Eindringlinge mit Snort 3 aufspüren

Anders als reine Intrusion Detection Systeme (IDS), die lediglich eine Protokollierung des Netzwerkverkehrs durchführen, verhindert ein Intrusion Prevention System (IPS) die Weiterleitung von Datenpaketen im Rahmen eines Angriffs und schützt somit aktiv vor Einbrüchen und Attacken auf schützenswerte Systeme. Hierfür muss das IPS natürlich Zugriff auf den kompletten Datenverkehr erhalten, der über einen Router oder Switch läuft. Eine IPS-Software befindet sich somit entweder direkt auf den Routern oder liest den Datenverkehr über den Monitoring-Port eines Switches mit. Hierfür kommt entweder eine dedizierte Hardware-Appliance, wie beispielsweise "Secure IPS" von Cisco [1], oder eine Software auf einem regulären Computersystem zum Einsatz, die den kompletten Netzwerkverkehr mitlesen kann. In diesem Workshop beleuchten wir das softwarebasierte Snort [2].

Erkennen von Angriffsmustern

Ein netzwerkbasiertes IDS/IPS versucht in der Regel, Angriffe und Einbruchsversuche anhand bestimmter Muster zu erkennen. Diese sind meist in umfangreichen Regelwerken oder Datenbanken hinterlegt. Da viele Angriffe heutzutage auf der Applikationsebene stattfinden, muss ein IDS/IPS also das Applikationsprotokoll verstehen. Als einfaches Beispiel kann hier die URL-Kodierung dienen: Da der Angriff auch über mehrere Datenpakete verteilt laufen kann, muss das System in der Lage sein, diese Pakete in der richtigen Reihenfolge wieder zusammenzusetzen und eine Analyse auf dem kompletten Datenstrom durchzuführen.

Eine Anomalieerkennung schlägt immer dann Alarm, wenn ein auffälliges Verhalten im Netzwerk beobachtet wird. Dies kann der Fall sein, wenn als Teil von einem Portscan sehr viele Pakete von der gleichen IP-Adresse an unterschiedliche Ports gesendet werden. Der Detektor sollte dies auch dann erkennen, wenn die Pakete zeitversetzt versendet werden. Um den immensen Datenmengen, die

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.