Snort enthüllt, was Firewall-Sicherheitslogs verschweigen

Dieser erste Einsatz von Snort hat uns die Augen geöffnet. Zunächst stellte sich heraus, dass wir die Logs der Firewall fehlerhaft lasen. Die Daten waren tatsächlich unter den Einträgen der Kategorie Info zu finden und in keiner weiteren, die wir kontrollierten. Außerdem sahen wir ein, dass die Suche nach verdächtigen Einträgen in den Info-Logs ohne Snort buchstäblich die sprichwörtliche Suche nach der Nadel im Heuhaufen wäre. Ohne die Zuordnung der Zeit zur IP-Adresse des Angreifers wäre es praktisch unmöglich gewesen, die Angriffe zu entdecken.

Die Erfahrung zeigte uns auch, dass es einen besseren Weg zur Entdeckung von Angriffen geben musste als den, Tausende von Snort-Warnungen zu durchforsten. Die Lösung lag im Einsatz von SnortSnarf (ebenfalls von Silicon Defense). SnortSnarf fasst alle Warneinträge von Snort in einem leicht lesbaren HTML-Format zusammen.

Obgleich die Anleitung zur Installation von Snort und SnortSnarf unter Windows NT oder 2000 auf der Website von Silicon Defense die Benutzung des IIS vorsehen, installierten wir es auf dem oben erwähnten Laptop, der mit Windows 98 und dem Personal Web Server lief. Die Kompilierung der ganzen Daten durch SnortSnarf ist eine sehr CPU-intensive Angelegenheit und der alte Laptop hatte ziemlich damit zu kämpfen. Abgesehen von einigen wenigen Problemen mit der Benutzung der MS-DOS-Eingabe bei ein paar Einträgen mit besonders langen Befehlszeilen (wir haben das gelöst, indem wir stattdessen den Befehl Windows ,Ausführen‘ benutzten) lief alles so, wie es entsprechend der Instruktionen sein sollte. Am nächsten Tag hatten wir dann eine hübsche HTML-Darstellung aller Aktivitäten der vorhergehenden Nacht. Obwohl keine der Warnungen so intensiv war wie der Zwischenfall mit Code Red in der ersten Nacht, war es doch interessant und wir fühlten uns mit unserer Netzwerksicherheit ganz auf der Höhe.

Unserer nächster Schritt wird die Optimierung der Konfigurationsdatei sein, um die Tausenden von falschen Warnungen zu eliminieren, die wir erhalten. Außerdem haben wir vor, innerhalb der Firewall einen Snort-Monitor einzurichten, auf dem wir sehen können, ob irgend etwas Verdächtiges passiert. Und wir sehen uns noch den LANguard Security Event Log Monitor (S.E.L.M.) von GFI Software an. (Dessen kostenloser LANguard Network Scanner ist ebenfalls ein nettes Tool.) S.E.L.M. ist ein Host-basiertes System zur Aufdeckung von Angriffen (HIDS). HIDS wie S.E.L.M. werden oft zusammen mit Netzwerk-IDS (wie Snort) verwendet, um einen vollständigeren Überblick über die Netzwerksicherheit zu erzielen.