Wachhund

Inhaltsverzeichnis

Intrusion Prevention Systeme (IPS) versuchen anhand eines Regelsatzes Angriffe zu erkennen und abzuwehren. Dazu greifen sie auf Signaturen zurück, um missliebige Datenströme und Pakete zu identifizieren. Mit heuristischen Methoden suchen sie nach verdächtigen Aktivitäten, die Signaturen nicht erfassen. Zudem registriert ein IPS, wenn ein Datenaustausch nicht RFC-konform ist oder aus anderen Gründen nicht normal erscheint.

Interna

Zyxel will all diese Funktionen in die ZyWALL IDP 10 implementiert haben. In dem handlichen Gerät analysiert ein 400-MHz-Prozessor zwischen WAN-und LAN-Interface fließenden IP-Verkehr -- laut Datenblatt erreicht der Datendurchsatz so maximal 26 MBit/s. Das Gerät integriert sich ohne Komplikationen in vorhandene Netzwerkumgebungen, da es anders als andere Systeme nicht als Router, sondern als Bridge arbeitet. Somit ist keine Umstellung der Netzwerkkonfiguration an Clients und Servern nötig. Es enthält keine Firewall- oder Paketfilterfunktionen, prüft also weder IP-Adressen noch Portnummern. Üblicherweise schaltet man die Zyxel zwischen Router beziehungsweise Firewall und LAN-Switch. Die ZyWALL IDP besitzt eine separates Management-Schnittstelle, über das ein Webinterface zur Konfiguration erreichbar ist.

Management

Beim ersten Verbindungsaufbau über einen Webbrowser fordert das Gerät lobenswerterweise zur Eingabe eines neuen Passworts auf. Ohne weitere Konfiguration ist die ZyWALL bereits läuffähig und abwehrbereit. Allerdings enthält sie nur die zum Herstellungszeitpunkt installierten Signaturen -- neue hält Zyxels Update-Server im Internet bereit. Standardmäßig arbeitet die ZyWALL im Stealth-Modus, in dem sie beispielsweise nicht mehr auf Pings antwortet. Diese Tarnkappe soll die Sicherheit der ZyWALL vor direkten Angriffen erhöhen, verhindert aber die Kommunikation mit der Web-GUI, wenn man statt des Management-Interfaces die WAN- oder LAN-Schnittstelle benutzen möchte.