Ally IP 1000 von LINDY - Heuristische Schadstoff-Erkennung statt Muster-Vergleich

CeBIT 2007: Neue embedded Security-Lösung sichert große Unternehmensnetze heuristisch

Mannheim, 20. Februar 2007

Nach der erfolgreichen Markteinführung des kleineren Ally IP100 Ende vergangenen Jahres bringt LINDY nun Ally IP1000, die Lösung für große Unternehmensnetze, in Deutschland und weiteren europäischen Ländern auf den Markt.

Im Vergleich zum kleinen Bruder, unterscheidet sich das 19 Zoll-Gerät nicht nur durch mehrere ergänzende Features sondern auch durch den wesentlich höheren Datendurchsatz des Gigabit Device, das für Netzwerke mit mehreren 1000 Clients konzipiert wurde. Die Lösung verhindert das Ausspionieren des Unternehmens-Netzwerks durch verschiedene Angriffsvarianten, durch Spoofing, Session Hijacking oder Protokoll-Missbrauch sowohl innerhalb des LANs, als auch an dessen Grenzen, sofern erforderlich durch Blockieren von IP-Adressen oder Ports.

Die eigenständige, embedded Sicherheitslösung arbeitet mit einer vollständig auf Hardware-Ebene ablaufenden Überwachung, die zudem auf unterster IP-Stack-Protokollebene stattfindet und damit einen der besonderen Eckpfeiler dieses Security Devices bildet. Während die Überprüfungs-Prozesse im fest verdrahteten, und damit nicht veränderbaren Bereich ablaufen, steht das darauf aufbauende Linux-System lediglich für die Administrations-Aufgaben zur Verfügung.

Das 19-Zoll-Gerät wird mit einer AMD Opteron 64 Bit CPU ausgeliefert und ermöglicht Speichererweiterungen bis zu 4 GByte, was selbst bei hohem Netzwerk-Traffic oder eventuellen Attacken den Gigabyte-Datenstrom problemlos aufrechterhalten kann.

Perfekte Ergänzung zur bestehenden Firewall

Auch bei einer noch so guten Firewall-Lösung ist das Netzwerk intern Gefahren durch unterschiedlichste, häufig unabsichtlich eingebrachte Malware ausgesetzt. So werden verdächtige Datenpakete und Aktivitäten identifiziert, die beispielsweise über CDs, USB-Sticks, Notebooks oder gar Wireless Access Points ins Unternehmensnetz gelangen. Durch Überwachung des Datenverkehrs im gesamten Netzwerk werden unter anderem anhand von Häufigkeits-Analysen Anomalien aufgespürt und bewertet, die beispielsweise einen Hinweis auf Trojaner-Aktivitäten geben. In solch einem Fall sperrt der Ally diesem Pakettyp den Zugang zu seinen Zieladressen und gegebenenfalls sogar interne Netzwerkteilnehmer aus (Intrusion Detection & Prevention). Nach einer gewissen konfigurierbaren Zeit gibt das Gerät den Traffic wieder frei um erneut zu prüfen ob die gleichen Anomalien wieder auftreten. Falls dies der Fall ist wird dieser Pakettyp auf die Blacklist gesetzt. Solche Vorgänge, oder auch die zugelassene Anzahl ausgelöster Ping-Versuche auf eine IP-Adresse von sind vom Administrator feinjustierbar.

Sicherheitskonzept selbst auf der Konfigurations-Ebene

Die Konfiguration kann entweder direkt über Anschluss von Tastatur, Monitor und Maus am Ally IP1000 erfolgen oder über einen gesonderten Netzwerk-Port. Über diesen Port kann der Ally mit einem angeschlossenen Rechner oder Notebook per Browser konfiguriert werden. Um die Sicherheit netzwerkintern zu erhöhen, kann und sollte dieser Anschluss in einem anderen Netzwerk-Segment liegen damit das Gerät für die übrigen User im Netz nicht sichtbar ist. Während dieser Port für den Access durch den Administrator eine IP-Adresse besitzt, haben die beiden überwachenden Eingangs- und Ausgangs-Ports keine im Netz sichtbare Adresse.

Neue patentierte Technologien erübrigen Signatur-Updates

Das Ally IP1000 ist durch neue patentierte Technologien nicht mehr auf Signatur-Datenbanken angewiesen, die ein regelmäßiges Update und zudem Durchsuchen und Echtzeit-Vergleich dieser Datenbanken erfordern würde.

Durch Kombination patentierter Technologien wie Plug and Protect (PnPro) und Tagged Universal Resource Information Transmission (Tag-Ur-It) ist Ally IP1000 in der Lage, einen sicheren Schutz gegen Anomalien im Netzwerk zu gewährleisten. Dank kombinierten Einsatzes dieser Technologien wird die Konformität regulärer Protokollstrukturen (Protocol Enforcement) gewährleistet und durch Adressauthentifizierung sowie gezielte Kontrolle und Analyse des Verhaltens von Datenpaketen und offener Ports wichtige Funktionen des Netzwerks überwacht.

Heuristische Erkennung statt Muster-Suche stoppt unbekannte Malware

Die Tag-Ur-It-Technologie beendet Zero-day-Attacken durch Erkennen ungewöhnlichen oder abnormalen Verhaltens der Datenpakete; die einzig wirksame Verteidigung gegen neueste, bisher noch unbekannte Viren, Würmer oder sonstige Malware bei denen noch keine Muster-Erkennung über Datenbanken möglich ist. Die Tag-UR-IT-Technologie erzwingt korrektes Protokollverhalten, authentifiziert IP-Adressen und fügt jedem Paket, das Ally IP1000 durchläuft, quasi einen Fingerabdruck hinzu, der verschlüsselte Informationen über die Quell- und Ziel-IP-Adresse und weitere relevante Daten enthält. Diese Daten, die sonst typischerweise in einer Statustabelle gehalten werden, geben ein ausgezeichnetes Ziel für Denial of Service (DoS)-Attacken ab. Diese DoS- und andere Flood-Attacken können so auf einfache Weise unterbunden werden, bevor sie die Firewall, Server oder Router treffen. Tag-UR-IT ist 100% kompatibel mit allen Hard- und Software-Standards im Netzwerk.

Keine Unterbrechung laufender Services für Dienste-Provider wichtig

Um einem gänzlichen Ausfall des Netzwerks im Störungsfall vorzubeugen, wie beispielsweise Ausfall der Stromversorgung, hat der Ally IP1000 einen NetFailOpen Dual 1000BaseT Ethernet Controller integriert, der nicht die Netzwerk-Schnittstelle zumacht, wie es die Überzahl solcher Sicherungen im Fehlerfall tun, sondern die Netzwerk-Services ohne Unterbrechung weiterlaufen lässt. Nun können mit dem Restrisiko, lediglich über die bestehende Firewall geschützt zu sein, weiterhin Services für Kunden und Mitarbeiter aufrechterhalten werden, die sonst zum Stillstand des gesamten Netzwerks führen würden. Je nach Service-Anforderungen wird allerdings auch die Möglichkeit angeboten, diesen intelligenten Schaltprozess umzukonfigurieren und den Sicherheitsrichtlinien entsprechend den Netzwerk-Traffic zu unterbinden. In solch seltenen aber kritischen Fällen erhalten die Verantwortlichen Alerts über eMail und das System versendet zugleich eine SNMP-Message an relevante Server, die dann zu weiteren Aktionen veranlasst werden.

Preise und Verfügbarkeit

Die neue Security-Lösung von LINDY, Ally IP1000, ist im 19 Zoll-Gehäuse mit einer Höheneinheit erhältlich. Sie ist ab sofort verfügbar und wird über den Fachhandel oder Systemhäuser verkauft. Für den Unternehmens-Endkunden ist das Produkt für 8.400 Euro zuzüglich Mehrwertsteuer pro Stück zu erstehen. Händler erfragen ihre Konditionen direkt bei LINDY.