Sensor und Defense Center

Sourcefire: Intrusion Detection in der Praxis

Intrusion Detection ist eine der wichtigsten Komponenten für den Schutz eines Netzwerks. Sensoren analysieren den Netzwerk-Traffic und schlagen bei verdächtigen Mustern Alarm. TecChannel nimmt die IDS/IPS-Lösung von Sourcefire in einem Praxistest unter die Lupe.

Nicht nur legitime Daten fließen durch Firmennetzwerke, auch Malware und Hacker-Attacken nutzen die vorhandene Infrastruktur. Systeme zur Intrusion Detection verfolgen den Traffic und schlagen Alarm, wenn sie ein Angriffsmuster oder ein verdächtiges Verhalten wahrnehmen. Kombiniert mit Intrusion Prevention können solche Systeme auch Gegenmaßnahmen einleiten.

Dasboard: Die Widgets stellen die jeweiligen Informationen aus dem Netzwerk da und lassen sich beliebig erweitern und anpassen.
Dasboard: Die Widgets stellen die jeweiligen Informationen aus dem Netzwerk da und lassen sich beliebig erweitern und anpassen.

Für unseren Praxistest haben wir uns ein Überwachungssystem von Sourcefire vorgenommen. Der Gründer von Sourcefire Martin Roesch ist in der Sicherheits-Szene kein Unbekannter. Er ist geistiger Vater von Snort, einem der bekanntesten Open-Source-Intrusion-Prevention-Systeme.

Test-Szenario und Aufbau

Unsere Testumgebung besteht aus einem Minimal-Setup. Dazu verwendeten wir ein Defence Center DC1000 als Management-Server sowie einen Sensor vom Typ 3D1000. Theoretisch lässt sich der Sensor auch alleine betreiben, allerdings verliert man dann einiges an Komfortfunktionen. Der Sensor wurde per One Time Password am Defence Center angemeldet, anschließend ließ sich eine erste Policy erstellen und auf das System ausrollen.

Da der reguläre Netzwerk-Traffic nur für wenig interessante Zwischenfälle gesorgt hätte, bespielten wir den Sensor mit zuvor aufgezeichnetem Datenverkehr, der auch mehrere Attacken und Exploit-Versuche enthielt.

Sind der oder die Sensoren platziert und mit dem Defense Center verbunden, lassen sie sich bequem steuern und auswerten. Ein weiterer Vorteil ist, dass die einzelnen Sensoren selbst nur wenig Speicherplatz benötigen, da das Defense Center die Informationen zentral verwaltet. Dadurch zeigen die Statistiken ein komplettes Bild der Vorgänge im Netzwerk. Außerdem kann man dadurch verhindern, dass Angreifer den Speicher der Sensoren gezielt vollschreiben, um ihre eigenen Spuren zu verdecken.

Zustandsanzeige: Das Defense Center verwaltet alle angeschlossenen Sensoren. Bis zu 100 sind maximal möglich.
Zustandsanzeige: Das Defense Center verwaltet alle angeschlossenen Sensoren. Bis zu 100 sind maximal möglich.

Die Sensoren selbst müssen natürlich so platziert werden, dass sie jeden Verkehr im Netzwerk mitschneiden können. Dazu eignen sich etwa Mirror-Ports, auf die der gesamte Verkehr des LANs gespiegelt wird. Etwas komplexer wird es, wenn eine größere virtuelle Infrastruktur überwacht werden soll: Der virtuelle Traffic lässt sich nur sehr schwer auf ein physikalisches Gerät spiegeln. Hier fehlen meist noch passende Lösungen, kommende Generationen von Virtualisierungssoftware, etwa VMware vSphere, wollen dieses Problem aber angehen.