computerwoche.de

Archiv

Dshield.org hilft Systemadministratoren

Firewalls richtig konfigurieren

06.02.2004
MÜNCHEN (ave) - Nur mit der richtigen Konfiguration kann eine Firewall das Unternehmensnetz vor Angriffen schützen. Die Website www.dshield.org bietet dabei Unterstützung: Sie wertet Informationen über Viren- und Angriffsaktivitäten aus und hilft Richtlinien erstellen, um die Geräte anzupassen.

Wer sich einen Überblick über das momentane Gefahrenpotenzial im Internet verschaffen möchte, der ist bei www.dshield.org richtig: Die Site präsentiert aktuelle Informationen zu Angriffen oder anderen bösartigen Vorgängen im weltweiten Datennetz. Die Seite lebt vom Mitmachen, denn die Informationen stützen sich auf Logdateien, die Firewall-Administratoren freiwillig dort einreichen können. Das System wertet diese dann aus und katalogisiert sie.

Im Gegenzug können die Sicherheitsexperten die Analyseergebnisse kostenlos nutzen, um die Konfiguration ihrer Firewalls zu optimieren. Eine Registrierung ist hierzu zwar nicht nötig, aber erwünscht. Wer sich anmeldet, hat dadurch weitere Vorteile: Dann lassen sich nicht nur die allgemeinen Daten abrufen, sondern auch detaillierte Analysen der eigenen, eingereichten Log-Files.

Zu den von der Site gebotenen Informationen gehört unter anderem eine regelmäßig aktualisierte Liste der 20 Klasse-C-Subnetze, von denen aus innerhalb der letzten drei Tage die meisten Angriffe erfolgten. Um das Risiko, selbst Opfer einer Attacke zu werden, zu verringern, sollten Administratoren diese IP-Adressbereiche unbedingt blocken. Auf Dshield.org findet sich dazu eine Anleitung, wie sich eine entsprechende Regel für eine Firewall erstellen lässt, um eine Gefährdung von dieser Seite abzuwehren.

Daneben können sich IT-Spezialisten informieren, welche Ports derzeit am häufigsten von Hackern gescannt beziehungsweise direkt angegriffen werden. Bei dem im August 2003 kursierenden Wurm Blaster war beispielsweise der TCP-Port 135 betroffen. Selbst wenn die eigentliche Schwachstelle noch nicht beseitigt war, verhinderte schon ein Sperren dieses Ports in vielen Fällen, dass sich der Schädling weiter ausbreitete.

Schotten dichtmachen

Ähnlich wie in diesem Fall können Administratoren anhand der Dshield-Angaben bei erhöhter Aktivität auf einem speziellen Port rechtzeitig aktiv werden, um sich so vor einer drohenden Attacke zu schützen, selbst wenn der passende Patch für eine bestimmte Schwachstelle noch nicht vorliegen sollte.

Umgekehrt haben Adminsitratoren auch die Möglichkeit, sich gezielt über den Hintergrund zu informieren, sollten sie Aktivitäten auf einem bestimmten Kommunikationsport feststellen. Administratoren sehen mit Hilfe des "Port Report" dabei schnell, ob und wie häufig in diesem Zusammenhang Meldungen erzeugt wurden, sowie die Anzahl der Angreifer und der Ziele. Als Ergänzung bietet Dshield.org eine Übersicht über sämtliche Gefährdungen, die mit dem gerade gewählten Port in Verbindung stehen.

Eine weitere Funktion von Dshield.org ist die Liste der zehn gefährlichsten Angreifer. Dynamisch erstellt das System anhand der vorliegenden Daten ein Ranking derjenigen Rechner, die am häufigsten als Quelle von Attacken identifiziert werden konnten. Neben der jeweiligen IP-Adresse und dem Host-Namen zeigt Dshield auch an, wie viele Hinweise auf diese Adresse vorliegen.

Dshield wurde im November 2000 als "freiwillige Angriffs-Korrelations-Engine" von der Beratungsfirma Euclidian Consulting ins Leben gerufen. Dahinter steckt Johann Ullrich, der inzwischen als Chief Technology Officer (CTO) beim Internet Storm Center (ISC) des renommierten System-Administration-, Networking- and Security-(SANS-) Institute arbeitet. Dshield hat er mitgenommen: Das System wurde in das ISC integriert.

Sind Rechner sauber?

Ullrich berichtet, dass es etwa 2000 registrierte Dshield-Benutzer gibt. Pro Tag greifen außerdem etliche nicht registrierte Anwender auf die dort bereitgestellten Daten zu. Täglich gehen etwa 30 Millionen Logs von etwa einer halben Million unterschiedlichen Zieladressen ein.

Dem Spezialisten zufolge nutzen viele Anwender die Site auch, um festzustellen, ob ihr Netz noch "sauber" ist: Nach Eingabe einer bestimmten IP-Adresse vergleicht das System diese mit den Listen der Rechner, die als Angreifer aufgefallen sind. Bei einer Übereinstimmung deutet dies darauf hin, dass ein Rechner im Unternehmen infiziert worden ist.

Derzeit ist das System auf einfache Paketfilter-Firewalls zugeschnitten. Es gibt jedoch Überlegungen, in der Zukunft auch Log-Dateien von Application-Level-Firewalls zu verarbeiten.