Beobachtet auch Nutzer im Netzwerk:
Im Test: Snort als Basis für umfangreiches Threat-Management

von Werner Veith (werner.veith@networkcomputing.de), Dirk Jarzyna

Share
15.07.2009

Die aktuelle Version der Netzwerk-Threat-Management-Lösung 3D System« von Sourcefire glänzt besonders mit stark vereinfachtem Deployment und Management. Network Computing hat sich das System, das Snort für Intrusion-Protection verwendet, genauer angesehen.

(Fortsetzung des Artikels von Seite 2)

Sourcefire [1] ist durch ihre IPS-Software »Snort« (Intrusion-Protection-System) bestens bekannt. Dass das Unternehmen auch eine hoch entwickelte Netzwerk-Threat-Management-Lösung offeriert, wissen hingegen nur wenige Sicherheits-Profis. Das sollte sich ändern, denn die Appliance »3D-System Version 4.8 [2]« arbeitet ganz hervorragend.

Das Intrusion-Protection-System »3D System 4.8« von Sourcefire sammelt umfangreiche Informationen.

Die drei Hauptkonzepte hinter dieser Appliance sind simpel: interne und externe Bedrohungen entdecken, die Schwachstellen bestimmen und dann gegen die Bedrohungen verteidigen. Es handelt sich um eine Lösung mit mehreren Sensor-Appliances, die der Administrator an beliebigen Stellen im Netzwerk installiert. Über die Defence-Center-Appliance [3] (DC) verwaltet er 3D-Sensoren [4] zentral. Sourcefire offeriert verschiedene Sensoren für das Monitoring von Verbindungsgeschwindigkeiten von 5 MBit/s bis hinauf zu 10 GBit/s.

Die Sensoren verwenden das bekannte Snort, das Intrusion-Detection und -Prevention zur Verfügung stellt. Hinzu kommen Sourcefires Realtime-Network-Awareness [5] (RNA) und Realtime-User-Awareness [6] (RUA). RNA beobachtet interne und externe Systeme und sammelt detaillierte Informationen darüber. Dazu gehören die genutzten Betriebssysteme, ausgeführte Dienste und Applikationen sowie – das ist das Wichtigste – Schwachstellen.

Diese Informationen werden an die DC-Appliance weitergeleitet, die für jedes System ein Threat-Assessment durchführt. Die Appliance verknüpft dann die Schwachstellen mit entdeckten Bedrohungen, womit es ihr möglich ist, nur auf Ereignisse zu reagieren, die für das von ihr geschützte Netzwerk relevant sind. Dies reduziert die Menge der False-Positive und den damit verbundenen Management-Overhead drastisch.

RUA integriert sich in LDAP und Active-Directory, was eine Zuordnung von Benutzerdetails zu Sicherheitsereignissen gestattet. Der Sensor kann jeden Benutzer beobachten, der sich via IMAP, LDAP, Kerberos und POP3 anmeldet. Sicherheitsrichtlinien bieten dem Benutzer also Schutz, egal von wo aus sie sich einloggen.

Das Deployment ist einfach, da jede Sensor-Appliance ihre eigene Webschnittstelle besitzt. Der Administrator gibt einfach die lokale IP-Adresse und die Adresse der DC-Appliance ein, wählt zwischen Inline- oder passivem Modus und aktiviert schließlich automatische Updates. Die Installation der DC-Appliance läuft mit Hilfe einer geführten Installationsroutine in der Web-Konsole ebenso glatt. Einzugeben sind hier die Details der Sensoren. Das System bietet sofortigen Schutz, da es automatisch eine Standard-Sicherheitsrichtlinie anwendet.

Die Web-Konsole der DC-Appliance besitzt ein gutes Design und offeriert ein cleveres, durch den Benutzer konfigurierbares Dashboard mit Grafiken und Diagrammen. Diese zeigen die aktiven Systeme und IP-Adressen, Bedrohungsgrade und den Appliance-Status an. Neu ist, dass das Dashboard nun auf Widgets basiert. Die Widgets lassen sich exportieren, um sie anderen Benutzern zur Verfügung zu stellen, was ein Sharing kompletter Dashboards erlaubt.

Unter »Analysis and Reporting« bietet das System eine Tonne von Informationen, und durch Auswahl der IPS-Option erhält der Benutzer eine kategorisierte Liste alle Intrusion-Ereignisse. Impact-Icons kennzeichnen den Schweregrad jedes Ereignisses. Wählt der Benutzer ein Icon aus, reduziert sich die Liste auf Ereignisse mit genau diesem Schweregrad. Dadurch ist es sehr einfach, die Ereignisse zu sehen, die eine Bedrohung darstellen. Für jedes Ereignis zeigt 3D-System die Quell- und Zielsysteme und deren verknüpfte Benutzer. Durch weitere Selektionen lassen sich spezifische Angriffsdetails abrufen.

Snort erledigt die Paketdekodierung und -inspektion. Benutzer sehen unmittelbar, welche Regeln durch eine Attacke aktiviert wurden. Umfangreiche Berichte stehen zur Verfügung. Analytiker werden sich vielleicht darüber freuen, dass Sourcefire für die Regeln auch den Source-Code mitliefert. RNA sammelt durch passives Monitoring des Netzwerkverkehrs viele Details zu Host-Systemen. Sie sind ebenfalls über die DC-Konsole abrufbar.

Fazit

3D-System ist nicht nur ein hervorragendes IPS. Das Produkt sammelt auch bemerkenswert viele Informationen über interne und externe Systeme.

Steckbrief

Produkt: »3D System 4.8 [2]«

Hersteller: Sourcefire [1]

Charakteristik: Netzwerk-Security-Appliance

Preis: ab 4995 Dollar

Web: www.sourcefire.com [1]/

Plusminus

+ Einfaches Deployment

+ Web-Konsole der Defence-Center-Appliance

+ Umfang der gesammelten Informationen

[1] http://www.sourcefire.com/
[2] http://www.sourcefire.com/products/3D/
[3] http://www.sourcefire.com/products/3D/defense_center
[4] http://www.sourcefire.com/products/3D/sensor
[5] http://www.sourcefire.com/products/3D/rna
[6] http://www.sourcefire.com/products/3D/rua
[7] http://www.sourcefire.com/products/3D/
[8] http://www.sourcefire.com/
[9] http://www.sourcefire.com/

Verwandte Artikel