Mit den Netzwerksensoren steht ein extrem effizientes und hochprofessionelles System zur Verfügung, mit dessen Überwachungstechnik die Datenströme des Netzwerkes analysiert und überprüft werden können. Grundlage für diesen Sensortyp ist hauptsächlich die weltweit marktführende Search- und Scan-Engine auf „Snort“ Basis.
LAN und WAN Anwendung
Eine Kopplung mehrerer Netzwerksensoren ist möglich. Durch sie ist es auch möglich, größere Netzwerke leicht und abgesichert zu überwachen. Problemlos können auch entferntere und räumlich getrennte Netzwerksegmente integriert und kontrolliert werden.
Angepasste Hard- und Software
Die Netzwerksensoren basieren im Betriebssystem auf einem schlanken und angepassten Linuxsystem. Die verwendete Hardware ist speziell optimiert. Für diese stehen umfangreiche Support- und Serviceoptionen zur Verfügung. Die sehr leistungsfähigen Sensoren genügen somit höchsten Ansprüchen in der Performance.
Optimaler Schutz
Durch die vorinstallierte Konfiguration der Sensoren sind diese gegen Angriffe auf System-Ebene selbst resistent. Angriffe auf die Search- und Scan-Engine selbst werden durch Umordnung der fragmentierten Pakete und Datenströme sowie laufende Updates umgangen.
Steuerung und Wartung
Die Steuerung des/der Netzwerksensoren erfolgt ebenso zentral über den Managementserver wie die Verteilung und Konfiguration der Signaturen. Updates der Signaturen erfolgen während des Betriebes; ohne einen Neustart – und somit Datenverlust – des Systems. Zusätzlich steht eine Option zur Verfügung, die neue Konfigurationsparameter unabhängig vom eigentlichen Sensor selbst auf ihre Lauffähigkeit hin überprüfen kann. Damit sind die Netzwerksensoren selbst vollständig wartungsfrei.
Zusätzliche Optionen
Außer der eigentlichen Überprüfung des Datenstromes nach Signaturen stehen verschiedene Vor-Prozessoren im Netzwerksensor zur Verfügung. Diese führen komplexe Stateful Protokollanalysen durch, um Unregelmäßigkeiten wie DoS-Attacks, ARP-Spoofing, Stack- Fingerprinting und Portscans frühzeitig zu erkennen und zu protokollieren.
Minimierte Fehlalarme und Lastprobleme
Durch die fortlaufenden Updates der Signaturen während des Betriebes, den vom Benutzer angelegten Signaturen und vor allem durch eine individuelle Verwaltung jedes einzelnen Sensors selbst ist ein optimaler Betrieb gesichert, der Fehlalarme auf ein Minimum begrenzt.
Seit der Version 2.x der „Snort“ Software wird auch eines der größten Probleme bei Netzwerksensoren ausgeschlossen: Bei hohem Datenverkehr – und damit verbundener hoher Last – können verschiedene Sensoren diesen meist nicht mehr vollständig überwachen und protokollieren. Die neue Version umgeht diesen Engpass durch optimierte Suchroutinen, einer Richtungserkennung des Datenverkehrs und damit angepasster Geschwindigkeit.
Statistik und Auswertung
Über den Managementserver stehen detaillierte Auswertungen zum Last- und Scanverhalten der Sensoren selbst – mit verschiedenen Einzelwerten und graphisch aufbereitet – zur Verfügung. Die Ergebnisse der Überprüfungen der Datenströme werden auf dem Managementserver in Echtzeit gespeichert und lassen sich über Report- und Reaktionsfunktionen verarbeiten.