Die Registerkarte Network Protection > Intrusion Prevention > Angriffsmuster enthält das IPS-Regelwerk, gruppiert nach üblichen Angriffsmustern. Die IPS-Angriffsmuster sind in folgende Gruppen unterteilt:
- Betriebssystemspezifische Angriffe: Angriffe auf Betriebssystem-spezifische Schwächen.
- Angriffe gegen Server: Angriffe auf alle Arten von Servern (z.B. Webserver, Mailserver).
- Angriffe gegen Client-Software: Angriffe auf Client-Software (z.B. Webbrowser, Multimedia-Player).
- Protokollanomalie: Die Angriffsmuster sind auf Netzwerkanomalien ausgerichtet.
- Schadsoftware: Software, die darauf ausgelegt ist, in ein Computersystem einzudringen und ihm zu schaden, ohne dass der Besitzer davon Kenntnis hat, z.B. Trojaner, DoS
-Kommunikationswerkzeuge usw.
Um die Leistungsfähigkeit zu erhöhen, sollten Sie IPS-Angriffsmuster deaktivieren, die sich auf Dienste oder Software beziehen, welche nicht in Ihrem lokalen Netzwerk vorkommen. Wenn sich in Ihrem lokalen Netzwerk z.B. kein Webserver im Einsatz befindet, können Sie die Auswahl HTTP-Server aufheben.
Für jede Gruppe sind die folgenden Einstellungen verfügbar:
Aktion: Jede Regel einer Gruppe besitzt eine ihr zugewiesene Aktion. Sie können zwischen den folgenden Aktionen wählen:
- Verwerfen: Standardeinstellung. Wenn ein vermeintlicher Angriff festgestellt wird, werden die betroffenen Datenpakete verworfen.
- Warnen: Im Gegensatz zu Verwerfen wird das kritische Datenpaket durch das Gateway gelassen, aber es wird eine Warnmeldung in das IPS-Protokoll geschrieben.
Hinweis – Um die Einstellungen für individuell erstellte IPS-Regeln zu ändern, verwenden Sie das Feld Geänderte Regeln auf der Registerkarte Intrusion Prevention > Erweitert. Eine detaillierte Liste mit allen IPS-Regeln, die in Sophos UTM 9 verwendet werden, finden Sie auf dem Sophos-Webserver.
Alter von Regeln: Standardmäßig sind IPS-Patterns auf diejenigen der letzten 12 Monate beschränkt. Sie können in Abhängigkeit von individuellen Faktoren wie dem Patch-Stand insgesamt, älteren Systemen oder anderen Sicherheitsanforderungen einen anderen Zeitraum wählen. Wenn Sie einen kürzeren Zeitraum wählen, reduziert sich die Anzahl an Regeln und die Leistung verbessert sich.
Extra-Warnungen hinzufügen: Wenn Sie diese Option wählen, werden jeder IPS-Regel zusätzliche Regeln hinzugefügt, die die IPS-Erkennungsrate erhöhen. Beachten Sie dabei, dass diese zusätzlichen Regeln allgemeiner gefasst und vager sind als die expliziten IPS-Angriffsmuster und dadurch sicherlich häufiger Alarme auslösen. Aus diesem Grund ist die voreingestellte Aktion Warnen, welche nicht konfiguriert werden kann.
Benachrichtigen: Wenn Sie diese Option wählen, wird für jedes IPS-Ereignis, das zu dieser Gruppe gehört, eine Meldung an den Administrator geschickt. Beachten Sie, dass die Nachricht nur abgeschickt wird, wenn Sie die Benachrichtigungsfunktion im Menü Verwaltung > Benachrichtigungen > Benachrichtigungen eingeschaltet und entsprechend konfiguriert haben. Darüber hinaus hängt es ebenfalls von den Einstellungen dort ab, ob es sich bei der Benachrichtigung um eine E-Mail oder SNMP-Trap handelt. Dabei kann es bis zu fünf Minuten dauern, bevor die Änderungen an den Benachrichtigungseinstellungen wirksam werden.