Snort

Dieser Artikel ist schon einige Jahre alt. Mittlerweile müssen wir konstatieren, dass sich der Einsatz von IDS-Systemen in Unternehmensnetzwerken durchgesetzt hat, Institute wie das Bundesamt für Sicherheit in der Informationstechnik empfehlen den Einsatz trotz der Risiken für die Persönlichkeitsrechte der Mitarbeiter. Dass ein striktes Nein der Arbeitnehmervertreter zu IDS-Software letztlich durchsetzbar ist, dürfte daher inzwischen zu bezweifeln sein. Mittlerweile haben wir daher eine Vereinbarungsidee ins Netz gestellt (hier klicken), die einen Weg aufzeigt, die Mitarbeiterrechte weitmöglichst zu wahren. Dennoch bleibt der Einsatz von Snort problematisch. Die Probleme, die mit dem Einsatz der Software verbunden sind, werden in diesem Artikel beschrieben.

Snort, die Software mit der Sau im Logo, gehört zu den sogenannten Intrusion-Detection-Systemen (IDS). Übersetzen lässt sich das umständlich mit "Einbrecher-Aufspür-System". IDS-Programme untersuchen den kompletten Netzverkehr innerhalb des Unternehmens sowie die ein- und abgehenden Datenströme auf Hackerangriffe und weitere Aktivitäten, die die Systemsicherheit des Netzes gefährden könnten. Mails, Webseitenaufrufe, Downloads, Chatsysteme - alles wird untersucht. Erkennt das System ein in der Snort-Datenbank hinterlegtes Angriffsmuster auf das Netzwerk, so wird ein Protokolleintrag angelegt und die Systemadministration alarmiert.

Das Gesamtsystem besteht technisch aus einigen kleineren Programmen, den Sensoren, die innerhalb des Netzwerkes installiert werden und dort den Netzverkehr überwachen. Bei Treffern wird das Hauptsystem informiert, in dem die Protokolleinträge zusammen laufen. Hier können die Daten dann von der Systemadminstration mehr oder weniger eingehend analysiert werden.

Kernfunktionen des Systems sind die Vergleichsmöglichkeiten mit bekannten Angriffsmustern, den Signaturen. Snort stellt Mitte des Jahres 2003 knapp 2000 Signaturen zur Verfügung. Nahezu tägliche Updates halten die Signaturen aktuell. Die Signaturen sind sehr einfach aufgebaut. Mit wenig Aufwand kann der versierte Systemoperator Signaturen ändern oder eigene Signaturen aufsetzen.

Kritik und betriebsverfassungsrechtlicher Regelungsbedarf:

Die von Snort benutzten Signaturen sind hochflexibel einsetzbar. Das macht den Einsatz von Snort für Betriebs- und Personalräte schwer handhabbar. Denn mit den Signaturen lassen sich nicht nur Hackerangriffe ausfindig machen, man kann auch Signaturen erstellen, um

- die Inhalte von eMails,

- den Aufruf bestimmter Webseiten,

- den Download von Dateien

- die Nutzung von Chats oder

- die Nutzung von elektronischen Tauschbörsen

zu untersuchen. Rechts ein Ausschnitt der bei Erstinstallation enthaltenden Signatur-Kategorien. Unter multimedia.rules stehen Muster für das Erkennen von Video-Stream-Daten etc... Mit Porn.rules wird beim Aufrufen bestimmter Porno-Seiten ein Protokolleintrag vorgenommen. Hier ein Beispiel einer Signatur, die immer dann anschlägt, wenn eine Webseite mit dem Inhalt "naked lesbians" im Netz aufgerufen wird:

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"PORN naked lesbians"; content:"naked lesbians"; nocase; flow:to_client,established; classtype:kickass-porn; sid:1833; rev:1;)

Man sieht: Eine Regel ist schnell geschrieben. Wenn man als Systemadministrator wirklich will, kann man allen möglichen Unfug aus dem Netzverkehr mitprotkokollieren lassen. Leider ist in Snort keine Möglichkeit vorgesehen, das System technisch so einzurichten, dass nur ausgewählte Signaturen verwendet werden können. Signaturen sind ruckzuck ausgetauscht und scharf geschaltet. Ein Umstand, der das System an den Rand der Regelungsunmöglichkeit bringt.

Snort ist open-source-Software. Eine große freiwillige Entwicklergemeinde arbeitet am Programmcode und an den Signaturen. Was bei vielen anderen Produkten ein Segen ist, ist in diesem Fall unter betriebsverfassungsrechtlichen Aspekten problematisch: Neue Signaturen können alles Mögliche untersuchen. Dass viele Entwickler in den Vereinigten Staaten sitzen und die Anstrengungen zum Persönlichkeitsschutz der Beschäftigten am Arbeitsplatz dort etwas niedriger aufgehangen sind, macht die Sache nicht leichter.

Snort ist keine Wunderwaffe! Ob der Einsatz von Snort zumindest aus Administrator-Sicht sinnvoll ist, kann nur im Kontext mit anderen Maßnahmen zur Gewährleistung der Systemsicherheit beurteilt werden. Denn Snort schlägt nur Alarm, es unterbindet keine Netzangriffe. Besser wäre es aber in den vielen Fällen, die Nutzung bestimmter Aktivitäten bei erkannter Gefahr zu verhindern. Diese Aufgabe leistet im Unternehmensnetzwerk eine Firewall. Das leuchtet unmittelbar ein, wenn man an die Abwehr von eMail-Viren denkt: Snort protokolliert nur, geholfen wäre damit nur wenig. Eine Firewall würde die infizierte Mail aus dem Verkehr ziehen.

Erwähnenswert ist ausserdem, dass die mit Snort bereit gestellten Signaturen offenbar eine erhebliche Anzahl von Fehlalarmen auslösen. Das Problem zieht sich wie ein roter Faden durch diverse SNORT-Benutzerforen.

Fazit:

Snort ist sehr schwer bis nicht regelbar. Wenn man sich auf eine organisatorische "Der-Administrator-darf-nur-dies-und-das-Lösung" nicht einlassen will, sollte man der Einführung nicht zustimmen.

Dirk Hammann,
tse-Hamburg

Links:

Snort.org - Download, Handbuch und Userforen
Pro Linux - Intrusion Detection am Beispiel von Snort
(daraus: Signaturen lesen und schreiben lernen in 80 Zeilen)