Angriffe erkennen und verhindern mit Suricata

Erfolgreiche, aber unbemerkte Angriffe auf Systeme sind das absolute Horrorszenario jedes Administrators. Freilich ist ein Angriff schon dann nicht schön, wenn der Admin rechtzeitig Notiz davon erlangt, weil ihn etwa eine der vielen CERT-Stellen im Netz darüber informiert. Doch wenigstens ist es dann möglich, die Gefahr für andere Nutzer im Internet und besonders für die anderen Knoten der eigenen Plattform zu bannen, indem man das gehackte System kurzerhand aus dem Verkehr zieht und abschaltet. Bleibt der geglückte Angriff unbemerkt, besteht diese Möglichkeit nicht und es drohen äußerst unangenehme Konsequenzen. Etwa dann, wenn das System anschließend für illegale Aktivitäten verwendet wird.

Will der Admin sich wirksam zur Wehr setzen, muss er seine Installation adäquat absichern. Ein Mittel, um Schutz für die eigene Plattform zu realisieren, sind Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS): Erstere sollen Angriffe schnell und zuverlässig erkennen, während Letztere durch verschiedene Ansätze diese gleich von vornherein verhindern sollen. Suricata ist eine bekannte Kombination aus IPS und IDS auf Basis freier Software, die dem Admin beim Absichern seiner Setups unter die Arme greifen möchte.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.