Vorbeugen oder Heilen

Neben der bloßen Diagnose beherrscht Snort auch einige Maßnahmen, um Angriffsversuche abzuwehren. Die drei wichtigsten Methoden dafür sind Inline Filtering, die Zusammenarbeit mit einer Iptables-Firewall und der TCP-RST-Modus. Wenn Snort im Inline-Modus arbeitet, muss aller Traffic das IDS passieren, bevor er das interne Netz erreicht. Trifft eine entsprechende Regel zu, verwirft Snort die Pakete. Die Inline-Lösung entspricht einer avancierten Firewall mit regelmäßig aktualisierten Regeln. Jedoch kann so das IDS durch False Positives auch ungewollt den Zugang blockieren oder das Netzwerk verlangsamen, wenn es mehr Traffic gibt, als es verarbeiten kann.

Wer schon eine Iptables-Firewall betreibt, kann Snort so einrichten, dass es dynamisch deren Regeln anpasst. Diese Option reduziert etwas die Verzögerung beim Eintritt in das interne Netz, umgekehrt reagiert das ganze System träger auf Angriffe. Wenn verdächtige Pakete einen Alarm auslösen, schickt Snort eine Nachricht an die Firewall, die entsprechende IP-Adresse zu blockieren. Ein cleverer Angreifer kann das für eine Denial-of-Service-Attacke ausnutzen. In Kombination mit DNS-Spoofing kann das dazu führen, dass Ihr System wichtige eigene Server blockiert. Das verhindern Sie beispielsweise mit White Lists, die Adressen enthalten, die niemals blockiert werden dürfen. Diese Adressen kann ein Angreifer nun wiederum natürlich für Angriffe missbrauchen, wenn er sie herausfindet.

Als dritte Option kann Snort direkt unerwünschte Verbindungen beidseitig abbrechen, indem es TCP-Reset-Pakete (TCP-RST) verschickt. Dieser Weg führt allerdings zu einer Race Condition zwischen dem IPS und dem verdächtigen Traffic. Das IPS bricht die Verbindung ab, bevor der Angriff vollständig abgelaufen ist. Der Angreifer hat in diesem Fall einen Vorteil, denn eine ganze Reihe Pakete sind bereits innerhalb des Netzwerks, bevor Snort etwas unternehmen kann. Diese Methode kann sicherlich gewisse Angriffe abwehren, aber sie ist weniger zuverlässig als die anderen Techniken.

Welche der vielen Möglichkeiten der Snort-Konfiguration man wählt, hängt von den eigenen Anforderungen an Sicherheit und der Netzwerktopologie ab. Wer Snort als IPS einsetzen möchte, sollte es zunächst als IDS konfigurieren und so einstellen, dass es möglichst wenige False Positives gibt. Erst dann ist die rechte Zeit, Snort auf den IPS-Modus umzustellen.

Fazit

Selbst weitere zehn Magazinseiten wären zu wenig, um alle Möglichkeiten das Snort-IDS erschöpfend zu behandeln. Zum Beispiel habe ich noch gar nicht das reizende ASCII-Schweinchen angesprochen, mit dem Snort anzeigt, dass es läuft (Abbildung 5). Doch kein Grund zur Verzeiflung: Wo diese Einführung endet, beginnen viele andere erst. Eine Vielzahl von Büchern und Websites helfen beim Einstieg in Snort. Die Snort-Website bietet eine ganze Reihe von Tipps, um spezifische Probleme zu lösen, einschließlich eines Forums, indem Sie auf Leidensgenossen und begeisterte Anwender treffen.

Abbildung 5: ASCII-Art alter Schule: das Snort-Maskottchen auf der linken Seite.