Angriffe abwehren

Die Software "Entercept" von Clicknet soll im Unterschied zu herkömmlichen Intrusion-Detection-Tools Hackerattacken auf das Unternehmensnetz nicht nur aufspüren, sondern verhindern. Der Hersteller erweiterte sein Angebot um das Intrusion-Prevention-Programm, nachdem er die Firma Corekt Technologies, Entwickler des Werkzeugs, aufgekauft hat.

Die Software unterbricht Aufrufe von Diensten, die nach einer vordefinierten Regelbasis gefährlich sind. Außerdem vergleicht das Programm den Datenverkehr mit Angriffsmustern aus einer Signaturdatenbank und blockt auf diese Weise Bufferüberläufe, Getadmin-Zugriffe und andere bekannte Attacken. Entercept kontrolliert Änderungen der NT-Registratur und erlaubt oder verbietet Aktionen wie "Delete", "Modify", "Perm", "Read" und "Enumerate". Dadurch soll das Tool verhindern, daß sich Trojanische Pferde in einen Rechner einnisten.

So wie Host-basierte Intrusion-Detection-Systeme arbeitet Entercept mit Agenten, welche auf jedem Rechner installiert werden und dort wachen. Es gibt Clients für Windows NT und Solaris. Eine zentrale Managementkonsole für Windows NT dient zur Konfiguration und Überwachung der Agenten.

Bei Attacken kann die Software unterschiedlich reagieren. Je nach den Wünschen des Anwenders sendet sie eine Meldung an die Konsole, verhindert sie den Start schädlichen Codes, hält sie den Prozeß an, der einen Trojaner startet, oder meldet sie den Benutzer vom System ab. Was passieren soll, definiert der Anwender in einer Security-Policy.

Alle Angriffsmuster wurden von den Entwicklern in vier Gefahrenstufen eingeteilt, damit der Benutzer Richtlinien für die Reaktion des Programms auf Angriffe leichter erstellen kann. Dabei kann er die Zuordnung der Signaturen zu den Kategorien seinen Vorstellungen gemäß ändern. (kpl)

Clicknet Software

Tel. 0 80 42/45 00

Fax 0 80 42/51 05

www.clicknet.co.uk