Login
Newsletter
Werbung

Fr, 14. Dezember 2001, 00:00

Intrusion Detection am Beispiel von Snort (Teil 2)

An dieser Stelle sollen nicht die Vorteile von Open-Source-Software diskutiert werden. Dieser oftmals aussichtslose K(r)ampf hat schon Freundschaften gespalten und zu sinnlos langen Diskussionen geführt. Vielmehr ist die freie Verfügbarkeit von Snort in Bezug auf Intrusion Detection-Systeme ein wichtiger Kostenfaktor. Hier bietet Snort gegenüber kommerziellen Intrusion Detection-Systemen einen klaren Vorteil, nämlich die Tatsache, dass nur die Kosten für die Installation, Konfiguration und Pflege des Systems zu beachten sind. Kommerzielle Systeme bringen zusätzlich noch den Kostenfaktor des Kaufs mit sich.

2Warum Snort?

2.1Freie Verfügbarkeit

Zudem stellt sich die Frage, ob ein Mitarbeiter der eigenen Firma in der Lage ist, das kommerzielle System mit vorhandenener Dokumentation zuverlässig einzurichten. Mit Snort dürfte dies kein Problem mehr sein, denn dafür wurde schließlich dieser Artikel geschrieben ;). Sollte es mit Snort allerdings derartige Probleme geben, kann man die Firma Silicon Defense unter[7] kontaktieren und kommerziellen Support für Snort anfordern. In Anbetracht dessen, dass man nicht unbedingt für jedes zukünftige Update von Signaturen auf kommerziellen Support zurückgreifen möchte, wo es doch ein Leichtes ist, eigene Signaturen für Snort zu entwickeln, sollte man aber vielleicht doch in Erwägung ziehen, sich näher mit Snort auseinanderzusetzen. Die dafür investierte Zeit und natürlich das investierte Geld dürften sich im Nachhinein auf jeden Fall auszahlen.

Andere Entscheidungsgründe für oder gegen Snort werden wahrscheinlich auch von den Gegebenheiten des entsprechenden Netzwerkes abhängig sein. Ein Administrator, der unter Windows zu Hause ist, wird wohl eher einem IDS mit einer schönen bunten Oberfläche den Vorzug geben, da er es so oder so gewöhnt ist, hier und da ein Häkchen anzuklicken und die Sache läuft8, obwohl es Snort neben anderen Architekturen u.a. auch für Windows gibt. Für einen unter Unix und seinen Derivaten beheimateten Administrator wird die Wahl wohl nicht schwer sein, da er die Kommandozeile sowieso lieben gelernt hat und in Snort den richtigen Partner finden wird. Wie bei so vielen Software-Entscheidungen gilt auch hier der Grundsatz: Puristisch, aber leistungsfähig oder umfangreich und eventuelle Performance-Einbußen. Wobei hier den kommerziellen Systemen nicht ihre Leistungsfähigkeit abgesprochen werden soll, aber wir sind der Ansicht, dass größerer Umfang nicht unbedingt ein Mehrwert ist, sondern eher zu höheren Ansprüchen führen kann, und Hardware ist letzten Endes auch ein Kostenfaktor, der bei der Installation eines Intrusion Detection Systems entscheidend ist.

Was den Vergleich mit seinen kommerziellen Gegnern angeht, braucht sich Snort nicht hinter diesen zu verstecken. Snort wurde für einen guten Datendurchsatz und hohe Leistung optimiert und wird deswegen auch als Lightweight Intrusion Detection System bezeichnet (siehe[5]). Zwar bietet es keine so schönen Oberflächen für die Visualisierung, aber hier wurde vom CERT mit ACID und von der Firma Silicon Defense mit SnortSnarf Abhilfe geschaffen.

2.2Update der Signaturen

Das Update der Signaturen für neue Angriffe ist im Allgemeinen nicht nur eine Kostenfrage, sondern auch eine Frage der Geschwindigkeit. Snort kann mit einer mittlerweile großen Community aufwarten, die dafür sorgt, dass für neue Angriffe innerhalb von Stunden nach Bekanntwerden die entsprechenden Signaturen verfügbar sind. Zudem kann ein Administrator, der sowohl mit dem Entwerfen von Rules für Snort vertraut ist und sich auch mit den entsprechenden Angriffssignaturen auskennt, schnell und ohne größeren Aufwand eigene Signaturen schreiben. So ist also bei der Installation eines IDS wichtig, festzustellen, wie schnell der Hersteller mit entsprechenden neuen Signaturen aufwarten kann. Es ist möglicherweise inakzeptabel, dass die Aktualisierungen zwei bis drei oder mehr Tage benötigen, wenn sich doch mit Snort eine derart unkomplizierte und schnelle Möglichkeit der Aktualisierung bietet. Außerdem sollte man sich bei solch einer Entscheidung auch über Kosten, die die Updates vom Hersteller verursachen, im Klaren sein und diese mit dem Arbeitsaufwand, den Snort hier verursacht, aufwiegen.

3Snort und seine Möglichkeiten

3.1Analysemöglichkeiten

Snort arbeitet bei der Analyse der gesammelten Daten nach dem Prinzip der Missbrauchserkennung, welches in Abschnitt 1.2.2 erklärt wurde. Die zahlreichen Optionen von Snort erlauben Zugriff auf alle wichtigen Bestandteile der zu untersuchenden Pakete. Snort kann anhand der Quell- und Ziel-IP-Adressen, Quell- und Zielports, TCP-Flags, des Datenteils und noch diverser anderer Merkmale Pakete analysieren. Welche das im Ganzen sind, zeigt Abschnitt 6. Den Datenteil eines Paketes kann Snort anhand von Binärmustern in Form von Hexadezimal-Code analysieren oder mit Pattern-Matching auf Strings untersuchen.

Sollte man doch nach einer Möglichkeit der Anomalieerkennung suchen, bietet Snort über seine Plugin-Schnittstelle das Plugin Spade9, welches von Silicon Defense ([7]) entwickelt wird. Es bietet eine statistische Anomalieerkennung, ist aber noch in seinem frühen Entwicklungsstadium. Nichtsdestotrotz bietet Spade schon eine beachtliche Stabilität und wird im praktischen Umfeld schon erfolgreich eingesetzt. Allerdings wird empfohlen, für den Einsatz von Spade einen gesonderten Snort-Prozess laufen zu lassen, der nur für den Zweck der Anomalieerkennung konfiguriert ist.

Im allgemeinen bietet die Plugin-Schnittstelle von Snort die Möglichkeit, Pakete zu analysieren und gegebenenfalls zu verändern, noch bevor die eigentliche Analyse von Snort die Pakete untersucht.

Snort bietet noch diverse andere Präprozessoren an, zum Beispiel für die Erkennung von Portscans. Mehr dazu folgt in Abschnitt 6.2.1.

Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung