Geben Sie das Aktualisierungsintervall für IDS / IPS in Stunden an. Wenn Sie 0 Stunden eingeben, wird die Aktualisierung sofort durchgeführt.

Klicken Sie auf Hinzufügen, um das Profil zur Liste hinzuzufügen. Sie können einzelne Einträge in der Liste bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken.

Weitere Informationen finden Sie unter Symbole und Schaltflächen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

www.lancom-systems.de

LANCOM Systems GmbH | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E-Mail info@lancom.de

LANCOM Logo