Open Source im professionellen Einsatz
Linux-Magazin 08/2013
© Nathaporn Tunthong, 123RF.com

© Nathaporn Tunthong, 123RF.com

Den Strom der Firmendaten sinnvoll kontrollieren und absichern

Barrikade

Will der Admin kritische Daten daran hindern, das eigene Unternehmen zu verlassen, dann greift er zu Software, die die Wege nach draußen überwacht und nötigenfalls sperrt. Dieser Artikel zeigt einen Überblick von Netzwerksniffern über Intrusion-Detection-Tools bis hin zur Data Loss Prevention.

610

Die Daten eines Unternehmens sind diesem zurecht heilig – nicht erst seit PRISM ist bekannt, dass manchmal Daten den Weg aus der eigenen Firma in die Hände Dritter schneller finden, als es den Admins lieb sein darf. Im Kampf gegen Datenlecks und blinde Passagiere helfen dem für die Sicherheit Verantwortlichen zahlreiche Tools und Technologien einen unerwünschten Datenausgang zu erkennen und sukzessive zu verhindern. Dieser Artikel gibt einen Überblick über wichtige Methoden und verweist anhand von Beispielen auf geeignete Lösungen.

Dial-in aus China

Bei der Analyse von Netzwerktraffic gibt es zwei grundverschiedene Ansätze, die bestenfalls teilweise miteinander verwoben sind: Überwachung und (pro-)aktive Maßnahmen. Der Standard ist heute der Mix, also Tools, die den kompletten Datenstrom eines Unternehmens auf verschiedene Parameter erst untersuchen und anschließend Maßnahmen ergreifen. Hier fällt das Stichwort Packet Inspection (PI). Lösungen dieser Art haben den großen Vorteil, dass sie sich zentral umsetzen lassen und nicht von weiteren Komponenten abhängen.

Eine aktuell sehr beliebte Geschichte aus dem Web [1] zeigt exemplarisch erfolgreiche Packet Inspection bei der Arbeit: Ein überlasteter Entwickler, der für mehrere amerikanische Firmen arbeitete, heuerte seinerseits heimlich einen in China lebenden Entwickler an. Der Amerikaner hätte einen ordentlichen Schnitt gemacht, da Arbeitskräfte in China viel billiger als in den USA sind.

Die US-Firma, die den Auftag erteilt hatte, hätte das aus Angst vor Industriespionage natürlich nie erlaubt und beugte dem auch sicherheitstechnisch vor, zum Beispiel mit einem Hardwaretoken-basierten VPN für externe Mitarbeiter. Aber der gewitzte Entwickler hebelte den Schutz aus, indem er den Token-Stick kurzerhand per Post nach China verschickte. So konnte der chinesische Spezialist via VPN die Arbeit auf dem Firmenserver erledigen.

Aufmerksam wurden die Admins des Unternehmens auf die Geschichte nach einiger Zeit aber dennoch. Sie entdeckten nämlich in den Packetflows ihrer Router immer wieder auffällige VPN-Verbindungen nach China – und machten sich auf die Suche nach der undichten Stelle:

IDS, PI, DPI und SPI

Intrusion Detection (ID) und ID-Systeme (IDS) zielen dagegen darauf ab, erfolgreiche Einbrüche zu erkennen: Mit Hilfe von IDS versuchen Admins, anhand vorher festgelegter Parameter Auffälligkeiten auf Systemen zu erkennen. Die ID schlägt Alarm, denn wenn sich beispielsweise die Berechtigungen von Dateien in einem Dateisystem wie von Geisterhand ändern, ist zumindest ein genauerer Blick angesagt.

Eine zuverlässige Erkennung von Angriffen besteht aus der Kombination beider Techniken, einerseits, um auffälligen Netzwerkverkehr zu erkennen, andererseits aber auch, um eventuell kompromittierte Systeme schnell und zuverlässig aus dem Verkehr zu ziehen.

Der Begriff der Packet Inspection ist heute vielerorts nur im Rahmen der "Deep Packet Inspection" geläufig, einer Methode der Datenstrom-Analyse, bei der das Netzwerkequipment selbst den gesamten Datenverkehr analysiert, um aus ihm entsprechende Maßnahmen abzuleiten. So setzen totalitäre Systeme gerne auf DPI: Zwar können auch sie SSH-Verbindungen und SSL-Verschlüsselung nicht wirksam aufbrechen, doch lässt sich mit DPI bereits der Aufbau solcher Verbindungen unterbinden. (Der Handshake des SSL-Verbindungsaufbau wird erkannt und unterbunden.) Der Nachteil: DPI setzt eine spezielle Netzwerkausstattung voraus, deren Anschaffung sich nicht für jedes Unternehmen lohnt. Ähnliches gilt für den mit DPI in Verbindung stehenden administrativen Aufwand.

Eine Alternative zur Deep Packet Inspection per Netzwerkequipment stellt die "Stateful Packet Inspection" dar, die sich üblicherweise mittels Software auf Standardhardware betreiben lässt. Anders als der Name vermuten lässt, kann SPI längst nicht nur mit Stateful-Verbindungen umgehen, beinahe alle Tools behandeln auch UDP-Verbindungen (nicht ganz korrekt) als "stateful". SPI-Lösungen analysieren die gängigen Datenströme der üblichen Protokolle und bieten somit Funktionalität, die in den meisten Fällen für ausreichenden Schutz sorgt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Super-Schnüffler

    Snort ist das weltweit am häufigsten eingesetzte Network Intrusion Detection System. Die kurz vor der Veröffentlichung stehende Version 2.0 ist beim Erkennen von Angriffen bis zu 18-mal schneller als ihre Vorgängerin. Sogar in Gigabit-Netzwerken erschnüffelt Snort jedes faule Datenpaket.

  • Suricata

    Suricata, das wachsame Erdmännchen, heißt eine freie Software für die Intrusion Detection, die unter anderem von einer Stiftung des Homeland Security Department getragen wird. Die Snort-Alternative nutzt die GPU via Cuda, um auch in schnellen Netzen der herannahenden Daten Herr zu werden.

  • Snort: Bugfixes und neue Anleitungen für Intrusion Detection

    Snort 2.8.6.1 behebt einige Fehler, auf der Website gibt es neue Setup Guides.

  • Snort 2.9

    Snort ist der Open-Source-Standard für Netzwerk-Intrusion-Detection-Systeme. Nachdem es um die Entwicklergemeinde in letzter Zeit recht ruhig war, zeigen jüngere Erweiterungen wie Snorby, Open FPC und Pulled Pork, wie Admins mit dem IT-Schnüffelschwein ihr Netzwerk komfortabel und sicher überwachen.

  • Netzwerk-Schrubber

    Hogwash kombiniert die Funktion eines Intrusion-Detection-Systems (IDS) mit den Aufgaben einer Firewall. Snort-ähnliche Regeln entscheiden, ob das Gateway ein Paket weiterleitet oder sperrt. Ähnlich einer Bridge arbeitet Hogwash als transparente Firewall ohne eigene IP-Adressen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.