Workshop: Intrusion Detection und Intrusion Prevention mit Snort

Sicherheitshinweis
Grundsätzlich kann Snort nur mit einer individuellen Konfiguration seine volle Wirkung entfalten. Folglich sind die hier genannten Installationshinweise und Konfigurationen lediglich praxisnahe Empfehlungen. Auch die entsprechenden Handlungsweisen unterliegen immer einer individuellen Policy, die im Unternehmen eingeführt und gelebt werden sollte. Das gilt für alle Systeme, die für die Sicherheit in der IT verantwortlich sind.

Im nächsten Schritt betrachten wir die Preprocessoren von Snort, die ebenfalls in der snort.conf editiert werden können. Entsprechende, jeweils für das Netzwerk spezifizierte Optionen sollten gut überlegt sein. Preprocessoren sind Extensions, also Erweiterungen von Snort, die dazu dienen, zusätzliche Module einzubinden und Snort leistungsfähiger zu machen.

Ein Intrusion-Detection-System dient dazu, Angriffe frühzeitig zu erkennen. So hat man die Möglichkeit, als Preprocessor zu definieren, wie viele TCP- oder UDP-Ports eine Quelle innerhalb einer definierten Zeit anfragen muss, um als Portscan deklariert zu werden. Damit kann sichergestellt werden, dass ein gezielter Portscan innerhalb eines Netzwerkes oder von außen rechtzeitig erkannt wird.

Wichtig für Administratoren: Man muss die genauen Ports der Applikationen kennen, die sich innerhalb des Netzwerkes befinden. Andernfalls kann es zu Ausfällen kommen, wenn Snort fälschlicherweise von einem Angriff ausgeht und Gegenmaßnahmen ergreift.