Sourcefire: Intrusion Detection in der Praxis

Signatur- und Firmware-Updates

Wie bei einem Antivirensystem benötigt auch die Sourcefire IDS Signaturen, um Angriffe zuverlässig erkennen zu können. Allerdings variieren die Attacken deutlich weniger als bei Malware. Für das IDS kommen die gleichen Updates wie bei Snort zum Einsatz. Sourcefire aktualisiert die Datenbanken in regelmäßigen Abständen. Zunächst erhalten Abonnenten die neuen Signaturen, nach einiger Zeit stehen die Informationen allen zur Verfügung. Die Dateien lassen sich zentral herunterladen und anschließend auf die angeschlossenen Geräte per Push-Befehl verteilen.

Neben VRT-Updates erhalten Anwender auch immer wieder Updates für die Firmware der eingesetzten Geräte. Praktischerweise lassen sich die Aktualisierungen sowohl beim Defense Center als auch bei den Sensoren direkt über das Web-Interface herunterladen und einspielen. Außerdem ist es möglich, zu einer früheren Version zurückzukehren. Sollte der Internetzugriff nicht vorhanden sein, etwa wegen einer gegenwärtigen Attacke auf das Netzwerk, können Updates auch direkt auf das Defense Center und die Sensoren eingespielt werden.