Schweizer Messer

Big Brother in Echtzeit

Da der NFR die Datenpakete gleich weiterverarbeiten muß und deshalb eine vergleichsweise hohe CPU-Belastung erzeugt, mußte der Hersteller die libpcap-Bibliotkek etwas anpassen, um keine Pakete zu verlieren. Derzeit arbeitet der NFR auf der Basis der nicht mehr aktuellen (aber getesteten) libpcap-Version 0.3.1a2. Die aktuelle Version 0.4a2 hat die NFR-Weihe noch nicht hinter sich. Auch nach der Performance-Optimierung sollte die NFR-Testmaschine zu der schnelleren Kategorie gehören und möglichst als dediziertes System ohne weitere Aufgaben fungieren.

Bild 2 zeigt, wie der Datenfluß innerhalb des NFR abläuft. Nachdem die Packet Sucker die Daten aufgenommen haben, wandern sie zur zentralen "Engine", dem "NFRD". Von hier gelangen die Pakete über ein API zur Entscheidungsmaschine. Diese gleicht über programmierbare Filter (der sogenannte N-Code wird zur Ausführung in Byte-Codes kompiliert) den Datenstrom in Echtzeit mit gewünschten Vorbedingungen ab. Hierzu verwaltet das System die Pakete in einer "Reassembly Table", so daß eine komplette TCP-Verbindung auch logisch zu untersuchen ist. Je nach Status verwirft der NFRD die eingegangenen Datenpakete, leitet sie zur Weiterbearbeitung an Backend-Prozessoren weiter oder gibt einen Alarm aus.

Der logische Mitschnitt einer Verbindung ist zwar ein riesiger Ressourcenkiller, aber erst damit läßt sich eine komplexere Überwachung realisieren. Tritt ein bestimmtes Ereignis ein, so kann die Historie der entsprechenden Verbindung sehr wichtig sein. Dies trifft insbesondere auf typische Einbruchsversuche zu, die aus einer Folge genau abgestimmter Kommando-Sets bestehen und sich erst nach einer Weile "verraten". Erst wenn die Verbindung mit größter Sicherheit abgeschlossen ist, gilt die Überwachung der Verbindung als beendet. Hierzu wartet der Filter nach dem offiziellen Abschluß per FIN-Paket zur Sicherheit noch eine Weile ab, unter anderem um bekannten Hacks einen Riegel vorzuschieben. Die logische Analyse des Datenstroms erleichtert es auch, Übertragungsfehler wie verlorene Pakete oder "Retransmissions" festzustellen. So kann ein Administrator der Ursache für erhöhten Datenverkehr auf den Grund gehen.