Vergleich einer kommerziellen Intrusion Detection Software mit einer OpenSource-Lösung im Bezug aus Leistung, Anwendbarkeit und Kosten

Die Netzwerksensoren üben eine spürbare Belastung auf das Netzwerk aus. Ein einzelnes Ereignis übermittelt zwar nur wenige KByte an den Event-Collector. Die Verbindung der Sensoren zu den Event-Kollektoren kann während eines Scans aber doch einige MBit Bandbreite verbrauchen. Die Netzbelastung hängt dabei stark von der konfigurierten Policy und von der Installationstopologie ab. Laufen im Netz mehrere Sensoren, ergibt möglicherweise eine vom Produktionsnetz unabhängige Verbindung des Netzwerksensors zum Event-Collector Sinn. Die Belastung der Hosts hängt maßgeblich davon ab, wie viele Signaturen bearbeitet werden müssen. Um die Integrität der Daten sicherzustellen, laufen die Übertragungen zwischen den einzelnen Komponenten verschlüsselt ab. Für besonders hohe Sicherheitsanforderungen gibt es die „RealSecure“-Netzwerksensoren auch als Nokia-Appliances mit einem gehärteten Betriebssystem. [...]

Viele Administratoren ziehen die Offline-Analyse von Vorkommnissen der Onlinebeobachtung vor. ISS „RealSecure“ unterstützt dieses Vorgehen durch detaillierte Reporting-Möglichkeiten. Es gibt vier Arten von Reports: „Allgemein“, „System“, „Netzwerk“ und „Spezifisch“. Hilfreich ist das Fast-Analysis-Modul mit dem Administratoren die Ereignisse in der Datenbank untersuchen können. Reports lassen sich zudem für die Analyse mit anderen Anwendungen exportieren. Die Sensoren können SNMP-Traps absetzen. Damit schafft der Hersteller die wichtigste Voraussetzung für die Integration von „RealSecure“ in die gängigen Managementplattformen. Im Manager können neben der Verwaltung der Sensoren auch dank des Reportingtools „Crystal Reports“36 die gesammelten Daten (z.B. die häufigsten Angreifer, die größten Sicherheitslücken) angezeigt und in verschiedene Formate (HTML, Excel, Word, Text, usw.) exportiert werden. [...]

Die Konsole von „RealSecure“ läuft unter Microsoft Windows und bietet eine übersichtliche Benutzerschnittstelle. Im linken Fenster sind alle Ereignisse zu sehen, die von den aktiven Sensoren in die Datenbank geschrieben wurden. Im rechten Fenster laufen die Events durch, wobei der Administrator die Priorität bestimmt. Jedes Ereignis lässt sich im Event-Inspektor untersuchen. Die Informationen zu den einzelnen Events sind ausreichend bis ausführlich. Jedes Ereignis („Event“) kann in einem Playback-Window wieder angeschaut und untersucht werden. Das System sieht die Installation mehrerer Workgroup-Manager vor, die auf dieselben Datenbanken zugreifen. Im Prinzip ist es damit möglich, dass sich dadurch mehrere Administratoren die Events aufteilen und zusammen ein Team bilden, dem nichts mehr entgehen kann. [...]