Die fünf besten kostenlosen Werkzeuge für Intrusion Detection in Netzwerken
Kostenlose IDS- (Intrusion Detection System) und IPS-Lösungen (Intrusion Prevention System) ermöglichen Firmen den umfassenden Schutz ihrer Netzwerke.
Die Software SNORT ist im Bereich Intrusion Detection und Intrusion Prevention (also das Aufdecken und Verhindern von Einbruchsversuchen) seit langem führend. Angesichts der Unterstützung durch die Open-Source-Community und das Unternehmen Sourcefire Inc. dürfte das mit immer neuen Funktionen auch so bleiben. Die kommerzielle Version von Sourcefire bietet unter anderem Support und sofortige Updates, die eingeschränkte Basis-Version ist dagegen kostenlos.
Doch trotz der Dominanz von Snort gibt es noch andere kostenlose Werkzeuge, die einen ähnlichen Funktionsumfang bieten. Die meisten Anbieter dieser Systeme für Intrusion Detection (IDS) nutzen dafür eine Kombination mehrerer Engines, wobei manche davon von Snort oder anderen Open-Source-Initiativen stammen. Jedenfalls bieten sie robuste und kostenlose Intrusion Detection.
Security Onion
Security Onion ist eine auf Ubuntu basierende Linux-Distribution für Netzwerk-Monitoring und Intrusion Detection. Das Image kann als Sensor im Netzwerk eingerichtet werden und überwacht mehrere VLANs und Subnetze; es funktioniert gut mit VMware und virtuellen Umgebungen. In dieser Konfiguration ist nur das Aufdecken von Einbruch- und Angriffsversuchen möglich, ihre Abwehr – also die Funktion als Intrusion Prevention System (IPS) – ist nicht gegeben. Jedoch gibt es die Option, die Lösung sowohl Netzwerk- als auch Host-basiert einzusetzen; außerdem können Dienste wie Squil, Bro IDS und OSSEC für Intrusion Detection genutzt werden. Das Wiki und die Dokumentation sind hervorragend, Defekte und Bugs werden dokumentiert und überprüft. Doch so nützlich Security Onion schon ist, es bräuchte mehr Unterstützung bei der Entwicklung. Mit der Zeit dürfte es die wohl bekommen.
OSSEC
OSSEC ist ein Open-Source-System für Intrusion Detection auf dem Host (HIDS), das mehr kann, als nur Angriffsversuche aufdecken. Wie die meisten Open-Source-Angebote im IDS-Bereich gibt es viele Zusatz-Module, die sich zusammen mit der IDS-Kernfunktionalität einsetzen lassen. So kann der OSSEC-Client nicht nur Netzwerke überwachen, sondern auch mit Echtzeit-Warnmeldungen die Datei-Integrität im Auge behalten und Rootkits auffinden – und all das wird zentral verwaltet. Außerdem ist es möglich, abhängig von den Anforderungen des nutzenden Unternehmens unterschiedliche Policies vorzugeben. Der OSSEC-Client läuft lokal auf den meisten Betriebssystemen wie den unterschiedlichen Linux-Distributionen, Mac OS X und Windows. Über das Global Support Team von Trend Micro ist außerdem kommerzieller Support dafür erhältlich. OSSEC ist sehr ausgereift.
OpenWIPS-NG
OpenWIPS-NG ist ein kostenloses Werkzeug für Intrusion Detection und Prevention für drahtlose Netzwerke auf der Grundlage von Server, Sensoren und Schnittstellen und läuft auf Standard-Hardware. Das vom Autor von Aircrack-NG geschaffen Tool verwendet für Scanning, Aufdeckung und Prävention viele Funktionen und Dienste aus diesem Programm. OpenWIPS-NG ist modular aufgebaut und gibt Administratoren die Möglichkeit, für weitere Features Plug-Ins herunterzuladen. Die Dokumentation ist nicht so ausführlich wie bei manchen anderen Systemen, aber das Programm ist eine kostengünstige Methode für Intrusion Detection im Drahtlos-Bereich.
Suricata
Von allen verfügbaren IDS-/IPS-Lösungen ist Suricata am ehesten eine direkte Konkurrenz zu Snort. Die Architektur der beiden Systeme ist ähnlich. Wie bei Snort wird mit Signaturen gearbeitet und Suricata kann sogar die Regeln von VRT Snort sowie denselben Regelsatz zu Emerging Threats nutzen wie Snort selbst. Weil Suricata neuer ist als Snort, hat es noch ein wenig aufzuholen. Doch wenn Snort in Ihrem Haus nicht in Frage kommt, ist Suricata das Tool für Enterprise-Netzwerke, das dem Original am nächsten kommt.
Bro IDS
Bro IDS hat eine gewisse Ähnlichkeit mit Security Onion. Es verwendet nicht nur IDS-Regeln um festzustellen, woher Angriffe kommen, sondern eine Kombination mehrerer Verfahren. Eine Zeitlang nutzte es Snort-basierte Signaturen, die zu Bro-Signaturen umgewandelt wurden. Heute ist das nicht mehr der Fall, und man kann eigene Signaturen für Bro IDS schreibn. Das System ist gut dokumentiert und existiert seit mehr als 15 Jahren.
Der Einfluss von Snort ist auf einem Großteil des IDS-/IPS-Marktes einschließlich Freeware und Open-Source-Angeboten unübersehbar. Alle hier vorgestellten Systeme gehen beim Aufdecken und Verhindern von Einbruchs- und Angriffsversuchen leicht unterschiedlich vor. Doch es gibt geeignete kostenlose Alternativen zu Snort, mit denen sparsame Unternehmen ihre Netzwerke umfassend schützen können.
Über den Autor
Matthew Pascucci ist Senior Information Security Engineer für ein großes Einzelhandelsunternehmen, wo er den Bereich Bedrohungs- und Schwachstellen-Management leitet. Er hat für mehrere Publikationen im Bereich Informationssicherheit geschrieben, Vorträge bei Branchen-Veranstaltungen gehalten und engagiert sich intensiv in seinem lokalen InfraGard-Chapter. Sie können ihm auf Twitter folgen unter @matthewpascucci, seinen Blog finden Sie unter www.frontlinesentinel.com