Security-Lösung für professionellen Einsatz

Im Test: Die Unified-Threat-Management-Appliance D-Link DFL-860

18.04.2008 | Autor / Redakteur: Götz Güttich / Ulrich Roderer

UTM-Appliance (Unified Threat Management) DFL-860 von D-Link
UTM-Appliance (Unified Threat Management) DFL-860 von D-Link

Routing

Der nächste Menüpunkt befasst sich mit dem Routing. Hier lassen sich nicht nur Routing-Tabellen einsehen und anlegen, sondern auch Routing Rules festlegen, die angeben, welche Tabelle für welchen Verkehr Verwendung findet. Da die Appliance auch dynamisches Routing beherrscht, haben die zuständigen Mitarbeiter in diesem Menüpunkt zusätzlich die Option, Dynamic-Routing-Regeln zu definieren.

Dazu wählen sie statische oder via OSPF (Open Shortest Path First) erlernte Routen aus, die das System dann mit Hilfe von Action Rules weiterverarbeitet. Auf diese Weise werden die Routen bei Bedarf zu Einträgen in Routing-Tabellen. Alternativ lassen sie sich auch in OSPF-Prozesse exportieren.

Die Definition der OSPF-Prozesse selbst erfolgt im Unterpunkt „Routing/OSPF“ und läuft über Parameter wie Reference Bandwidth, Routes Holdtime und maximale RAM-Usage.

Intrusion Detection

Über „IDP/IPS“ führen die IT-Mitarbeiter die Konfiguration der integrierten Intrusion-Detection- beziehungsweise Intrusion-Protection-Funktionen aus. Hier gibt es unter anderem die Möglichkeit, die vorhandenen Signaturen einzusehen und IDP-Rules anzulegen, die beim Auftreten bestimmter Kriterien bestimmte Aktionen anstoßen.

Diese Regeln bestehen aus dem zu überwachenden Service, Quelle, Ziel und Gültigkeitszeitraum. Dazu kommen noch Aktionen (Protect, Audit, Ignore), die für die Regel gültige Signatur (zum Beispiel IDS_PACKINGTOOLS_GENERAL, IPS_HTTP_CGI oder POLICY_NETWARE_GENERAL) und die Severity (Scan, Notice, Attack, Virus, All). Auf Wunsch lässt sich für jede Regel auch eine Zone-Defense-Funktion (dazu später mehr) aktivieren und eine Blacklist einrichten. Bei den Signaturen unterscheidet der Hersteller übrigens zwischen IPS-, IDS- und Policy-Signaturen.

Die IPS-Signaturen arbeiten sehr genau und stellen die von D-Link empfohlene Wahl dar. IDS-Signaturen bringen ein größeres False-Positives-Risiko mit und eignen sich damit hauptsächlich für Audits, während Policy-Signaturen zum Blocken bestimmter Anwendungen zum Einsatz kommen. Bei Bedarf können die Administratoren mehrere Signaturen mit Hilfe von White-Cards zu einer Regel hinzufügen.

Generell rät D-Link aber von der Verwendung zu vieler Signaturen ab, da das Überwachen des Verkehrs mit der IDP-Funktion relativ viele Systemressourcen verbraucht. Administratoren sollten sich also im Vorfeld genau überlegen, welche Art von Verkehr sie schützen möchten. Allerdings hängt die Zahl der verwendbaren Signaturen auch von der allgemeinen Auslastung des Systems ab, so dass sie in jedem Anwendungsbereich unterschiedlich sein dürfte. Auch das müssen die IT-Verantwortlichen berücksichtigen. Sollte es nötig sein, den Verkehr bestimmter Hosts im Netz nicht über das Intrusion-Protection-System zu blocken, so können die Verantwortlichen diese Rechner jederzeit in eine White-List aufnehmen. Im Test funktionierte das auf Anhieb.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2012164 / Allgemein)