Suchen

Im Test: Stonegate Intrusion Prevention System von Stonesoft Netzwerk-Angriffe mit IPS-Appliance loggen, analysieren und abwehren

Autor / Redakteur: Götz Güttich / Stephan Augsten

Um Netzwerk-Angriffe aktiv abzuwehren bietet Stonesoft mit dem Stonegate Intrusion-Prevention-System eine modulare Sicherheitslösung für Firmen-Netzwerke aller Art. Analyse-Werkzeuge sollen den Administratoren dabei helfen, in kurzer Zeit aus der großen Menge der gesammelten Daten die relevanten Informationen herauszufiltern. Security-Insider.de hat sich angesehen, wie sich das Security-Tool in der Praxis verhält.

Das Stonegate Intrusion Prevention System verfügt über zahlreiche Tools, um Netzwerk-Angriffe zu analysieren und abzuwehren.
Das Stonegate Intrusion Prevention System verfügt über zahlreiche Tools, um Netzwerk-Angriffe zu analysieren und abzuwehren.
( Archiv: Vogel Business Media )

Das Stonegate Intrusion Prevention System (IPS) lässt sich genau wie die Firewall/VPN-Lösung des gleichen Herstellers über das Stonegate Management Center verwalten. Zur eigentlichen Netzwerk-Überwachung setzt das IPS auf zwei maßgebliche Komponenten, nämlich den Sensor und den Analyzer.

  • Der Sensor sitzt an einem strategisch wichtigen Punkt im Netzwerk. In großen Netzen ist es sinnvoll, mehrere Sensoren an relevanten Knotenpunkten zu platzieren.
  • Der Analyzer trägt als Kernstück des IPS die von den Sensoren gesammelten Daten an zentraler Stelle zusammen. Er stuft ein, welche Datenverbindungen als potentiell gefährlich anzusehen sind und welche nicht. Dabei berücksichtigt er aktuelle Gegebenheiten.

Ein gesteigertes Verkehrsaufkommen durch zahlreiche HTTP-Anfragen an einem Sensor ist beispielsweise weniger bedrohlich, als wenn die gleichen Informationen von mehreren verteilten Sensoren vorliegen. Denn im letzteren Dall erfolgt vermutlich gerade ein groß angelegter DoS-Angriff.

Bildergalerie

Zum Sensor und dem Analyzer kommen noch ein Log-Server, der die gesammelten Daten vorhält und das bereits angesprochene Management Center, über das die IT-Verantwortlichen die Lösung verwalten.

Seite 2: Testaufbau und Hinweise zur Implementierung

Testaufbau und Hinweise zur Implementierung

Wir führten den Test des IPS in zwei Schritten durch. Zuerst installierten wir das Produkt in unserem Testlabor, um einen Eindruck von der Einrichtung und der Konfiguration der Lösung zu erhalten. Danach griffen wir aus der Ferne auf ein Honeypot-System zu, das Stonesoft uns zur Verfügung stellte, um die Arbeit des IPS in einem Umfeld mit vielen Angriffen und entsprechend großem Datenaufkommen unter die Lupe zu nehmen.

Gehen wir zuerst auf die Installation des IPS ein. Für den Test platzierten wir einen Sensor, der in Form einer Appliance mit einfacher Bauhöhe kam (das IPS steht auch als reine Softwarelösung zur Verfügung), zwischen unserem LAN-Switch und dem Internet-Router, damit er dort sämtlichen ein- und ausgehenden Verkehr überwachen konnte.

Dazu verwendet die Appliance zwei paarweise zusammengeschaltete Netzwerkinterfaces. Es reicht zur Installation also aus, das Netzwerkkabel am Router anzuziehen, in den internen Port der Appliance zu stecken und dann eine neue Verbindung zwischen dem externen Port und dem Router herzustellen.

Die Netzwerkinterfaces wurden so konfiguriert, dass sie allen Verkehr durchlassen, wenn die Appliance ausgeschaltet ist (Pass Through Ethernet). Auf diese Weise stellt Stonesoft sicher, dass der Internetzugang auch dann funktioniert, wenn zum Beispiel das Netzteil in der Sensor-Appliance ausfällt, eine sehr sinnvolle Vorsichtsmaßnahme. Das Management der Appliance erfolgt im Betrieb über einen separaten Verwaltungsport, der eine IP-Adresse aus dem LAN-Segment erhält.

Schrittweise Implementierung

In der Praxis ist es wohl am sinnvollsten, zuerst die Appliance in ausgeschaltetem Zustand im Netz zu implementieren. Anschließend sollte man das Management Center und die sonstige zum Betrieb des IPS erforderliche Software installieren.

Die Installation der Software-Komponenten läuft, wie unter Windows üblich, Wizard-gesteuert ab. Während des Setups können IT-Verantwortliche optional auswählen, ob sie alle Bestandteile des Systems oder nur den Management Client einspielen wollen.

Im Test installierten wir die Software-Komponenten des IPS auf einem IBM X-3400-Server, der unter Windows Server 2008 in der 32-Bit-Version lief. Eine weitere Instanz des Management Centers (zum Zeitpunkt des Tests war Version 5.0.3 aktuell) spielten wir auf einer VMware-basierten virtuellen Maschine ein, die mit Windows Server 2003 R2 (ebenfalls in der 32-Bit-Version) arbeitete.

Danach lässt sich die Erstkonfiguration des Sensors (mit IP-Adresse, Default-Policy und ähnlichem) im Management Center durchführen und zum Schluss die erstellte Konfiguration auf einem USB-Stick speichern. Fahren die Administratoren danach die IPS-Appliance mit eingestecktem USB-Stick hoch, so liest das System die Konfigurationsdaten automatisch ein, konfiguriert sich entsprechend und meldet sich dann beim Management-Center-Server an.

Seite 3: Konfiguration im laufenden Betrieb

Konfiguration im laufenden Betrieb

Die weitere Arbeit wie die eigentliche Konfiguration der IPS-Appliance läuft über die zentrale Verwaltungskonsole ab. Wir wollen nicht im Detail auf den vollen Funktionsumfang des Management Centers eingehen, da dieses Tool extrem mächtig ist. Viele Funktionen – wie etwa die Administrationsmöglichkeiten für die Firewall – sind für unsere Analyse auch unerheblich. Deswegen beschränken wir uns auf die Features, die für die Arbeit mit dem IPS zentrale Bedeutung haben.

Bei der Arbeit mit der Intrusion-Protection-Lösung ist es zunächst einmal sinnvoll, sich beim Management Center einzuloggen und automatische Backups der aktuellen Konfiguration einzurichten. Das geht über den Konfigurationsdialog unter „File / System Tools / Backup“. Ein angelegter Backup-Jobs lässt sich mit einem Task-Manager verknüpfen, der die Konfiguration regelmäßig im Hintergrund sichert.

Im nächsten Schritt sollten sich die Administratoren mit der Log-Konfiguration befassen. Denn nicht alles, was das IPS an den Log-Server überträgt, ist für spätere Analysen relevant. Damit die Log-Dateien nicht überlaufen, lassen sich bestimmte Daten mithilfe von Regeln ausfiltern. Die entsprechenden Werkzeuge zur Log-Pflege sind unter „Configuration / Log Data Pruning“ hinterlegt.

Nach der Log-Konfiguration sollten unter „File / System Tools / Configure Updates and Upgrades“ automatische Updates aktiviert werden. Damit lassen sich sowohl Aktualisierungen der im IPS verwendeten Erkennungsmuster als auch der IPS-Engine durchführen.

Granulare Alert-Benachrichtigugnen

Zum Abschluss der Konfiguration geht es an die Definition der Benachrichtigungen, die das IPS im nach manuell definierten Regeln an die hinterlegten IT-Mitarbeiter schickt. Die dazugehörigen Features finden sich unter „Configuration / Configuration / Administration / Alert Configuration“.

Alarmmeldungen lassen sich so konfigurieren, dass sie nur an die Administratoren gehen, die für bestimmte Angriffsmuster oder Netzwerksegmente zuständig sind. Dank automatischer Eskalation kann im ersten Schritt nach einer Regelverletzung eine Mail an den zuständigen Administrator gehen. Bestätigt dieser die Meldung nicht, so erhält er bei entsprechender Konfiguration zusätzlich eine SMS. Wird auch diese SMS nicht bestätigt, so sendet das IPS einen SMNP-Trap an die zentrale Verwaltungskonsole.

Seite 4: Netzwerk-Monitoring und Policy-Definition

Netzwerk-Monitoring und Policy-Definition

Nachdem das IPS fertig eingerichtet wurde kann man sich daran machen, die überwachten Datenströme mithilfe des System Monitorings zu analysieren. Mit den gewonnenen Erkenntnissen lässt sich das IPS-Regelwerk genau an die Anforderungen des Firmennetzes anzupassen.

Hierbei sollte man sämtliche Vorkommnisse zunächst einmal nur protokollieren. Damit lässt sich verhindern, dass automatische Schutzmaßnahmen wie das Blocken von Verbindungen die Verfügbarkeit der im Netzwerk benötigten Dienste unterbrechen. Die Regeldefinition selbst erfolgt kann über Angriffsmuster, Interface, Quelle, Ziel, Aktion (Permit, Terminate, Continue) und ähnlichem erfolgen. Bei der Arbeit mit dem Management Center haben die Benutzer jederzeit die Option, sich Details zu allen Regeln anzeigen zu lassen.

Der Prozess der Policy-Erstellung ist je nach der Komplexität des Netzes eventuell langwierig. Denn man muss wiederholt die Policy anpassen und sehen wie sie sich in der Praxis verhält. Oft ist es auch nötig, die Alerts mit den aktualisierten Policy-Definitionen abzustimmen. Da die Konfiguration der IPS-Policy unter Umständen Tage oder sogar Wochen dauert, ist auch das automatische Backup der Systemkonfiguration so wichtig.

In unserem Testnetz definierten wir eine Policy, die diverse Angriffsmuster erkannte sowie protokollierte und gleichzeitig Peer-to-Peer-Verkehr unterband. Dabei traten keine Probleme auf und das System verhielt sich wie erwartet.

Das IPS im laufenden Betrieb

Um die Leistungsfähigkeit des IPS im laufenden Betrieb zu untersuchen, verbanden wir uns über unser Management Center mit dem bereits angesprochenen Honeypot von Stonesoft. Dort konnten wir mit einer viel größeren Anzahl von Angriffseinträgen und Aktivitäten arbeiten, als in unserem lokalen Testnetzwerk.

Damit ein IPS seine Schutzfunktion wirklich erfüllen kann, sind diverse Grundvoraussetzungen zu erfüllen. Zunächst einmal muss sichergestellt sein, dass das System laufende Angriffe auch wirklich erkennt. Das wird in der Regel durch Mustererkennung und häufige Pattern-Updates realisiert, was bei den Produkten der führenden Hersteller in durchaus vergleichbarem Umfang funktioniert.

Zweitens ist es wichtig, dass die erkannten Unregelmäßigkeiten schnell die Aufmerksamkeit der verantwortlichen Administratoren erreichen. Hierzu muss das IPS einerseits mit leistungsfähigen Alertfunktionen ausgestattet sein. Andererseits muss es aber auch ein Monitoring-Tool bieten, das die zuständigen Mitarbeiter direkt auf die Punkte aufmerksam macht, die von zentraler Bedeutung sind.

Stonesoft realisiert letzteres über mehrere Bedrohungsgrade, die die IT-Verantwortlichen den einzelnen Angriffsmustern bei der Regeldefinition mitgeben. Da die Einträge für die meisten relevanten Angriffe bereits vom Hersteller des IPS vordefiniert wurden, sind diese „Severity Settings“ zu Beginn der Arbeit mit dem System schon vorhanden, lassen sich aber bei Bedarf im Rahmen der Policy-Definition verändern.

Seite 5: Log-Analyse und Alerting

Log-Analyse und Alerting

Generell werden erkannte Angriffe entsprechend ihres Risikopotentials in zehn Stufen unterteilt. Beim Einloggen ins Stonegate Management Center macht eine Übersicht direkt auf die gerade aktiven Meldungen aufmerksam. Eine Liste zeigt dem Administrator, wie viele Alerts es mit den Schweregraden eins bis sechs, sieben und acht beziehungsweise neun und zehn gab.

Klickt der Administrator auf den jeweiligen Eintrag, so öffnet sich eine tabellarische Auflistung der dazugehörigen Events, der Klick auf ein einzelnes Ereignis liefert detaillierte Informationen. Somit braucht ein Administrator nach dem Login nur zwei Klicks, um die Einzelheiten des wichtigsten gerade laufenden Angriffs einzusehen. Schneller geht es kaum, folglich hinterließ dieser Punkt bei uns im Test einen sehr positiven Eindruck.

In der Log-Übersicht kann der IT-Verantwortliche darüber hinaus alle vom System erfassten Ereignisse einsehen. Hier finden sich Informationen wie Zeitpunkt und Ursache des Loggings, Quell- und Zieladresse (IP- und MAC-Adressen), vorgenommener Aktion (Terminate, Permit, etc.), Scan-IP-Target, Dienst, Protokoll sowie der Nummer der Regel, die die Meldung ausgelöst hat.

Durch einen Doppelklick auf einen Eintrag landet der Verantwortliche wiederum in der Detailübersicht, die Quell- und Zielrechner (auch mit aufgelösten Namen), die vom IPS durchgeführte Aktion, eine Zusammenfassung mit kurzer Erklärung und einen HEX-Auszug der übertragenen Daten enthält. Bei der Zusammenfassung findet sich auch ein Verweis auf die zum Eintrag gehörigen CVE-Definition (Common Vulnerabilities and Exposures.

Filter der Log-Übersicht

Möchte man wissen, wie welche Vorkommnisse zusammenhängen, lassen sich verknüpfte Einträge in der Log-Übersicht mit Filtern sichtbar machen. So ist es beispielsweise möglich, die Quell-IP-Adresse eines Angriffs mit der Maus in das Filterfenster zu ziehen und damit nur die Angriffe von dieser Adresse anzuzeigen. Gleiches funktioniert für Angriffe über einen bestimmten Dienst, beispielsweise für einen Telnet-Eintrag.

Unter der Log-Liste befindet sich eine Zeitleiste, auf der die Verwaltungssoftware die Zahl der zum jeweiligen Zeitraum vorgenommenen Einträge visualisiert. Hier kann der Administrator ein Zeitintervall markieren, das Managementtool erzeugt dann eine Liste mit den dazugehörigen Daten. Alternativ ist es auch möglich, die Ausgabe durch „klassische“ Filter mit Angabe von Datum und Uhrzeit zu steuern.

Ein Icon am rechten Fensterrand weist auf einen Alarm ehin, den noch niemand bestätigt hat. Klickt er auf dieses Icon, so öffnet sich der Alarm-Browser, der nur unbestätigte Alarmmeldungen beliebigen Schweregrads enthält, damit der IT-Spezialist zeitnah reagieren kann. Die Lösung eignet sich also in gewisser Weise auch zur Echtzeitüberwachung.

Zusätzlich zur Log-Ansicht mit ihren leistungsfähigen Filterregeln und Detailinformationen bietet das System noch so genannte Übersichten an. Diese umfassen grafische Darstellungen mit Quell- und Ziel-IP-Adressen, angegriffenen Ports und so weiter. Die Übersichten lassen sich entsprechend der Anforderungen der Benutzer frei gestalten. Detailliertere Informationen erhalten die Anwender, wenn sie auf Einträge in den Grafiken doppelklicken. So führt ein Doppelklick auf die am meisten vorkommende Angreifer IP-Adresse zum Beispiel auf einer Statistikseite, die die fünf wichtigsten Angreiferadressen und die Zahl der Angriffe nennt.

Seite 6: Reporting und Auditing

Reporting und Auditing

Ebenfalls von Interesse sind die Reporting-Funktionen des Stonesoft IPS. Der Hersteller hat bereits eine große Zahl an Reports vordefiniert, es stellt aber auch kein Problem dar, eigene zu anzulegen. Die Reports führen Datenbank-Abfragen durch und fassen die Ergebnisse zusammen. Mit ihnen ist es beispielsweise möglich, Zusammenfassungen über die Einträge im IPS-Inspection-Log zu erzeugen, Auflistungen der täglichen Portscan-Vorgänge zu generieren, eine Liste der Top-Talker auszugeben und die aktuellen Alerts in Reportform zusammenzufassen.

Die Reports stehen über das Management Center zur Einsicht zur Verfügung, lassen sich aber auch als CSV- beziehungsweise PDF-Dateien oder ähnliches versenden. Außerdem haben die Administratoren die Möglichkeit, Reports automatisch in bestimmten Intervallen (täglich, wöchentlich, etc.) erzeugen zu lassen und – ebenfalls automatisch – zu verschicken. Das ergibt beispielsweise bei Providern Sinn, die den IT-Verantwortlichen ihrer Kunden einmal in der Woche einen personalisierten Report zur Verfügung stellen müssen.

Last but not least ist auch noch die Auditing-Funktion der Software von Interesse. Sie listet sämtliche Maßnahmen auf, die die Administratoren getroffen haben und sorgt so dafür, dass immer sofort klar wird, wer wann welche Änderung am System vorgenommen hat. Damit stellt Stonesoft sicher, dass niemand unbeobachtet an dem Security-Werkzeug herummanipulieren kann.

Weitere Informationen

Abgesehen von den genannten Punkten verfügt das Stonesoft-Produkt noch über eine andere Stärke. Die Lösung sichert das Netzwerk nämlich nicht nur mit Hilfe von Pattern ab, sondern schützt die Systeme auch gezielt vor bekannten Schwachstellen. Ein gutes Beispiel dafür ist der Conficker-Wurm. Dieser Wurm benutzte Schwachstellen des Windows-Betriebssystems, die bereits seit Jahren bekannt waren.

Da das Stonesoft-IPS dazu in der Lage war, Angriffe auf diese Schwachstellen im Auge zu behalten und abzublocken, war es auch dazu fähig, Conficker in Schach zu halten. Da alle Conficker-Varianten versuchten, die gleiche Schwachstelle auszunutzen, war das IPS auch nicht auf schnelle Pattern-Updates angewiesen, um verschiedene Conficker-Versionen zu identifizieren, sondern konnte sämtliche Angriffe von vornherein unterbinden.

Fazit

Das Stonegate Intrusion Prevention System überzeugte uns im Test. Die Installation, Erstkonfiguration und Inbetriebnahme des Systems wird keinen Administratoren vor unüberwindliche Hindernisse stellen.

Seine wirklichen Stärken spielt das Produkt aber erst im laufenden Betrieb aus: Die schnelle Hinführung der Administratoren zu den relevanten Alerts hinterließ bei uns einen ebenso positiven Eindruck wie die umfassenden Reporting-Funktionen, die zum Audit erforderlichen Features und die übersichtliche Log-Funktion mit den einfach zu implementierenden Filtern (die in der IT-Abteilung definitiv viele Ressourcen freimacht). Die Lösung erhöht zudem das Sicherheitsniveau eines Unternehmensnetzes deutlich und ist damit sehr empfehlenswert.

(ID:2042706)