Nicht nur legitime Daten fließen durch Firmennetzwerke, auch Malware und Hacker-Attacken nutzen die vorhandene Infrastruktur. Systeme zur Intrusion Detection sollen den Traffic verfolgen und Alarm schlagen, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen. Kombiniert mit Intrusion Prevention, können solche Systeme auch Gegenmaßnahmen einleiten.
Für unseren Praxistest haben wir uns ein Überwachungssystem von Sourcefire vorgenommen. Der Gründer von Sourcefire, Martin Roesch, ist in der Sicherheitsszene kein Unbekannter. Er ist geistiger Vater von Snort, einem der bekanntesten Open-Source-Intrusion-Prevention-Systeme.
Testszenario und Aufbau
Unsere Testumgebung besteht aus einem Minimal-Setup. Dazu verwendeten wir ein Defence Center DC1000 als Management-Server sowie einen Sensor vom Typ 3D1000. Theoretisch lässt sich der Sensor auch alleine betreiben, allerdings verliert man dann einiges an Komfortfunktionen. Der Sensor wurde per One Time Password am Defence Center angemeldet, anschließend ließ sich eine erste Policy erstellen und auf das System ausrollen.
Da der reguläre Netzwerk-Traffic nur für wenig interessante Zwischenfälle gesorgt hätte, bespielten wir den Sensor mit zuvor aufgezeichnetem Datenverkehr, der auch mehrere Attacken und Exploit-Versuche enthielt.
- Getestet: Sourcefire Intrusion Detection
Sourcefire wertet sämtliche Informationen aus dem Netzwerk aus und bereitet sie über das Webinterface auf. - Getestet: Sourcefire Intrusion Detection
Die Dashboards lassen nahezu beliebig anpassen und erweitern. - Getestet: Sourcefire Intrusion Detection
Das Asset-Dashboard im Defence Center. - Getestet: Sourcefire Intrusion Detection
Überblick auf den Systemstatus. - Getestet: Sourcefire Intrusion Detection
Das Compliance-Dashboard. - Getestet: Sourcefire Intrusion Detection
Das System bietet eine Reihe an Optionen bei der Erstellung von Berichten an. - Getestet: Sourcefire Intrusion Detection
Richtlinien lassen sich zentral anlegen und werden im Defense Center gespeichert. Anschließend kann man sie auf die Sensoren übertragen. - Getestet: Sourcefire Intrusion Detection
Sourcefire bringt eine Reihe von Standardrichtlinien mit, die sich weiter verfeinern lassen. - Getestet: Sourcefire Intrusion Detection
Auch die Alamierung bei entsprechenden Vorfällen lässt sich regeln.... - Getestet: Sourcefire Intrusion Detection
... hier als Beispiel die E-Mail-Alarmierung. - Getestet: Sourcefire Intrusion Detection
RNA legt eine Karte aller Geräte im Netzwerk an. Dadurch kann man unter anderem sehen, für welche Schwachstellen das LAN anfällig ist. - Getestet: Sourcefire Intrusion Detection
Über die Suchfunktion lassen sich gezielt Berichte auswählen. - Getestet: Sourcefire Intrusion Detection
Aufgaben werden gesammelt und abgearbeitet. Auch nachträglich kann man die Liste noch einsehen, etwa um Zugriffe oder Änderungen zu prüfen oder um sich über den Status zu informieren. - Getestet: Sourcefire Intrusion Detection
Das Defense Center überwacht auch den Zustand der Sensoren. Hier meldet beispielsweise ein Sensor, dass er keine Pakete empfangen kann. - Getestet: Sourcefire Intrusion Detection
Überblick über die Detection Engines. - Getestet: Sourcefire Intrusion Detection
Sensoren werden direkt über das Webinterface hinzugefügt. Auch lokale Agents sind möglich. - Getestet: Sourcefire Intrusion Detection
Aktualisierungen für Firmware und die Schwachstellendatenbank werden zentral gesteuert und ausgerollt.
Sind der oder die Sensoren platziert und mit dem Defense Center verbunden, lassen sie sich bequem steuern und auswerten. Dabei benötigen die einzelnen Sensoren selbst nur wenig Speicherplatz, da das Defense Center die Informationen zentral verwaltet. Dadurch zeigen die Statistiken ein komplettes Bild der Vorgänge im Netzwerk. Außerdem kann man so verhindern, dass Angreifer den Speicher der Sensoren gezielt vollschreiben, um ihre eigenen Spuren zu verdecken.
Die Sensoren selbst müssen natürlich so platziert werden, dass sie jeden Verkehr im Netzwerk mitschneiden können. Dazu eignen sich etwa Mirror-Ports, auf die der gesamte Verkehr eines LANs gespiegelt wird. Etwas komplexer wird es, wenn eine größere virtuelle Infrastruktur überwacht werden soll: Der virtuelle Traffic lässt sich nur sehr schwer auf ein physikalisches Gerät spiegeln. Hier fehlen meist noch passende Lösungen, kommende Generationen von Virtualisierungssoftware, etwa VMware vSphere, sollen dieses Problem aber angehen.