Angriffe erkennen und verhindern mit Suricata

Keine Chance für Einbrecher

Suricata ist ein umfangreiches Werkzeug, um Angriffe aus dem Netz von vornherein zu unterbinden oder wenigstens frühzeitig zu erkennen. Das Tool besticht durch seinen riesigen Funktionsumfang. Hier erfahren Sie, wie Sie es installieren und in Betrieb nehmen.
Was liegt näher, als immer wiederkehrende Aufgaben mit Skripten zu automatisieren. Das reduziert den Arbeitsaufwand wie auch die Fehleranfälligkeit. In der ... (mehr)

Erfolgreiche, aber unbemerkte Angriffe auf Systeme sind das absolute Horrorszenario jedes Administrators. Freilich ist ein Angriff schon dann nicht schön, wenn der Admin rechtzeitig Notiz davon erlangt, weil ihn etwa eine der vielen CERT-Stellen im Netz darüber informiert. Doch wenigstens ist es dann möglich, die Gefahr für andere Nutzer im Internet und besonders für die anderen Knoten der eigenen Plattform zu bannen, indem man das gehackte System kurzerhand aus dem Verkehr zieht und abschaltet. Bleibt der geglückte Angriff unbemerkt, besteht diese Möglichkeit nicht und es drohen äußerst unangenehme Konsequenzen. Etwa dann, wenn das System anschließend für illegale Aktivitäten verwendet wird.

Will der Admin sich wirksam zur Wehr setzen, muss er seine Installation adäquat absichern. Ein Mittel, um Schutz für die eigene Plattform zu realisieren, sind Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS): Erstere sollen Angriffe schnell und zuverlässig erkennen, während Letztere durch verschiedene Ansätze diese gleich von vornherein verhindern sollen. Suricata ist eine bekannte Kombination aus IPS und IDS auf Basis freier Software, die dem Admin beim Absichern seiner Setups unter die Arme greifen möchte.

Was IDS und IPS unterscheidet

Wie erwähnt vereint Suricata die Funktionen eines Intrusion-Prevention- mit jenen eines Intrusion-Detection-Systems. Zwar verwenden beide Ansätze im Hintergrund oft dieselben Informationen zur Analyse von Netzwerkverkehr, doch ansonsten handelt es sich um zwei unterschiedliche Konzepte.

Die vorrangige Idee bei einem IDS ist es, einen Angriff zu erkennen, der gerade stattfindet. Damit Suricata diese Aufgabe erledigen kann, muss es den Traffic analysieren, der auf einem Host ankommt. Der Linux-Kernel bietet hierzu die Möglichkeit, ein Interface auf einem Host virtuell zu klonen, also quasi einen lokalen Spiegelport

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019