Testreihe Security-Tools, Teil 2: Corelight
Angreifer im Netz aufspüren
Corelights NDR-Lösung (Network Detection and Response) integriert die Open-Source-Tools Zeek und Suricata zu einer schlüsselfertigen Netzwerk-Überwachungsplattform. Die kommerziellen Sensoren sind als Hardwaresysteme und virtuelle Appliances erhältlich. LANline hat einen virtuellen Corelight-Sensor in das Testnetz integriert und auch einen Blick auf das Open-Source-NDR-Projekt Security Onion geworfen.
Damit Angreifer erst gar nicht ins eigene Netzwerk eindringen können, setzen viele Unternehmen bereits seit Jahren Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) ein. Diese Bollwerke verwenden in der Regel einen signaturbasierten Ansatz, um gängige Angriffsmuster zu identifizieren und abzuwehren. Aufgrund der stark steigenden Zahl an Attacken und neuer, immer raffinierterer Angriffsmechanismen reicht dies nicht mehr aus. IT-Abteilungen müssen davon ausgehen, dass es Angreifer schaffen werden, in das Unternehmensnetz einzudringen. Mit NDR lassen sich Eindringlinge im Netzwerk aufspüren und automatisiert Gegenmaßnahmen ausführen: NDR-Systeme analysieren den gesamten Netzwerkverkehr und schlagen Alarm, sobald sie ein ungewöhnliches Verhalten erkennen.
Im zweiten Teil der LANline-Security-Testreihe nehmen wir die Open-Source-basierte NDR-Lösung von Corelight unter die Lupe. Der Hersteller kombiniert in seinen kommerziell vermarkteten NDR-Sensoren die quelloffene IDS/IPS-Software Suricata mit dem Open-Source-Produkt Zeek, das mit seinen Connection Logs Verbindungsdaten des Netzwerkverkehrs erfasst, kategorisiert und bewertet. Die Lösung eignet sich auch für Threat Hunting. Die Sensoren sind als Hardwaresysteme sowie als virtuelle Sensoren für VMware, Hyper-V, AWS und Azure erhältlich. Für den Test installierten wird die VMware-Appliance, zur Auswertung des erfassten Datenverkehrs nutzten wir Splunk.
Corelight-Sensor installieren
Die virtuelle Appliance für VMware ist im OVA-Format erhältlich. Beim Import der OVA-Datei in vCenter gibt der Administrator im Assistenten unter anderem die IP-Konfiguration ein. Damit die Sensor-VM über ihre zusätzliche Monitoring-NIC alle Datenpakete der zu überwachenden Netze sehen kann, ist auf dem VMware-Switch der Promiscuous Mode zu aktivieren. Bei Hardwaresensoren hängt die Anzahl der zu überwachenden Netze davon ab, an welchem Mirror-Switch-Port die Monitoring-NIC angeschlossen ist. In größeren Umgebungen kommen statt Mirror-Ports oft Hardware-TAPs oder Packet-Broker zum Einsatz, um alle Datenpakete verlustfrei zu erfassen.
Nachdem wir die neue VM erstellt und gestartet hatten, führte sie zunächst ein sogenanntes Seeding durch, das zusätzliche Dateien aus dem Web nachlädt. Nun konnten wir uns per Web-Browser an der Verwaltungskonsole anmelden. Die Oberfläche ist übersichtlich strukturiert und bietet links in einem schmalen Balken ein kurzes Hauptmenü mit nur vier Punkten für Dashboard, Sensorkonfiguration, Statistiken und Admin-Zugriffe. Im Hauptfenster der Konsole lassen sich die Einstellungen für die jeweiligen Menüpunkte vornehmen.
Unter den Sensoreinstellungen der Konsole stehen zahlreiche vorgefertigte Pakete für die Überwachung des Datenverkehrs zur Verfügung, um zum Beispiel Netzwerk-Scans oder Log4j-Angriffe zu erkennen. Für verschlüsselte Übertragungen hat Corelight eigene Analysemechanismen entwickelt, die verdächtige Verhaltensweisen entdecken können, ohne Pakete zu entschlüsseln. Des Weiteren können die Sensoren C2-Aktivitäten (Command and Control) aufdecken. Per Import von Threat-Intelligence-Daten lassen sich die Analysefähigkeiten von Zeek erweitern. Über Zeeks Input Framework ist es zudem möglich, komplexe Konfigurationsinformationen wie Inventarlisten zur Server- und Netzinfrastruktur zu importieren. Verschiedene Filterfunktionen helfen dabei, das zu erfassende Datenvolumen zu reduzieren.
Um die Threat-Intelligence-Daten in den Sensor zu laden, mussten wir uns per Putty am Kommandozeilen-Tool der Appliance anmelden. Dann konnten wir mit dem Corelight-Client ein neues Zeek-Datenset hochladen. Auf diesem Weg lassen sich auch alle Befehle der Corelight-Rest-API remote ausführen. In der Web-Konsole aktivierten wir zudem bei den Core-Collections ungefähr die Hälfte der knapp 30 Zeek-Pakete. Die Hardwaresensoren von Corelight können den Neztwerk-Traffic auch per Smart PCAP mitschneiden, um Paketanalysen durchzuführen.
Nach der Basiseinrichtung von Zeek konfigurierten wir Suricata. Der Sensor lädt die Regelsätze über eine Datei. Für den Test luden wir bei Proofpoint das kostenfreie Open Ruleset für Suricata herunter und importierten es über die Web-Konsole. Den besten Schutz gegen neue Bedrohungen bieten die von verschiedenen Anbietern erhältlichen kommerziellen Regelsätze.
- Angreifer im Netz aufspüren
- Unique Identifier
Lesen Sie mehr zum Thema
