Der Netzwerkverkehr, der die Unternehmensfirewall passiert, sollte auf jeden Fall inhaltlich kontrolliert werden. So können zum Beispiel Angriffe auf Ihre Web-Server oder weiter hinten liegende Komponenten wie Datenbanken mittels üblicher Angriffe (SQL-Injection) erfolgen. Hier schaffen für den eingehenden Web-Verkehr Web Application Firewalls (WAF) Abhilfe. Eine AllzweckWAFfe gegen alle Angriffe ist aber ein IPS, genauer ein Network Intrusion Prevention System, das den Netzwerkverkehr an einer zentralen Stelle untersuchen kann.
Mithilfe eines Stand-Alone Intrusion Prevention Systems oder aber mit einem in die Firewall integrierten IPS können solche Angriffe erkannt und verhindert werden.
Hierbei gibt es allerdings eine Menge zu beachten. Wir helfen Ihnen bei der Auswahl einer IPS-Lösung ebenso wie beim Aufbau einer IPS-Architektur wie bei der Konfiguration. Für unsere Kunden betreiben wir auch größere Umgebungen mit mehreren IPS-Systemen und helfen bei der Beseitigung von sog. False-Positives, die gewünschten Verkehr beeinträchtigen können.
In sensiblen Umgebungen ist u. U. auch der Einsatz von Intrusion Detection Systemen im Firmennetz sinnvoll, wenn die Personaldecke das Auwerten von Logdaten zulässt oder eine wirklich funktionierende und sauber konfigurierte SIEM-Lösung (Security Information and Event Management) die Logdaten entgegennimmt und auswertet.
Ein Problem bei der inhaltsbezogenen Untersuchung von Netzwerkverkehr ist der stetig steigende Anteil von verschlüsselter Kommunikation. Hier gilt es, zum Schutz des Unternehmens, den gesamten Netzwerkverkehr zu kontrollieren, denn Angriffe und Schadcode stecken nicht nur im HTTP- sondern auch im HTTPS-Traffic. Um die umfüngliche Funktionalität Ihres IPS zu ermöglichen, sollten Sie das Aufbrechen des verschlüsselten Netzwerkverkehrs an geeigneter Stelle erwägen. Auch hier steht eine Vielzahl von Lösungen zur Verfügung.
Wir beraten Sie gerne bei der Optimierung Ihrer Netzwerksicherheit.