Installation und Erstkonfiguration

Workshop: Intrusion Detection und Intrusion Prevention mit Snort

Für die interne Sicherheit eines Netzwerks und die Analyse von Angriffen ist ein Intrusion-Detection-System (IDS) respektive ein Intrusion Prevention System (IPS) unverzichtbar. Was eine Firewall oder ein Anti-Virus-Programm nicht erkennt, ein IDS schlägt Alarm.

Eine der wohl bekanntesten IDS-Anwendungen ist das Open-Source-Tool Snort, das unter der Lizenz GNU GPL gestellt wurde. (Da die Grenzen zwischen einem IDS und einem IPS fließend sind, sprechen wir im weiteren Verlauf nur noch von IDS.) Dieser mehrteilige Workshop soll Ihnen dabei helfen, Snort besser zu verstehen und optimal zu konfigurieren. Bevor Sie allerdings ein IDS in Ihrem Netzwerk installieren, müssen Sie die Grundlagen kennen und Ihre Bedürfnisse analysieren. Damit beschäftigt sich der erste Teil unserer Artikelserie zu Snort. In weiteren Schritten beschäftigen wir uns dann mit den Themen Installation, Erstkonfiguration und Optimierung der Regeln sowie abschließend mit der Analyse der Meldungen.

Aufgaben eines IDS

Intrusion-Detection-Systeme sind inzwischen in vielen Netzwerken Standard. Sie können Angriffe im Regelfall bereits dann erkennen, wenn versucht wird, auf ein Netzwerk unautorisiert Zugriff zu bekommen. Ein IDS kann aber weitaus mehr: Es kann unter anderem den ordnungsgemäßem Login und Logout sowie die Zugriffe auf Dateien und Verzeichnisse innerhalb eines Netzwerks überwachen. Bei einem IDS unterscheidet man daher oft zwischen den host-basierten (HIDS) und den netzwerkbasierten (NIDS) Systemen.

Die Hauptaufgabe von Intrusion-Detection-Systemen besteht darin, Netzwerke zu analysieren und zu überwachen. Erkennen sie Anomalien im Datenverkehr, geben sie eine Warnung aus. Auf die dafür zuständigen Regeln gehen wir etwas später ein. Man unterscheidet dabei zwischen System-Ereignissen und User-Ereignissen. Dabei wird protokolliert und analysiert, was in einem System passiert oder welche Fehler User an einem Host oder in einem Netzwerk produzieren.

Grundsätzlich sollte ein IDS als zusätzliche Sicherheitsmaßnahme in ein bestehendes Netzwerk integriert werden. Häufig wird es eingesetzt, weil kein Vertrauen in die bestehenden Sicherheitsmaßnahmen vorhanden ist; so kann etwa eine Firewall durch eine Tunnelung über den stets offenen Port 80 unterlaufen werden. Des Weiteren kommen Intrusion-Detection-Systeme zum Einsatz, wenn sehr sensible Daten verarbeitet werden; der Zugriff darauf muss dann sehr restriktiv sein und engmaschig überwacht werden. Der Schutz vor Datenabfluss steht hier oft im Vordergrund, da Spionage heutzutage an der Tagesordnung ist.