Eindringlinge mit Sourcefire aufspüren

Intrusion Detection-Systeme verfolgen den Netzwerkverkehr und schlagen Alarm, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen, das auf einen Hackerangriff hinweist. Zusammen mit Intrusion Prevention kann man mit solchen Systemen auch Gegenmaßnahmen einleiten, wie dieser Artikel unserer Schwesterpublikation Tecchannel zeigt.

Wir machten den Praxistest mit einem Überwachungssystem von Sourcefire. Dessen Gründer ist der geistige Vater von Snort, einem der bekanntesten Open-Source-Intrusion-Prevention-Systeme überhaupt.

Für unsere Testumgebung verwenden wir ein Defence Center DC1000 als Management-Server sowie einen Sensor vom Typ 3D1000. Hinweis: Betreibt man den Sensor alleine, so verliert man einige Komfortfunktionen. Der Sensor wird per One Time Password am Defence Center angemeldet, danach wurde eine erste Policy erstellt und auf das Test-System ausgerollt.

Um das Testszenario realistisch zu gestalten, bespielten wir den Sensor mit eigens aufgezeichnetem Datenverkehr, der diverse Attacken und Exploit-Versuche enthielt.

Die mit dem Defense Center verbundenen Sensoren lassen sie sich leicht steuern und auswerten. Die einzelnen Sensoren selbst benötigen nur wenig Speicherplatz, weil das Defense Center die Informationen zentral verwaltet. Die Auswertung zeigt ein vollständiges Bild der Netzwerk-Vorgänge, der Angreifer kann den Speicher der Sensoren nicht gezielt vollschreiben, um seine eigenen Spuren zu verdecken.

Um den gesamten Netzwerkverkehr mitschneiden zu können, werden Mirror-Ports verwendet, auf denen der gesamte Verkehr des LANs gespiegelt wird. Bei einer sehr großen virtuellen Infrastruktur lässt sich der virtuelle Traffic aber nur schwer auf ein physikalisches Gerät spiegeln. Hier fehlen derzeit noch passende Lösungen, erst Neuentwicklungen bei Virtualisierungssoftware wie etwa VMware vSphere sollen dieses Problem lösen.