SECURITY 14.11.2005, 20:05 Uhr

Wurm-Erkennung mit Bro IDS

In weltweiten Unternehmens-Netzwerken Würmer zu erkennen, ohne dabei Management-Overhead zu generieren, war die nicht ganz einfache Ausgangslage für das kürzlich abgeschlossene Forschungsprojekt an der ETH Zürich in Zusammenarbeit mit Open Systems.
Der Ansatz ist einfach: Der Netzwerkverkehr wird auf eine Häufung von «failed connections» untersucht. Mit dem richtigen Algorithmus lassen sich so mit geringem rechnerischen Aufwand und ohne Verteilung von Erkennungsmustern, Viren und Würmer identifizieren.
Das Resultat ist bestechend: Hohe Trefferquote, kaum Fehlalarme (false positives), minimaler Management-Verkehr und die bestehende Hardware kann die neue, zusätzliche Auf-gabe problemlos bewältigen.
Mit Abschluss der erfolgreichen Tests im Labor stellte sich dem Mission Control Team die Frage nach der Implementie-rung in einer produktiven Umgebung. Es wurden unterschiedlichste Produkte in Betracht gezogen. Schliesslich überzeugte das Open Source Framework «Bro Network Intrusion Detection System» (Bro IDS). Im Nachhinein ein offensichtlicher und einfacher Entscheid. Aus folgenden drei Gründen:
Erstens konnte dank der überzeugenden Arbeit der internationalen Bro-Entwickler-Gemeinde massiv Zeit gespart werden. Einerseits verglichen mit einer kompletten Eigenentwicklung. Anderseits durch die kompetente und schnelle Hilfestellung der Entwickler. Selbst komplex erscheinende Hürden oder Fragen während der Integ-rationsphase wurden in der Community mit Antworten auf höchstem Niveau und vor allem unwahrscheinlich schnell, meist über Nacht, behandelt.

SECURITY: Wurm-Erkennung mit Bro IDS

Zweitens konnte der Code für die gesamte Funktionalität schlank gehalten werden. Der sauber dokumentierte Quellcode erlaubte es, genau die tatsächlich notwendigen Komponenten des Frameworks einzusetzen. Unnötige Funktionen konnten einfach entfernt werden. Dies ist ein wichtiger Faktor, wenn das Paket weltweit in hunderte von Destinationen verteilt werden soll, ohne dabei die produktiven Netze zu verstopfen.
Und drittens: Der Aspekt Sicherheit. Einblick in den Quellcode bedeutet Auditierbarkeit. Das schafft Vertrauen vor allem beim Kunden.
Heute ist Mission Control Scan Detection in über 70 Ländern auf weit über 600 Maschinen einsatzbereit. Erfolgreich, und das sechs Monate nach Veröffentlichung der ETH-Forschungsresultate.



Das könnte Sie auch interessieren