Sensor und Defense Center

Test - Sourcefire Intrusion Detection

28.10.2009
Von 
Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.

In der Praxis

Das Interface des Defense Centers wirkt auf den ersten Blick aufgeräumt. Im oberen Bereich finden sich die drei Menüpunkte Analyse & Reporting, Policy & Response und Operations. Den größten Teil des Bildschirms belegt das Dashboard. Widgets, die sich beliebig anordnen lassen, zeigen eine Auswahl von Informationen an. Alle Widgets und Ansichten lassen sich nahezu uneingeschränkt verändern, umsortieren und anpassen.

Sobald die Geräte im Netz aktiv sind, beobachten sie den Traffic. Bevor sie allerdings sinnvolle Ergebnisse liefern, sollte eine Policy angepasst und ausgerollt werden. Sourcefire liefert fünf verschiedene Grund-Policies mit. Man kann diese wahlweise direkt verwenden oder sich neue Policies auf dieser Grundlage erstellen. Selbstredend kann man auch sie dahingehend einstellen, wann und wie ein Zuständiger alarmiert werden soll.

Policy ausrollen: Die jeweiligen Sensoren lassen sich mit unterschiedlichen Richtlinien bestücken.
Policy ausrollen: Die jeweiligen Sensoren lassen sich mit unterschiedlichen Richtlinien bestücken.

Zum Anpassen der jeweiligen Policy sollte man aber einiges an Zeit einplanen. Nahezu jedes vorhandene Protokoll lässt sich anpassen, einschränken oder freigeben. In jedem Fall ist es sinnvoll, das IDS zunächst in einem passiven Lauschmodus arbeiten zu lassen, um sich einen Überblick über das eigene LAN zu verschaffen. Aus den jeweiligen Ergebnissen lassen sich anschließend passende Policies erstellen oder bestehende Richtlinien abändern.

Genauere Ergebnisse dank RNA

Für die Optimierung der Warnungen ist besonders das Feature Real-Time Network Awareness, kurz RNA, interessant. Der separat lizenzierte Dienst legt nach und nach eine Übersicht an, welche Dienste, Betriebssysteme und Server im Netzwerk vorkommen.

Schwachstellenscanner: Sobald RNA das Netzwerk kennt, lassen sich Schwachstellen und mögliche Angriffswege gezielt überwachen.
Schwachstellenscanner: Sobald RNA das Netzwerk kennt, lassen sich Schwachstellen und mögliche Angriffswege gezielt überwachen.

Das hilft zum einen bei der Inventarisierung und verfolgt zum anderen noch einen weiteren Zweck: Sobald sich RNA einen Überblick über das Netzwerk verschafft hat, können registrierte Angriffe deutlich besser bewertet und zugeordnet werden. Oder einfacher gesagt: In einer Linux-only-Umgebung ist ein hoch kritisches Windows Server Exploit kein Grund für einen Alarm. Über diesen Dienst kann Sourcefire das Hintergrundrauschen sowie die Falssch-positiv-Rate deutlich verringern.