29.4    Gotcha! Intrusion-Detection-Systeme

Auch der ambitionierte Administrator kann nicht immer alles sehen, was in seinem Netzwerk geschieht. Es hilft auch nicht wirklich, ständig einen Sniffer laufen zu lassen – schließlich will der Datenwust auch ausgewertet werden. Dafür gibt es aber automatisierte Tools, die uns die Arbeit abnehmen und die Pakete analysieren und kategorisieren.

Das Zauberwort der letzten Jahre heißt IDS/IPS (Intrusion Detection System/Intrusion Prevention System). Diese oft als »Allheilmittel« angepriesenen Geräte analysieren den Datenverkehr im Netzwerk und können Angriffe bzw. Schadcode protokollieren, eine Warnmeldung ausgeben (IDS) oder Angriffe sogar unterbinden (IPS).

Diese Systeme arbeiten ähnlich wie Antivirensoftware mit Signaturen, um so Angriffe bzw. Schadcode zu entdecken. Zusätzlich werden noch weiter gehende Analysen vorgenommen, die einem Layer-7-ALG ähneln. Durch den Betrieb im Datenstrom können die Systeme bei entsprechender Konfiguration nicht nur vor Netzwerkangriffen schützen, sondern sogar vorhandene Sicherheitslücken beheben (eigentlich deren Ausnutzung unterbinden), bevor ein Patch des Herstellers veröffentlicht wird.

Alle IDS/IPS-Implementationen kämpfen dabei mit zwei großen Hürden:

• false positives
  fälschlich unterbundener Datenverkehr

• false negatives
  gefährlicher Datenverkehr, der nicht erkannt wurde

Die Konfiguration und das nachhaltige Aktualisieren eines IDS/IPS sind von essenzieller Wichtigkeit. Leicht unterbinden Sie durch eine falsche Konfiguration gültigen Datenverkehr oder lassen ungültigen zu. Der Betrieb eines IDS/IPS fordert vor allem andauernde Aufmerksamkeit von Ihnen – das Prinzip des »install and forget« greift hier leider nicht.

Trotz dieser Einschränkungen bzw. möglicher Fehlerquellen kann ein IDS/IPS an den richtigen Stellen nicht nur Ihre Sicherheit erhöhen, sondern Ihnen auch einen tieferen Einblick in Ihr Netzwerk gewähren. In diesem Abschnitt erfahren Sie alles zum Projekt snort, von der Installation und Konfiguration bis hin zum wirksamen Betrieb in Ihrer Umgebung.

29.4.1    »snort« und Co.

Auf der Projektseite www.snort.org findet sich der Satz »Snort has become the de facto standard for IPS«, was gar nicht so weit von der Realität entfernt ist. Das Tool ist ein Paketdekoder, der den Datenverkehr in Ihrer Umgebung analysiert und somit nach dem Prinzip eines IDS/IPS arbeitet.

Das von Martin Roesch 1998 gestartete Projekt wurde schnell in die von ihm gegründete Firma Sourcefire überführt, die snort als kommerzielles Produkt unter dem Namen sourcefire vertreibt. Diese Firma wurde im Jahre 2014 durch Cisco übernommen. Auch seit der Übernahme wird snort in einer Open-Source-Version angeboten, die durch eine kommerzielle Version von Cisco erweitert werden kann, die umfassendere Sicherheitsfunktionen bietet. Entscheidend neben dem Betrieb der Software ist für ein IDS/IPS die Aktualität der Angriffserkennungsmuster. Die Verarbeitung findet bei snort in vier Phasen statt:

• sniffer
  Aufnahme der Kommunikation

• preprocessor
  Vorbereitung für die Erkennungsengine und/oder eigene Verarbeitung

• detection engine
  Angriffserkennung durch Signaturen, die aus den Rulesets stammen

• output-Plugins
  Aufbereitung der Auswertung und gegebenenfalls Speicherung der relevanten Daten

Bei snort sorgen neben den Signaturen die sogenannten preprocessors für einen weiteren Schutz. Diese Präprozessoren werten die Rohdaten aus, bereiten diese für etwaige Signaturen vor oder greifen auch direkt in den Datenverkehr ein.

Den neuesten Zuwachs stellt openappID dar. Damit kann Snort Applikationen erkennen und wird somit zu einer Next-Generation-Firewall erweitert.

Snort kann als reines IDS an einem beliebigen Mirrorport[ 48 ] Ihres Netzwerks betrieben werden und Sie vor gegebenenfalls stattfindenden Angriffen oder übertragenem Schadcode warnen. Darüber hinaus können Sie snort auch als Inline[ 49 ]-IPS verwenden, sodass Attacken oder Schadcode von snort direkt unterbunden werden kann. Durch die Unterteilung der Software in ein freies und ein kommerzielles Angebot werden auch entsprechend unterschiedliche Updates zur Verfügung gestellt. Sie können zwischen folgenden Szenarien wählen:

• Community
  inoffizielle Sammlung von Rules der Community

• Statische Rulesets
  Major-Release-Updates, die nur mit neuen snort-Versionen ausgeliefert werden

• Registered User Release
  Nach einer Registrierung erhält man Updates, die 30 Tage älter sind als die des kostenpflichtigen Modells.

• Subscription Release
  kostenpflichtig, dafür aber topaktuell

[ ! ]  Bei den ersten beiden Punkten handelt es sich um Offline-Angebote, die Sie herunterladen und installieren können. Die anderen beiden werden online zur Verfügung gestellt, sodass aktuelle Versionen Ihrer Installation hinzugefügt werden. Ein IDS/IPS lebt wie eine Antivirensoftware von der Aktualität. Daher empfehlen wir Ihnen dringend, ein Online-Angebot einzusetzen. Die Erkennungsrate Ihres Systems wird deutlich steigen.