138314

Eindringlinge mit Sourcefire aufspüren

15.02.2010 | 15:02 Uhr |

Intrusion Detection ist wichtig für den Netzwerkschutz. Sensoren analysieren den Verkehr und alarmieren bei verdächtigen Mustern. Wir haben die Sourcefire IDS/IPS-Lösung getestet.

Intrusion Detection-Systeme verfolgen den Netzwerkverkehr und schlagen Alarm, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen, das auf einen Hackerangriff hinweist. Zusammen mit Intrusion Prevention kann man mit solchen Systemen auch Gegenmaßnahmen einleiten, wie dieser Artikel unserer Schwesterpublikation Tecchannel zeigt.

Dasboard: Die Widgets stellen die jeweiligen Informationen aus dem Netzwerk da und lassen sich beliebig erweitern und anpassen.
Vergrößern Dasboard: Die Widgets stellen die jeweiligen Informationen aus dem Netzwerk da und lassen sich beliebig erweitern und anpassen.
© 2014

Wir machten den Praxistest mit einem Überwachungssystem von Sourcefire . Dessen Gründer ist der geistige Vater von Snort , einem der bekanntesten Open-Source-Intrusion-Prevention-Systeme überhaupt.

Für unsere Testumgebung verwenden wir ein Defence Center DC1000 als Management-Server sowie einen Sensor vom Typ 3D1000. Hinweis: Betreibt man den Sensor alleine, so verliert man einige Komfortfunktionen. Der Sensor wird per One Time Password am Defence Center angemeldet, danach wurde eine erste Policy erstellt und auf das Test-System ausgerollt.

Um das Testszenario realistisch zu gestalten, bespielten wir den Sensor mit eigens aufgezeichnetem Datenverkehr, der diverse Attacken und Exploit-Versuche enthielt.

Die mit dem Defense Center verbundenen Sensoren lassen sie sich leicht steuern und auswerten. Die einzelnen Sensoren selbst benötigen nur wenig Speicherplatz, weil das Defense Center die Informationen zentral verwaltet. Die Auswertung zeigt ein vollständiges Bild der Netzwerk-Vorgänge, der Angreifer kann den Speicher der Sensoren nicht gezielt vollschreiben, um seine eigenen Spuren zu verdecken.

Zustandsanzeige: Das Defense Center verwaltet alle angeschlossenen Sensoren. Bis zu 100 sind maximal möglich.
Vergrößern Zustandsanzeige: Das Defense Center verwaltet alle angeschlossenen Sensoren. Bis zu 100 sind maximal möglich.
© 2014

Um den gesamten Netzwerkverkehr mitschneiden zu können, werden Mirror-Ports verwendet, auf denen der gesamte Verkehr des LANs gespiegelt wird. Bei einer sehr großen virtuellen Infrastruktur lässt sich der virtuelle Traffic aber nur schwer auf ein physikalisches Gerät spiegeln. Hier fehlen derzeit noch passende Lösungen, erst Neuentwicklungen bei Virtualisierungssoftware wie etwa VMware vSphere sollen dieses Problem lösen.

0 Kommentare zu diesem Artikel
138314