Sensor und Defense Center

Test - Sourcefire Intrusion Detection

Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Intrusion Detection ist eine der wichtigsten Komponenten zum Schutz eines Netzwerks. Sensoren analysieren den Netz-Traffic und schlagen bei verdächtigen Mustern Alarm. Wir haben die IDS/IPS-Lösung von Sourcefire unter die Lupe genommen.
Dashboard: Die Widgets stellen die jeweiligen Informationen aus dem Netzwerk dar und lassen sich beliebig erweitern und anpassen.
Dashboard: Die Widgets stellen die jeweiligen Informationen aus dem Netzwerk dar und lassen sich beliebig erweitern und anpassen.

Nicht nur legitime Daten fließen durch Firmennetzwerke, auch Malware und Hacker-Attacken nutzen die vorhandene Infrastruktur. Systeme zur Intrusion Detection sollen den Traffic verfolgen und Alarm schlagen, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen. Kombiniert mit Intrusion Prevention, können solche Systeme auch Gegenmaßnahmen einleiten.

Für unseren Praxistest haben wir uns ein Überwachungssystem von Sourcefire vorgenommen. Der Gründer von Sourcefire, Martin Roesch, ist in der Sicherheitsszene kein Unbekannter. Er ist geistiger Vater von Snort, einem der bekanntesten Open-Source-Intrusion-Prevention-Systeme.

Testszenario und Aufbau

Unsere Testumgebung besteht aus einem Minimal-Setup. Dazu verwendeten wir ein Defence Center DC1000 als Management-Server sowie einen Sensor vom Typ 3D1000. Theoretisch lässt sich der Sensor auch alleine betreiben, allerdings verliert man dann einiges an Komfortfunktionen. Der Sensor wurde per One Time Password am Defence Center angemeldet, anschließend ließ sich eine erste Policy erstellen und auf das System ausrollen.

Da der reguläre Netzwerk-Traffic nur für wenig interessante Zwischenfälle gesorgt hätte, bespielten wir den Sensor mit zuvor aufgezeichnetem Datenverkehr, der auch mehrere Attacken und Exploit-Versuche enthielt.

Sind der oder die Sensoren platziert und mit dem Defense Center verbunden, lassen sie sich bequem steuern und auswerten. Dabei benötigen die einzelnen Sensoren selbst nur wenig Speicherplatz, da das Defense Center die Informationen zentral verwaltet. Dadurch zeigen die Statistiken ein komplettes Bild der Vorgänge im Netzwerk. Außerdem kann man so verhindern, dass Angreifer den Speicher der Sensoren gezielt vollschreiben, um ihre eigenen Spuren zu verdecken.

Zustandsanzeige: Das Defense Center verwaltet bis zu 100 angeschlossene Sensoren.
Zustandsanzeige: Das Defense Center verwaltet bis zu 100 angeschlossene Sensoren.

Die Sensoren selbst müssen natürlich so platziert werden, dass sie jeden Verkehr im Netzwerk mitschneiden können. Dazu eignen sich etwa Mirror-Ports, auf die der gesamte Verkehr eines LANs gespiegelt wird. Etwas komplexer wird es, wenn eine größere virtuelle Infrastruktur überwacht werden soll: Der virtuelle Traffic lässt sich nur sehr schwer auf ein physikalisches Gerät spiegeln. Hier fehlen meist noch passende Lösungen, kommende Generationen von Virtualisierungssoftware, etwa VMware vSphere, sollen dieses Problem aber angehen.