Workshop: Intrusion Detection und Intrusion Prevention mit Snort

Pflege und Wartung

Wer sich entscheidet, ein IDS einzusetzen, sollte sich tunlichst darüber im Klaren sein, dass er Zeit in die Pflege der Regeln und in Updates investieren muss. Bei Snort sorgt eine große Community dafür, dass neue Angriffe schnell den Weg in die Regeln finden und somit auch von Snort erkannt werden. Aber der administrative Aufwand für die Pflege der Regeln ist nicht zu unterschätzen. Auch das aufkommende Datenvolumen für die Logfiles und die Auswertung ist nicht gerade klein. Daher scheuen sich viele Administratoren, ein IDS einzusetzen.

Es gibt aber auch viele Vorteile, die für ein IDS sprechen. So kann der Entscheidungsweg bei einem Alarm deutlich verkürzt werden. Ist ein IDS mit einer verbindlichen Policy ausgestattet, kann man in einem Alarmfall handeln, ohne sich zusätzliche Genehmigungen vom Management einholen zu müssen. Die zu ergreifenden Maßnahmen sind bereits bei der Einführung beschlossen worden, und es geht keine wertvolle Zeit verloren. Im Vorfeld muss allerdings sichergestellt sein, dass eine eindeutige Identifikation zwischen einem Angriff und einer normalen Aktivität gegeben ist.

Für den Einsatz eines Intrusion-Detection-Systems spricht zudem, dass es über Möglichkeiten verfügt, aktiv den Netzwerkverkehr zu unterbrechen. Wie sinnvoll das ist, muss jeder Administrator mit der Geschäftsleitung absprechen, da hier kaufmännische Überlegungen eine Rolle spielen. Bei Snort besteht die Option, über das libnet-API auf einen Angriff zu antworten. Snort kann darüber beispielsweise bestehende TCP-Verbindungen unterbrechen, indem es RST- oder ICMP-Pakete versendet. Net-, Host- oder Port-unreachable wären dann potenzielle ICMP-Meldungen.