Picture of Nico Reiser

Nico Reiser

CISO RDU Security Center
Senior Cybersecurity Expert
Data Protection Engineer

experience in security since 1996

Einleitung

In der heutigen digitalisierten Welt sind Unternehmen mehr denn je auf effektive Cybersicherheitsmaßnahmen angewiesen. Mit der steigenden Anzahl und Komplexität von Cyberangriffen wird es unerlässlich, robuste Sicherheitslösungen zu implementieren, die sowohl den Anforderungen internationaler Standards wie ISO 27001/27002 entsprechen als auch den Schutz sensibler Unternehmensdaten gewährleisten. SNORT, ein Open-Source-Netzwerk-Intrusion-Detection- und Präventionssystem (IDS/IPS), bietet hier eine kosteneffiziente und leistungsstarke Lösung. Dieser Beitrag erläutert den Nutzen von SNORT in der Cybersicherheit, seine Relevanz im Kontext der ISO 27001/27002 und seinen Beitrag zur Unternehmenssicherheit. Zudem wird eine Installationsanleitung für Ubuntu sowie eine Anleitung für eine konkrete Absicherungsmaßnahme mit SNORT bereitgestellt.


1. Der Nutzen von SNORT in der Cybersicherheit

SNORT ist ein weit verbreitetes IDS/IPS, das in Echtzeit Netzwerkverkehr analysiert und potenzielle Bedrohungen identifiziert. Als Open-Source-Tool bietet es Flexibilität und Anpassungsfähigkeit, was es zu einer bevorzugten Wahl für viele Sicherheitsprofis macht.

  • Echtzeit-Überwachung: SNORT ermöglicht die Überwachung des Netzwerkverkehrs in Echtzeit, wodurch Anomalien und verdächtige Aktivitäten sofort erkannt werden können.
  • Anpassbare Regeln: Mit einer umfangreichen Regel-Engine können Benutzer eigene Regeln erstellen oder bestehende anpassen, um spezifische Bedrohungen zu adressieren.
  • Community-Unterstützung: Die aktive Community trägt kontinuierlich zur Verbesserung und Aktualisierung von SNORT bei, was zu einer aktuellen und effektiven Bedrohungserkennung führt.
  • Kosteneffizienz: Als Open-Source-Lösung ist SNORT kostenlos verfügbar, was es besonders für kleine und mittlere Unternehmen attraktiv macht.

2. SNORT im Kontext der ISO 27001/27002

Die ISO 27001/27002-Standards setzen internationale Maßstäbe für Informationssicherheits-Managementsysteme (ISMS). Sie bieten einen Rahmen für die Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken.

  • Unterstützung bei der Risikobehandlung: SNORT kann dabei helfen, Risiken zu identifizieren und zu mitigieren, indem es potenzielle Sicherheitsvorfälle frühzeitig erkennt.
  • Erfüllung technischer Kontrollmaßnahmen: Durch die Implementierung von SNORT können Unternehmen technische Maßnahmen umsetzen, die in ISO 27002 empfohlen werden, insbesondere im Bereich der Netzwerküberwachung und Intrusion Detection.
  • Nachweis der Compliance: Die Protokollierungs- und Berichtsfunktionen von SNORT unterstützen Unternehmen dabei, Compliance-Anforderungen zu erfüllen und entsprechende Nachweise zu erbringen.

3. Beitrag von SNORT zur Unternehmenssicherheit

  • Schutz vor Cyberbedrohungen: SNORT erkennt eine Vielzahl von Angriffen wie DoS-Attacken, Port-Scans und Malware-Kommunikation.
  • Integration in bestehende Sicherheitsinfrastrukturen: SNORT kann mit anderen Sicherheitslösungen integriert werden, um ein mehrschichtiges Verteidigungssystem zu schaffen.
  • Verbesserte Incident Response: Durch frühzeitige Erkennung und Alarmierung können Sicherheitsvorfälle schneller behandelt und Schäden minimiert werden.
  • Schulung und Bewusstsein: Die Nutzung von SNORT kann dazu beitragen, das Sicherheitsbewusstsein innerhalb des Unternehmens zu steigern, da es Einblicke in potenzielle Bedrohungen bietet.

4. Ubuntu Installationsanleitung für SNORT

Nachfolgend eine Schritt-für-Schritt-Anleitung zur Installation von SNORT auf einem Ubuntu-System:

Schritt 1: System aktualisieren

sudo apt-get update
sudo apt-get upgrade

Schritt 2: Benötigte Pakete installieren

sudo apt-get install build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev

Schritt 3: DAQ installieren

DAQ (Data Acquisition Library) ist für SNORT erforderlich.

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
tar -xvzf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure
make
sudo make install

Schritt 4: SNORT herunterladen und installieren

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
tar -xvzf snort-2.9.20.tar.gz
cd snort-2.9.20
./configure --enable-sourcefire
make
sudo make install

Schritt 5: Benutzer und Verzeichnisse einrichten

sudo groupadd snort
sudo useradd -r -s /sbin/nologin -c SNORT_IDS -g snort snort
sudo mkdir -p /etc/snort/rules
sudo mkdir /var/log/snort
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo touch /etc/snort/rules/white_list.rules
sudo touch /etc/snort/rules/black_list.rules
sudo touch /etc/snort/rules/local.rules
sudo cp etc/*.conf* /etc/snort
sudo cp etc/*.map /etc/snort
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort

Schritt 6: SNORT konfigurieren

  • Variable HOME_NET setzen: Bearbeiten Sie /etc/snort/snort.conf und setzen Sie die Variable entsprechend Ihrem Netzwerk, z.B.:
  var HOME_NET 192.168.1.0/24
  • Regelpfade anpassen: Stellen Sie sicher, dass die Pfade zu den Regeldateien korrekt sind.

Schritt 7: SNORT testen

sudo snort -T -c /etc/snort/snort.conf -i eth0

Ersetzen Sie eth0 durch Ihr Netzwerkinterface.


5. Anleitung für eine Absicherungsmaßnahme mit SNORT

Ziel: Einrichtung einer Regel zur Erkennung von SSH-Brute-Force-Angriffen.

Schritt 1: Regel erstellen

Öffnen Sie die Datei /etc/snort/rules/local.rules und fügen Sie folgende Regel hinzu:

alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force Attack"; flow:to_server,established; detection_filter:track by_src, count 5, seconds 60; sid:1000002; rev:1;)

Erläuterung der Regel:

  • Port 22: Überwachung des SSH-Ports.
  • detection_filter: Wenn innerhalb von 60 Sekunden mehr als 5 Verbindungsversuche von derselben Quelle erfolgen, wird ein Alarm ausgelöst.
  • sid: Eine eindeutige Identifikationsnummer für die Regel.

Schritt 2: SNORT neu starten

Nach dem Speichern der Regel muss SNORT neu gestartet werden:

sudo snort -c /etc/snort/snort.conf -i eth0 -D

Schritt 3: Testen der Regel

Simulieren Sie einen Brute-Force-Angriff, indem Sie mehrere fehlgeschlagene SSH-Anmeldeversuche durchführen.

Schritt 4: Alarme überprüfen

Überprüfen Sie die Datei /var/log/snort/alert auf Einträge, die auf den erkannten Angriff hinweisen.


Fazit

SNORT ist ein unverzichtbares Werkzeug für Unternehmen, die ihre Netzwerke effektiv vor Cyberbedrohungen schützen möchten. Es erfüllt nicht nur die technischen Anforderungen der ISO 27001/27002-Standards, sondern bietet auch praktische Lösungen für die täglichen Herausforderungen der Unternehmenssicherheit. Durch die Installation und Konfiguration von SNORT können Unternehmen proaktiv gegen Angriffe vorgehen und ihre Sicherheitslage erheblich verbessern.


Referenzen

  • SNORT Offizielle Website: https://www.snort.org/
  • ISO 27001/27002 Standards: International Organization for Standardization