Netzwerk-Profiler

Die Real-World Labs nahmen diesmal die »Lancope Stealthwatch-G1x (SWA)- und -Management-Console (SMC)-Appliances« unter die Lupe. Das System basiert auf einem Dell-Poweredge 1850s und läuft mit Software-Version 5.0.1. SWA, analysiert und korreliert Daten, während SMC den Status der Organisation als Ganzes liefert.

Das anfängliche Setup über ein simples Menüsystem umfasste die Konfiguration der IP-Parameter für den Management-Port, den SWA-Host, die DNS-Server und die vertrauten Hosts für die Administration von SWA.

Anders als ein Intrusion-Prevention-System (UPS), das eine Inline-Installation erfordert, ist SWA mit einem Netzwerk-Tap, einem Switch-Monitor-Port oder einem Hub zu verbinden. Nach Anschluss an den Monitor-Port eines HP-Procurve-4108-Switches begann die Appliance sofort damit, Daten zu sammeln und für jeden auf dem Monitor-Port gesehenen Verkehr Host-Profile zu erstellen.

Der Zugriff auf die Web-Schnittstelle von SWA ist auf vorkonfigurierte IP-Adressen und definierte Benutzer beschränkt. Verbindet sich der Administrator, empfängt ihn dort ein Statusbildschirm, der eine detaillierte Zusammenfassung den Netzwerkaktivitäten zeigt.

Wenn SWA ein Paket sieht, ordnet es dieses einem Netzwerkfluss zu, der die IP-Adressen des Clients und des Servers sowie den Service-Port verfolgt. SWA überblickt Informationen über jeden Host, darunter Information, ob es sich um einen Client oder Server handelt. Dann zeichnet SWA ein Grundmuster des Host-Verhaltens, damit es anomales Verhalten wie neue Dienste, größere Sprünge bei der Bandbreite und vermehrte Kommunikation mit vielen Hosts erkennen kann. Anders als Ciscos Netflow fängt SWA das komplette Paket ein, was eine Betriebssystem-Identifizierung und vollständige Paketanalyse ermöglicht.

Das Design von Stealthwatch fußt auf der Annahme, dass die Hosts eines Netzwerks Gemeinsamkeiten besitzen. Hosts, die als Mail-Server arbeiten, würden beispielsweise in einer virtuellen Sicherheitszone gruppiert. Das Gleiche gilt für FTP- sowie Web-Server und sogar für Hosts, die nicht als Server dienen. Jede Gruppe besitzt eine Zone mit eigenen Richtlinien und Grundmustern. Zonenrichtlinien definieren, ob Hosts als Clients oder als Server für bestimmte Dienste arbeiten können und wie viele Alerts einen Alarm auslösen.

Administratoren können die Profilrichtlinien der Dienste modifizieren und diese für eine Exchange-Serverzone beispielsweise auf SMTP, LDAP, POP3S und IMAP4 einschränken. Nach der Anmeldung beim FTP-Server eines der Exchange-Server generiert SWA im Test sofort einen Alarm, der meldete dass dieser Server »out of profile« sei.

Das Setup der SMC gleicht dem von SWA und bereitet keine Probleme. Die Schnittstelle erfordert das Sun-Java-Runtime-Environment. Die SMC erlaubt das Management von bis zu 25 SWAs. Der SMC-Netzwerkstatus-Bildschirm zeigt Tonnen von Informationen über Probes, Alerts und Alarme. Probes sind UDP- oder TCP-Pakete, die zu einem Host gesendet werden, um eine Antwort zu erhalten. Alerts resultieren aus einem bei der Beobachtung der Probes entdeckten bedrohenden Trend. Alarme generiert das Programm, wenn die Anzahl der Alerts einen Schwellenwert überschreitet oder wenn eine Richtlinienverletzung vorliegt.

Die auf dem Statusbildschirm angezeigten Schlüsselwerte sind der Concern- und der Target-Index. Der Concern-Index adressiert Hosts, die sich schlecht benommen haben. Der Target-Index zeigt Daten, die einen Host betreffen, der das Ziel von anormalen Verhalten war. Der Concern-Index steigt, wenn ein Host Probes und Alerts generiert. Erreicht einer der beiden Indizes einen Schwellenwert, löst das Programm einen Alarm aus. In der Benutzerschnittstelle ist sofort erkennbar, welcher Host attackiert und welcher Hosts attackiert wird.

Für Unternehmen mit schmalem Sicherheitsbudget ist das Stealthwatch-System eine solide Lösung zur Ergänzung oder gar Ablösung gegenwärtiger Intrusion-Detection- oder Intrusion-Prevention-Systeme.

dj@networkcomputing.de