Snort OpenAppID: Open Source Applikations-Kontrolle

OpenAppID für das Open-Source-IDS (Intrusion Detection System) Snort bietet Unternehmen bessere Netzwerk-Security und Applikations-Kontrolle.

Wie sieht es in Ihrem Unternehmen mit Layer-7-Schutz im Moment aus? Die Chancen stehen gut, dass Applikations-Kontrolle die letzte Hürde ist, die diverse Organisationen noch nehmen müssen. Das geht über die Jahrzehnte-alten Technologien wie zum Beispiel Content-Filtering-Systeme und Firewalls hinaus.

Auf der RSA-Konferenz 2014 hat Cisco eine Engine für Snort, sein Open-Source-IDS (Intrusion Detection System). vorgestellt, die möglicherweise ein effizientes Tool für die Sicherheit auf der Applikations-Ebene darstellt. Die Software nennt sich OpenAppID.

In diesem Beitrag stellen wir OpenAppID vor und sehen uns diverse Funktionen an. Weiterhin behandeln wir Anwendungsfälle und verraten, wann ein Einsatz für Unternehmen Sinn ergibt.

OpenAppID: Wie funktioniert es?

Laut Cisco können Firmen mithilfe von OpenAppID auf effiziente Weise eine eigene Applikations-Firewall erstellen. Mit einem Satz an Applikations-Identifizierungs-Merkmalen lässt sich Datenverkehr von spezifischen Applikationen erkennen. Netzwerk- und Security-Administratoren können somit innerhalb von Snort-Systemen eigene Regeln für Applikations-Erkennung erstellen, teilen und implementieren. Sie können OpenAppID verwenden, um Warnungen zu erhalten. Weiterhin sind ein Blockieren und Kontextanalyse möglich. Ebenfalls erhalten Sie Berichte, was sich im Netzwerk bezüglich der Applikations-Nutzung tatsächlich abspielt.

Durch diese Funktionen ist der Administrator Herr der Lage und kann dementsprechend auf existierende und aufkommende Bedrohungen angemessen reagieren, indem er so genannte Rogue-Applikationen und andere bösartigen Machenschaften identifiziert. Zusätzlich können Sie auf weitere Layer-7-Security-Anbieter verzichten. Bisher hatten Unternehmen keine Wahl, wenn es um die Fähigkeit ging, Traffic auf Applikations-Ebene zu erkennen und möglicherweise zu blockieren. Sie waren gezwungen, ein kommerzielles Produkt zu kaufen. Durch OpenAppID können Firmen nun Snort als Basis verwenden und damit eine speziell angepasste Open-Source-Applikations-Firewall erstellen. Diese warnt oder blockiert in Bezug auf den Applikations-Datenverkehr und lässt sich auf die Ansprüche der Organisation abstimmen. Snort ist ein Tool, das viele Security-Experten kennen und schätzen.

OpenAppID unterstützt derzeit mehr als 1500 Anwendungen. Administratoren haben aber die Möglichkeit, eigene Applikations-Erkennung zu erstellen.

Sie können die aktuelle Entwickler-Version von OpenAppID hier herunterladen.

OpenAppID
Ein Ausschnitt der zahlreichen Applikationen, die OpenAppID unterstützt.

OpenAppID: Funktioniert das für Sie ebenfalls?

Ich habe hinsichtlich Open-Source gelernt, dass Sie in der Regel bekommen, wofür Sie bezahlen. Snort hat sich in der Vergangenheit bewährt und OpenAppID scheint eine weitere nützliche Funktion zu sein. Dieses freie Tool bietet also möglicherweise Substanz. Allerdings bedeutet das nicht, dass es automatisch so einfach einsetzbar ist wie kommerzielle Alternativen. Wir sprechen hier zum Beispiel von Next-Generation Firewalls (NGFW). So gut Snort auch ist und so gut OpenAppID klingt, ist letzteres immer noch neu auf dem Markt. Stellen Sie sich deshalb auf Ecken und Kanten ein, die bei nagelneuer Software immer eine Begleiterscheinung sind. Ebenfalls sollten Sie damit rechnen, dass es in den kommenden Monaten neue Funktionen und Änderungen gibt.

Während der Arbeiten an diesem Buch habe ich viel über Sourcefires Angebote gelernt, die sich der Applikationen bewusst sind (Application-aware). Es ist eine gute Ansammlung an Technologien, durch die Unternehmens-Netzwerke profitieren können. Allerdings glaube ich nicht daran, dass Cisco seine kommerziellen Angebote mit Open-Source-Produkten wie Snort und OpenAppID kannibalisiert. Hoffentlich arbeitet der Anbieter beide Pfade aus und Unternehmen können sich dann für einen Weg entscheiden.

Mit diesem Hintergrundwissen stellt sich nun die Frage: Sollen Firmen mit OpenAppID experimentieren, um damit bessere Kontrolle über die Netzwerk-Security im Layer 7 zu erhalten? Nachfolgend finden Sie einige Aspekte, die Sie durchdenken sollten, bevor Sie auf den OpenAppID-Zug aufspringen:

  1. Stellen Sie sich zunächst die Fragen: Was wollen Sie mit dem Security-Programm in Ihrem Unternehmen erreichen? Was sind die momentanen Business-Risiken? Überraschenderweise können viele Firmen diese Fragen nicht beantworten. Was Sie definitiv überhaupt nicht brauchen, ist die Implementierung einer neuen Technologie, um ein Problem für ein Risiko zu adressieren, über das Sie überhaupt keine Kenntnisse haben. Möglicherweise ist es bezogen auf Ihre Unternehmens-Umgebung überhaupt nicht relevant.
  2. Welche Security-Kontrollen haben Sie in Ihrer Firma bereits im Einsatz, die möglicherweise ähnliche Funktionalitäten wie OpenAppID zur Verfügung stellen? Damit sind Next-Generation Firewalls, Content-Filtering-Systeme, Endpunktschutz und so weiter gemeint. Wie unterscheidet sich OpenAppID? Ist es besser?
  3. Gibt es innerhalb Ihrer Organisation genügend Fachwissen, um so ein Tool zu implementieren und zu verwalten? OpenAppID stellt Ihnen die Kontrolle zur Verfügung. Können Sie sich dieser Herausforderung stellen? Auch wenn Sie die Aufgabe aus technischer Sicht stemmen können, wie sieht es mit der Zeit aus? Immer wenn ein Unternehmen eine neue Netzwerk-Sicherheitsfunktion einführt, muss es irgendetwas anderes dafür aufgeben. Andernfalls leidet die Effizienz darunter. An welcher Stelle können Sie Abstriche machen, um mehr Zeit für OpenAppID und Netzwerk-Applikationsschutz zu haben?

Sollte keine dieser Fragen ein Problem für Sie darstellen, dann passt OpenAppID sehr wahrscheinlich zu Ihrer Firma. Probieren Sie das Tool in einer Testumgebung aus oder zumindest in einem Teil Ihres produktiven Netzwerks, in dem Sie gefahrlos experimentieren können. Somit haben Sie die Möglichkeit, die Konfiguration zu perfektionieren. Nichts ist schlimmer, als eine Machbarkeitsstudie (Proof-of-Concept) anzupreisen, die im Endeffekt mehr Probleme bereitet als sie löst.

Wenn wir über Layer-7-Security sprechen, sind Cyberkriminelle oder böswillige Hacker unglaublich kreativ bei Applikations- und Malware-basierten Angriffen. Auch wenn Unternehmen möglicherweise einige Schritte hinterher sind, gibt es keinen reellen Grund, warum man nicht auf gleicher Ebene spielen kann. Die meisten Herausforderungen im Hinblick auf Netzwerk-Security enden auf Layer 7 und darauf sollten sich die Security-Teams der Unternehmen konzentrieren. Die von OpenAppID angebotenen und freien Netzwerk-Applikationskontrollen liefern möglicherweise genau das Niveau an Schutz und die tiefen Einblicke, die Sie brauchen. Damit verbessern Sie die Netzwerk-Security in Ihrer Firma.

Über den Autor: Kevin Beaver arbeitet seit mehr als elf Jahren als Informationssicherheits-Berater, Gutachter und ist Sprecher der in Atlanta ansässigen Prinzip Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments rund um das Risikomanagement. Zudem ist er Autor und Co-Autor zahlreicher Bücher wie „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Open Source: Sicherheitstools und -Anwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close