Nicht nur legitime Daten fließen durch Firmennetzwerke, auch Malware und Hacker-Attacken nutzen die vorhandene Infrastruktur. Systeme zur Intrusion Detection sollen den Traffic verfolgen und Alarm schlagen, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen. Kombiniert mit Intrusion Prevention, können solche Systeme auch Gegenmaßnahmen einleiten.
Für unseren Praxistest haben wir uns ein Überwachungssystem von Sourcefire vorgenommen. Der Gründer von Sourcefire, Martin Roesch, ist in der Sicherheitsszene kein Unbekannter. Er ist geistiger Vater von Snort, einem der bekanntesten Open-Source-Intrusion-Prevention-Systeme.
Testszenario und Aufbau
Unsere Testumgebung besteht aus einem Minimal-Setup. Dazu verwendeten wir ein Defence Center DC1000 als Management-Server sowie einen Sensor vom Typ 3D1000. Theoretisch lässt sich der Sensor auch alleine betreiben, allerdings verliert man dann einiges an Komfortfunktionen. Der Sensor wurde per One Time Password am Defence Center angemeldet, anschließend ließ sich eine erste Policy erstellen und auf das System ausrollen.
Da der reguläre Netzwerk-Traffic nur für wenig interessante Zwischenfälle gesorgt hätte, bespielten wir den Sensor mit zuvor aufgezeichnetem Datenverkehr, der auch mehrere Attacken und Exploit-Versuche enthielt.
Sind der oder die Sensoren platziert und mit dem Defense Center verbunden, lassen sie sich bequem steuern und auswerten. Dabei benötigen die einzelnen Sensoren selbst nur wenig Speicherplatz, da das Defense Center die Informationen zentral verwaltet. Dadurch zeigen die Statistiken ein komplettes Bild der Vorgänge im Netzwerk. Außerdem kann man so verhindern, dass Angreifer den Speicher der Sensoren gezielt vollschreiben, um ihre eigenen Spuren zu verdecken.
Die Sensoren selbst müssen natürlich so platziert werden, dass sie jeden Verkehr im Netzwerk mitschneiden können. Dazu eignen sich etwa Mirror-Ports, auf die der gesamte Verkehr eines LANs gespiegelt wird. Etwas komplexer wird es, wenn eine größere virtuelle Infrastruktur überwacht werden soll: Der virtuelle Traffic lässt sich nur sehr schwer auf ein physikalisches Gerät spiegeln. Hier fehlen meist noch passende Lösungen, kommende Generationen von Virtualisierungssoftware, etwa VMware vSphere, sollen dieses Problem aber angehen.
In der Praxis
Das Interface des Defense Centers wirkt auf den ersten Blick aufgeräumt. Im oberen Bereich finden sich die drei Menüpunkte Analyse & Reporting, Policy & Response und Operations. Den größten Teil des Bildschirms belegt das Dashboard. Widgets, die sich beliebig anordnen lassen, zeigen eine Auswahl von Informationen an. Alle Widgets und Ansichten lassen sich nahezu uneingeschränkt verändern, umsortieren und anpassen.
Sobald die Geräte im Netz aktiv sind, beobachten sie den Traffic. Bevor sie allerdings sinnvolle Ergebnisse liefern, sollte eine Policy angepasst und ausgerollt werden. Sourcefire liefert fünf verschiedene Grund-Policies mit. Man kann diese wahlweise direkt verwenden oder sich neue Policies auf dieser Grundlage erstellen. Selbstredend kann man auch sie dahingehend einstellen, wann und wie ein Zuständiger alarmiert werden soll.
Zum Anpassen der jeweiligen Policy sollte man aber einiges an Zeit einplanen. Nahezu jedes vorhandene Protokoll lässt sich anpassen, einschränken oder freigeben. In jedem Fall ist es sinnvoll, das IDS zunächst in einem passiven Lauschmodus arbeiten zu lassen, um sich einen Überblick über das eigene LAN zu verschaffen. Aus den jeweiligen Ergebnissen lassen sich anschließend passende Policies erstellen oder bestehende Richtlinien abändern.
Genauere Ergebnisse dank RNA
Für die Optimierung der Warnungen ist besonders das Feature Real-Time Network Awareness, kurz RNA, interessant. Der separat lizenzierte Dienst legt nach und nach eine Übersicht an, welche Dienste, Betriebssysteme und Server im Netzwerk vorkommen.
Das hilft zum einen bei der Inventarisierung und verfolgt zum anderen noch einen weiteren Zweck: Sobald sich RNA einen Überblick über das Netzwerk verschafft hat, können registrierte Angriffe deutlich besser bewertet und zugeordnet werden. Oder einfacher gesagt: In einer Linux-only-Umgebung ist ein hoch kritisches Windows Server Exploit kein Grund für einen Alarm. Über diesen Dienst kann Sourcefire das Hintergrundrauschen sowie die Falssch-positiv-Rate deutlich verringern.
Signatur- und Firmware-Updates
Wie ein Antivirensystem benötigt auch die Sourcefire IDS Signaturen, um Angriffe zuverlässig erkennen zu können. Allerdings variieren die Attacken deutlich weniger als bei Malware. Für das IDS kommen die gleichen Updates wie bei Snort zum Einsatz. Sourcefire aktualisiert die Datenbanken in regelmäßigen Abständen. Zunächst erhalten Abonnenten die neuen Signaturen, nach einiger Zeit stehen die Informationen allen zur Verfügung. Die Dateien lassen sich zentral herunterladen und anschließend per Push-Befehl auf die angeschlossenen Geräte verteilen.
Neben VRT-Updates erhalten Anwender auch immer wieder Updates für die Firmware der eingesetzten Geräte. Praktischerweise lassen sich die Aktualisierungen sowohl beim Defense Center als auch bei den Sensoren direkt über das Web-Interface herunterladen und einspielen. Außerdem ist es möglich, zu einer früheren Version zurückzukehren. Sollte der Internet-Zugriff nicht vorhanden sein, etwa wegen einer gegenwärtigen Attacke auf das Netzwerk, können Updates auch direkt auf das Defense Center und die Sensoren eingespielt werden.
Reports: Übersichtlich und anpassbar
Ebenso flexibel wie die Policies sind die Auswertungen. In den Widgets lässt sich so ziemlich jeder Wert aus der Sourcefire-Datenbank auslesen und darstellen. Das Dashboard selbst kann durch Tabs erweitert werden, so dass man die Übersichten thematisch aufbereiten kann. Diese Vielfalt hat ihre Vor- und Nachteile. Denn zum einen kann man hoch spezialisierte Übersichten über das Netzwerk und die aktuellen Vorgänge schaffen, zum anderen ist das Erstellen mitunter sehr zeitaufwändig, und im schlimmsten Fall verzettelt man sich in Einzelansichten und verliert damit den Überblick.
Im Test hat auch die Benutzerverwaltung gut gefallen. Die Dashboards können für jeden Nutzer separat abgespeichert und eingerichtet werden. Damit ist sichergestellt, dass jeder die für ihn relevanten Daten erhält und sich seine Informationen nicht mühsam aus einem großen Dashboard zusammensuchen muss.
Der gute Eindruck der Dashboards setzt sich bei den einzelnen Reports fort. Auch hier kann man detailliert einstellen, welche Informationen in welcher Form in welchem Report landen. Das Erstellen und Versenden der Reports lässt sich weitgehend automatisieren. Gut auch, dass die Daten in verschiedenen Formaten aufbereitet werden können; zur Auswahl stehen PDF, HTML oder CSV.
Fazit
Sourcefire ist nichts für kleine Netzwerke und Nebenbei-Admins. Dazu ist die Lösung zum einen zu mächtig, zum anderen muss der Administrator die Zeit und das Wissen haben, die notwendig sind, um die Funktionen an seine Bedürfnisse anpassen zu können. Allein die vielfältigen Konfigurationsmöglichkeiten der Policies verwirren auf den ersten Blick, Fehlkonfigurationen sind da nahezu programmiert.
In den Händen eines gut geschulten Administrators wird das Sourcefire IDS aber zu einer mächtigen Schutzkomponente im Netz. Gerade durch die granularen Einstellungsmöglichkeiten lassen sich Bedrohungen gezielt erkennen, die sonst im Rauschen untergehen. Hier hilft die Kombination mit der Real-Time-Network-Awareness-Komponente. Dadurch kann das System aktuelle Angriffe deutlich besser klassifizieren und dem Admininstrator viel Zeit sparen.
Besonders gut gefallen auch die vielfältigen Auswertungsmöglichkeiten. Sourcefire schafft es nicht nur, die Daten sinnvoll zu analysieren, sondern kann die einzelnen Reports auch für Nicht-ITler verständlich aufbereiten. Dadurch wird es einfacher, Argumente für Sicherheit im Unternehmensnetz vorzubringen und das notwendige Budget zu rechtfertigen. (hi)
Dieser Beitrag wurde uns freundlicherweise von unserer Schwesterpublikation TecChannel zur Verfügung gestellt.