Firewallüberwachung mittels eines Netzwerk-Basierten IDS

Einleitung:

Wenn sich Ihre Firewall oder Virenscanner schon mal von selbst nicht mehr starten lässt dann war bereits ein Eindringling in Ihrem Netzwerk, deshalb sollten Sie sich eine professionelle Firewall installieren die auch dem entsprechend konfiguriert ist um genau zu analysieren was, wann, wo geschehen ist.
Bei Windowsfirewallsystemen können Sie nur die Standard Logdateien auswerten, die der Angreifer sowieso schon manipuliert hat.
Diese Art von Firewallschutz wird in Großunternehmen und Universitäten eingesetzt und das nicht ohne Grund!
Wissen Sie eigentlich welche Prozesse und Verbindungen gerade über Ihre IP-Adresse gestartet sind?

• Eine Desktop-Firewall sprich die auf Ihrem PC läuft kann durch Trojaner oder Viren sehr schnell umgangen werden, durch löschen oder ändern von Registrierungseinträgen, DLL, EXE etc.
  

• Bei einer Statefull-,Applikation-Layer-Firewall mit Content-Filter (Linux) ist das Ausführen von Trojanern nicht möglich, da sie nicht auf Windowsstrukturen arbeiten und der Eindringling das root Passwort knacken muss um den Code dort zu installieren, was aber wesentlich komplizierter ist da die FW so kompiliert wurde das selbst ein versierter Linuxer erhebliche Schwierigkeiten hat sich einzuloggen.
  

Begriffserklärung

• Intrusion Detection System kurz IDS (Angrifferkennungssystem) dient als Werkzeug zur Analyse von gezielten Angriffsmustern in Computernetzen oder Computersystem in Ausgabe verschiedenartigen Log-Dateien Kernel, DSL, Tcp/Ip etc.
• Ein Intrusion Prävention System kurz IPS wertet diese Muster bzw. Signaturen (snort und iptable) aus und führt eine Aktion durch wie das Beenden der Verbindung, Versenden von Logdateien per E-Mail umleiten auf ein Syslogserver
• Die heuristischen Signaturen werden vollautomatisch aktualisiert so dass auch neue veränderte Angriffe erkannt werden
• erstellen eigener Regeln/Signaturen
  
• hier zwei Beispiele für ein bekanntes Backdoorprogramm und so genannte EXPLOITS                             (nutzt Schwachstellen in Programmen und Betriebssystemen aus mit der Absicht auf "$root" Zugriff)
  
• alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:"BACKDOOR NetBus Pro 2.0 connection established"; flow:from_server,established; flowbits:isset,backdoor.netbus_2.connect; content:"BN|10 00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)
• alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"EXPLOIT x86 Linux samba overflow"; flow:to_server,established; content:"|EB|/_|EB|J^|89 FB 89|>|89 F2|"; reference:bugtraq,1816; reference:bugtraq,536; reference:cve,1999-0182; reference:cve,1999-0811; classtype:attempted-admin; sid:292; rev:8;)
• und das Schließen des FTP-Socks mit IPTABLES -A SMB -p tcp --dport 20:21 -j DROP
• Die Kunst besteht darin den Kern des IDS so zu kompilieren das ein IPS entsteht !
  

Sinn und Zweck des IPS

Angenommen einer Ihrer Mitarbeiter ruft eine E-Mail ab, in der eine infizierte *.exe oder was auch immer enthalten ist, diese *.exe installiert ein Code in Ihr (Firmennetzwerk) Betriebssystem (DLL, REG, *.exe usw.) und baut automatisch eine Verbindung zu einem anderen PC auf, der dann ohne weiteres Ihr Netzwerk auf unterschiedliche Art und Weise ausspionieren kann.
Um sich deshalb zu schützen gibt es Linux basierte Systeme die auf IDS und IPS aufbauen.
Ein IPS durchsucht alle Datenpakete (anhand fester signierter oder frei definierter Filterregeln und Signaturen) über die Firewall um Viren-, Trojanerangriffsmuster zu analysieren.
Des Weiteren fungiert die FW gleichzeitig als Proxy und Router.
Es kann ein Firmennetzwerk mit einem Datendurchsatz bis zu 1 GBit überwacht werden (abhängig vom Chipsatz der Netzwerkkarten), um den Mißbrauch vor unrechtmäßigen Zugriff auf gewisse Seiten/Verbindungen zu unterbinden bzw. zu protokollieren um Strafanzeige zu erstatten.
Die Mitarbeiter müssen über die Einschränkung des Datenschutzgesetzes informiert werden).
Kurz gesagt es kann jeder PC überwacht werden der Ihr Firmennetzwerk vom LAN oder WAN kompromittiert
und bei Bedarf können gewisse Ports/Socks (Dienste) geschlossen werden.

• Protokollierung aller erlaubten/unerlaubten Verbindungen und Zugriffsversuchen
• TCP-, UDP- und ICMP-Filter gegen JAVA, ActiveX Viren
  
• Umfassende Logberichte für z.B Kernel, Datenstrom
  
• Trusted IPs
• Anti-Spoofing
  
• Benutzer und zeit gesteuerte Internetbenutzung aller PC´s anhand MAC-Filterung (Netzwerkkartenseriennr.)
  
• Erstellen eigener Regelwerke zum loggen und blocken wie z.B. sperren aller filesharingports oder mitschneiden gezielter Datenpakete zur Analyse
  
• auf Wunsch auch mit VPN-Verschlüsselung
• einrichtung einer DMZ
• Honeypot (spezieller Syslogserver um Angriffsmuster auszuwerten)