Snort enthüllt, was Firewall-Sicherheitslogs verschweigen

Dann haben wir Snort entdeckt. Snort ist ein System zur Entdeckung von Eindringversuchen in ein Netzwerk (IDS – Intrusion Detection System) mit veröffentlichtem Quellcode, das von einer treuen Gruppe freiwilliger Programmierer unterstützt wird. Schon vor etlichen Jahren hatten wir in einer technischen Publikation erstmals etwas über Snort gelesen. Dort war es zusammen mit anderer IDS-Software erwähnt worden. Besonders für Snort sprach, dass es im Gegensatz zu anderen Software-Paketen, die Tausende von Dollars kosten, gratis ist, und dass es als geeignete Möglichkeit empfohlen wurde, mehr über IDS zu erfahren.

Ursprünglich wurde Snort für die verschiedenen Varianten von Linux/UNIX geschrieben, ist nun aber auch auf Windows übertragen worden. Es verfügt mittlerweile auch über eine solide grafische Benutzeroberfläche. Die neueste Version kann von der Snort Website oder von SiliconDefense.com heruntergeladen werden. Wir haben das Windows-Download von Silicon Defense gewählt, weil wir dort klare Instruktionen zur Installation und Einrichtung von Snort und seinen diversen Plug-ins fanden.

Unseren ersten Fehler machten wir, als wir es auf einem Windows XP Testrechner laufen lassen wollten. Obwohl es nach Aussage der Dokumentation auch unter XP laufen sollte, tat es das bei uns nicht. Also nahmen wir einen Testrechner mit Windows NT 4.0 und installierten es exakt den Anweisungen folgend.

Als nächstes installierten wir es auf einem Firewall-geschützten Laptop, mit dem wir außerhalb der Firewall unseres Unternehmens ins Internet gingen. Wir ließen Snort die ganze Nacht über laufen und fuhren es am nächsten Morgen herunter. Zu unserem Entsetzen stellten wir fest, dass es eine Alarmdatei mit mehr als 4000 Einträgen generiert hatte. Als wir dann begannen, uns durch die Einträge hindurch zu wühlen, schien es so, als wären die meisten positiven Warnungen irrtümlich als Warnungen vor DNS an Port 53 ergangen. Wir arbeiteten uns weiter durch die Einträge und entdeckten einige bezüglich übergroßer ICMP-Pakete, aber ansonsten wurde die Eintönigkeit der Einträge nur selten unterbrochen.

Das änderte sich, als wir bei 3:03 Uhr ankamen. Jetzt fanden wir eine Reihe von Einträgen über ein paar Computer am anderen Ende des Landes, die an unsere Firewall anklopften, um Code Red 2-Backdoors zu suchen. Also wechselten wir sofort zur Firewall und richteten sie so ein, dass sie den Verkehr unterband, der von der IP-Adresse des Angreifers ausging. Der Anblick der Logs war faszinierend und wir beobachteten den Angreifer, wie er verschiedene Ports ausprobierte und mit unterschiedlichen Methoden Zugriff zu erlangen suchte. Soweit wir das sagen können, hat die Firewall alle zurückgehalten. Wir durchsuchten die Logs weiter und fanden noch elf gleichartige Angriffe, die von derselben IP-Adresse ausgingen. Wir sammelten ein paar Beweise und schickten sie per E-Mail an unseren ISP, um zu sehen, ob der nicht etwas dagegen unternehmen kann, aber allzu viel Hoffnung machen wir uns nicht.