Fliegl, D., Baur, T., Reiser, H., Schmidt, B. (2006):

Ein generisches Intrusion Prevention System mit dynamischer Bandbreitenbeschränkung

Metropolitan Area Networks wie das Münchner Wissenschaftsnetz (MWN) bieten aufgrund ihrer Größe viele Missbrauchsmöglichkeiten von aussen und zunehmend auch von innen. So stellen beispielsweise durch Würmer und Viren verseuchte Systeme längst keine Einzelfälle mehr dar. Regelmässig kommt es dadurch zu Beschwerden anderer Nutzer und auch zu Beeinträchtigungen von ganzen Netzbereichen. Zudem lassen sich die meisten infizierten Rechner durch sog. Bot-Netz Kommandos komplett fernsteuern oder ausspähen. In Folge fällt auf der Administrationsseite durch die manuelle Reaktion und Bearbeitung solcher Problemfälle ein erheblicher Aufwand an. Um diesen Bearbeitungsaufwand zu verringern, gleichzeitig aber das Sicherheitsniveau zu erhöhen, wurde am Leibniz--Rechenzentrum (LRZ) ein generisches Intrusion Prevention System (IPS) entwickelt. Dieses System --- Nat-O-Mat --- realisiert ein statistisches und signaturbasiertes Intrusion Prevention System mit einer feingranularen Verwaltung von Policies. Darüber hinaus können bei Verstößen gegen die festgelegten Policies nach einem Eskalationsprinzip automatisch unterschiedliche Maßnahmen ergriffen werden. Auch kann die Bandbreite für beliebige Protokollklassen, wie z.B. P2P-Verkehr, dynamisch beschränkt werden, ohne den restlichen Verkehr zu behindern. Das System hat sich im Einsatz hervorragend bewährt und führte auf Administratorenseite zu deutlichen Erleichterungen im Betrieb des Netzes bei gleichzeitig positiver Resonanz auf Seiten der Nutzer.

• PDF Version (321.9 KB)