SECURITY
14.11.2005, 20:05 Uhr
Wurm-Erkennung mit Bro IDS
In weltweiten Unternehmens-Netzwerken Würmer zu erkennen, ohne dabei Management-Overhead zu generieren, war die nicht ganz einfache Ausgangslage für das kürzlich abgeschlossene Forschungsprojekt an der ETH Zürich in Zusammenarbeit mit Open Systems.
Der Ansatz ist einfach: Der Netzwerkverkehr wird auf eine Häufung von «failed connections» untersucht. Mit dem richtigen Algorithmus lassen sich so mit geringem rechnerischen Aufwand und ohne Verteilung von Erkennungsmustern, Viren und Würmer identifizieren.
Das Resultat ist bestechend: Hohe Trefferquote, kaum Fehlalarme (false positives), minimaler Management-Verkehr und die bestehende Hardware kann die neue, zusätzliche Auf-gabe problemlos bewältigen.
Mit Abschluss der erfolgreichen Tests im Labor stellte sich dem Mission Control Team die Frage nach der Implementie-rung in einer produktiven Umgebung. Es wurden unterschiedlichste Produkte in Betracht gezogen. Schliesslich überzeugte das Open Source Framework «Bro Network Intrusion Detection System» (Bro IDS). Im Nachhinein ein offensichtlicher und einfacher Entscheid. Aus folgenden drei Gründen:
Erstens konnte dank der überzeugenden Arbeit der internationalen Bro-Entwickler-Gemeinde massiv Zeit gespart werden. Einerseits verglichen mit einer kompletten Eigenentwicklung. Anderseits durch die kompetente und schnelle Hilfestellung der Entwickler. Selbst komplex erscheinende Hürden oder Fragen während der Integ-rationsphase wurden in der Community mit Antworten auf höchstem Niveau und vor allem unwahrscheinlich schnell, meist über Nacht, behandelt.
Das Resultat ist bestechend: Hohe Trefferquote, kaum Fehlalarme (false positives), minimaler Management-Verkehr und die bestehende Hardware kann die neue, zusätzliche Auf-gabe problemlos bewältigen.
Mit Abschluss der erfolgreichen Tests im Labor stellte sich dem Mission Control Team die Frage nach der Implementie-rung in einer produktiven Umgebung. Es wurden unterschiedlichste Produkte in Betracht gezogen. Schliesslich überzeugte das Open Source Framework «Bro Network Intrusion Detection System» (Bro IDS). Im Nachhinein ein offensichtlicher und einfacher Entscheid. Aus folgenden drei Gründen:
Erstens konnte dank der überzeugenden Arbeit der internationalen Bro-Entwickler-Gemeinde massiv Zeit gespart werden. Einerseits verglichen mit einer kompletten Eigenentwicklung. Anderseits durch die kompetente und schnelle Hilfestellung der Entwickler. Selbst komplex erscheinende Hürden oder Fragen während der Integ-rationsphase wurden in der Community mit Antworten auf höchstem Niveau und vor allem unwahrscheinlich schnell, meist über Nacht, behandelt.