Norman Network Protection – Funktionsweise:

Norman Network Protection (NNP) wird auf einem Computer mit drei Netzwerkschnittstellen installiert und funktioniert als Black Box, die Datenverkehr in Echtzeit auf Malware scannt.

Eine Netzwerkschnittstelle ist für Warnungen und Remote-Konfiguration reserviert, während die anderen beiden Schnittstellen von den Netzwerksegmenten, mit denen sie verbunden sind, Netzwerkpakete zum Scannen sammeln.

Bei jeweils zwei verbundenen Schnittstellen liefert die eine Schnittstelle eine „upstream“ bzw. „offene“ Netzwerkverbindung und die andere die „downstream“ bzw. „geschützte“ Netzwerkverbindung. Beide Schnittstellen schützen Datenstreams aus beiden Richtungen. Die Netzwerkverbindungen können von jeder beliebigen physischen Art sein, die das TCP/IP-Protokoll unterstützt.  

NNP - How it works 1

In der Abbildung oben führt NNP eth1 im „Allesfressermodus” aus. Dies bedeutet, dass alle Netzwerkpakete aus der offenen Zone unabhängig von ihrer Zieladresse empfangen werden. Pakete des ausgewählten Protokolltyps werden dann wieder zusammengefügt und an das Scanmodul weitergegeben, das eine Prüfung auf schädlichen Code durchführt. Wenn die Paketgruppe keinen schädlichen Code enthält, wird sie über eth2 an die geschützte Zone weitergegeben. Enthalten die Pakete hingegen schädlichen Code, werden sie für die geschützte Zone blockiert und eine Warnung wird über eth0 an das Netzwerk gesendet.

Bridging brings speed and transparency

NNP-Server können beliebig innerhalb des Netzwerks platziert und auf vielfältige Weise dazu verwendet werden, das gesamte Netzwerk oder Teile des Netzwerks zu schützen. Norman Network Protection arbeitet auf der Datenübertragungsschicht des OSI-Referenzmodells. Auf diese Weise kann NNP für verschiedene Protokolle eingesetzt werden und bietet mehr Funktionen als Proxy-Lösungen.

NNP - How it works 2

NNP nimmt auf der Datenübertragungsschicht unbehandelte Ethernetpakete „direkt aus dem Kabel“ entgegen. Enthält ein Ethernet-Rahmen ein IP-Paket, wird er in der NNP-Hierarchie hinaufgestuft. MAC-Adressen werden für die spätere Verwendung gespeichert.

Protokollscanning auf Malware

Das Protokollscanning von NNP ist konfigurierbar und kann in Echtzeit aktiviert und deaktiviert werden.

NNP kann außerdem so konfiguriert werden, dass Protokolle, Computer und Netzwerksegmente abhängig vom Virenbefall und den Bedrohungen im Netzwerk blockiert werden. Darüber hinaus nutzt NNP die Norman SandBox-Technologie. Diese Technologie macht es möglich, neuen und unentdeckten schädlichen Code anzuhalten, noch bevor Erkennungsdateien mit Signaturen für neue Malware verteilt wurden. NNP scannt Protokolle, bei denen die Wahrscheinlichkeit schädlichen Datenverkehrs groß ist.

Mehr-Protokoll-Unterstützung

NNP - How it works 3

  • HTTP – normaler Datenverkehr mit Webinhalten, einschließlich Webmail
  • SMTP – eingehender E-Mail-Datenverkehr
  • POP3 – ausgehender E-Mail-Datenverkehr
  • RPC – Remote Procedure Call-Datenverkehr
  • FTP – File Transfer Protocol
  • TFTP – Trivial File Transfer Protocol
  • CIFS/SMB – allgemeines Internetdateisystem für MS Windows-basierte Computer
  • IRC - Internet Relay Chat, ein Chat-Systemprotokoll

Jedes eingehende Paket wird an das entsprechende Protokollscanning-Modul gesendet. Jedes Scan-Modul ruft die Scanning-Engine auf, die wiederum Teile der Daten des Pakets oder nachfolgender Pakete anfordert. Bei aktivierter Norman SandBox werden die empfangenen Pakete alternativ in einer virtuellen Umgebung gesammelt, in der die Funktionsweise des Codes analysiert wird. Wenn schädlicher Code gefunden wird, wird er blockiert und nicht weiter in das Netzwerk übertragen. NNP sendet dann je nach Konfiguration eine Warnung.

NNP menu - Overview
NNP menu - Why secure your network
NNP menu - Deployment
NNP menu - How it works
NNP menu - Management
NNP menu - Analysis
NNP menu - Reference
NNP menu - Support
NNP menu - Try it!