Your browser either does not support JavaScript or you have turned JavaScript off.

Lassen Benutzer das ADP-Feature ausser Acht?

KB-3751   |   FAQ   |   Erstellt am 13.02.2018   |   Letzte Aktualisierung: 14.09.2018

Mit dem ADP-Feature (Anomaly Detection and Protection) kann man das Netzwerk vor anormalem Datenverkehr wie Portanalysen und Denial-of-Service-Attacken sowie vor Anomalien schützen, die auf der Verletzung von Protocol-Rules (RFC) basieren.

Dieses Feature, das standardmässig mit vorgegebenen Profilen aktiviert wird, ist auf allen Routern der USG- und ZyWALL-Serie verfügbar. Es kann jedoch auch an den Benutzer angepasst werden und lässt sich leicht konfigurieren. Dies werde ich Ihnen im Folgenden zeigen.

 

Konfiguration des ADP-Profils

a. Anomalien im Datenverkehr

 

Mit diesem Schritt lässt sich der als anormal angesehene Datenverkehr konfigurieren. Sie haben die Möglichkeit, die standardmässig festgelegten Regeln zu aktivieren oder zu deaktivieren. Sie finden beispielsweise eine Liste der zu scannenden Ports (portscan) sowie eine Scan-Option für IP-Adressen (Sweep IP address). Sie können zudem die Empfindlichkeit entsprechend Ihrer Anforderungen höher einstellen oder verringern. In dem Feld ‘Flood detection’ können Sie den Toleranzbereich für DOS-Angriffe einstellen. Mittels dieser Angriffe werden grosse Mengen an unwichtigen Daten im Netzwerk übertragen oder an eine Zieladresse gesendet, um damit den Service ausser Kraft zu setzen. Die Toleranzcursor lassen sich nach der Anzahl der Datenpakete pro Sekunde einstellen.

CONFIGURATION > Security Policy > ADP > Profile > Base Profile > Traffic Anomaly

 

b. Anomalien im Datenprotokoll

Mit diesem Schritt lassen sich Anomalien in den Protokollen zu den Frames TCP, UDP und ICMP analysieren und dekodieren. Zudem können Sie dort die standardmässig vorgegebenen Regeln aktivieren oder deaktivieren. Sie können jedes Protokoll entsprechend zulassen oder ablehnen.

CONFIGURATION > Security Policy > ADP > Profile > Base Profile > Protocol Anomaly

 

c. Aktivieren von ADP

In diesem Schritt können Sie die zuvor erstellte ADP-Regel auswählen.

CONFIGURATION > Security Policy > ADP > Profile > Base Profile

 

Es ist oft nicht notwendig, die ADP-Standardeinstellungen und die Security-Levels zu ändern, die optimal an die häufigsten Anwendungen angepasst sind. Dennoch erachten wir es als wichtig, Sie in diesen TechNews zum Thema Security über dieses Tool zur Erkennung von Anomalien zu informieren. Es handelt sich dabei um das unauffälligste Security-Tool mit der grössten Nachfrage auf unseren Firewalls.

Madjid DERRIOUCHE