Vorige week had Security.nl een persoonlijk en exclusief interview met Snort-bedenker Martin Roesch, waarbij ook de vragen van onze lezers aan bod kwamen. Snort is het gratis en open source Intrusion Detection en Prevention systeem, bedoeld om indringers buiten systemen te houden. Lezers van Security.nl konden vragen insturen, die Roesch allemaal heeft beantwoord.

Daarnaast heeft hij tien vragen uitgekozen die allemaal een gesigneerd Snort t-shirt en een luxe Sourcefire pen krijgen. Sourcefire is het bedrijf dat Roesch rondom Snort oprichtte. De komende dagen zullen de vragen en antwoorden vanwege de lengte in verschillenden artikelen online verschijnen.

(het eerste deel, tweede deel en derde deel van de vragen en antwoorden)

Is Snort ook handig als endpoint bescherming? Bijvoorbeeld op je laptop als je een open access point gebruikt?
Roesch: Je kunt het als een IPS op je lokale apparaat gebruiken. Het moet een IPS dect plugin hebben, zodat je het op je netwerk interface kunt inpluggen. We hebben een data acquisitation plugin die met AF IPQ op elk netwerkfilter kan interfacen. Je moet wel het juiste besturingssysteem gebruiken waarvoor de DECT plugin beschikbaar is. Op dit moment is deze plugin alleen voor Linux beschikbaar. We hebben nog niets voor Windows op dit moment, maar misschien wel in de toekomst. Er is geen reden dat Snort niet je laptop kan beschermen. Ik gebruik het zelf op mijn laptop als ik onderweg in een hotel ben, om ervoor te zorgen dat niemand bij mij aanklopt terwijl ik daar ben."

"Dit kan ten koste van de prestaties gaan. Maar we hebben het hier over een hotelnetwerk, niet over een gigabit netwerk. De bandbreedte is niet hoog en daardoor ook niet de belasting op het systeem. Je kunt echter instellen hoeveel middelen Snort gebruikt, zoals cpu, geheugen e.d. Het is zeer nuttig voor endpoint bescherming. Ik gebruik het voor mijn thuisnetwerk, voor mijn laptop, ik gebruik het overal. Het is oorspronkelijk gebouwd om op kleine netwerken te draaien en ze te beschermen, en dat doet het nog steeds."

Gebruikt Snort definities per applicatie om buffer overflows te detecteren of wordt hiervoor een generieke methode gebruikt?
Roesch: Snort gebruikt meestal een per applicatie definitie. We karakteriseren de situatie waarin die buffer overflow zich kan voordoen en controleren dan of die conditie zich voordoet. De manier waarop mensen meestal buffer overflows proberen te detecteren is door shell code detectie, wat kwetsbaar voor 'polymorfische ruis' is. Dat doen wij niet. Wij gebruiken geen shellcode detectors of generieke detectie mechanismen. Soms voegen we regels toe die naar bepaalde 'nopsleds' kijken. Wat we vandaag de dag doen is het bekijken van de conditie waarin het beveiligingslek zich voordoet, in plaats van naar de aanval te kijken."

Wat zijn veel gebruikte toepassingen van Snort?
Roesch: Het meest gebruikt is IDS en IPS. Dat zie je overal. De boeken die beschikbaar zijn vertellen het het best. Je gebruikt het voor netwerk security monitoring, IDS of IPS of als kernonderdeel van je security infrastructuur. De meeste voorbeelden zijn bekend, behalve het gebruik om te hacken, wat niemand doet.

Wat maakt Snort anders ten opzichte van andere IDS/IPS oplossingen?
Roesch: "Ten eerste het is open, wat bijzonder is met commerciële systemen. Daarnaast is het zeer flexibel. Elke keer dat ik een nieuwe feature aan Snort toevoegde, was die van een uit-schakelaar voorzien, zodat je het kon uitschakelen als je wilde en moest inschakelen als je het wilde gebruiken. Die flexibiliteit leidt tot een bepaald niveau van complexiteit, omdat je het Snort configuratiebestand moet kennen als je het effectief wilt gebruiken. Het is ook vrij eenvoudig uit te breiden. Als je C kent, kun je je eigen modules maken en aan het systeem toevoegen, wat Snort één van de meeste gebruikte onderzoeksplatformen in de academische wereld maakt voor het testen van nieuwe ideeën."

"Wat het ook anders maakt, is dat het door open source en de populariteit die daar uit voort kwam, de de facto standaard is. Als je op school over IDS/IPS leert, leer je Snort. Er zijn talloze mensen die weten hoe het werkt, in tegenstelling tot de meeste commerciële systemen. Wat het ook anders maakt, is dat het zo goed getest is. We zijn met deze code base nu al dertien jaar aan de slag, wat betekent dat het miljarden of triljoenen pakketten heeft gezien. Het is onder elk scenario getest. Ik ken mensen die Snort op het slagveld gebruiken en in helikopters stoppen om internetverbindingen te beschermen. Ik ken mensen die het op marineschepen, ziekenhuizen en universiteiten gebruiken. Het wordt werkelijk overal gebruikt. Daarom is het overal getest en is Snort een stabiel systeem dat onder alle omstandigheden opereert."

Kun je een aantal echte voorbeelden geven waarin Snort succesvol een grote aanval tegen een netwerk of uitbraak van een infectie wist te voorkomen?
Roesch: "Het probleem met het schrijven van beveiligingssoftware is dat niemand wil dat je je succesverhalen vertelt. Bedrijven bedanken je niet met cadeaubonnen of bedankjes. Het is voor vrij belangrijke zaken gebruikt, maar helaas kan ik daar niet meer over zeggen omdat me dit gevraagd is."

Vanuit mijn beroep heb ik geleerd dat IDS / IPS een technische benadering voor de aanpak van netwerkbeveiliging is. Het lost echter niet de organisatorische problemen op. Een groot bedrijf is dynamisch en daarom is er geen centrale kennis over het netwerk. Wat denk je hiervan en hoe kun je dit aanpakken?
Roesch: We hebben RNA gebouwd, zodat we het netwerk beter kunnen begrijpen, want dat is een groot probleem. Je gaat naar de meeste netwerken om de IDS in te stellen en je vraagt hoe het netwerk is geconfigureerd. Ik moet weten wat erop je netwerk draait om het te beschermen en je krijgt als antwoord dat ze dat niet weten. Hier zijn de servers, maar wat erop het netwerk zit weet ik niet. Dat is een probleem, want je security infrastructuur moet weten waar alles zit om het te kunnen beschermen wat je beschermd wil hebben. Er spelen veel organisatorische problemen, zodat je niet weet wat er is, zodat je het niet kunt beschermen."

"Daarom zijn client-side aanvallen zo effectief. Neem de RSA hack. Ze voerden een spear-phishingaanval uit met een Excel-bestand met daarin een Flash zero-day exploit. Ze deden alsof het van de HR-afdeling vandaan kwam en iemand opende het. Hoe ga je dat stoppen? Het ziet eruit als HR-materiaal, er is een Excel-sheet."

Volgens Roesch is het net Mission Impossible, waar ze met hun levensechte maskers binnenkomen, de maskers uit trekken en vervolgens beginnen te schieten. "Wat ga je doen. In dat geval heb je technische middelen nodig om dat spul eruit te halen. Er zijn veel situaties waarin je je gebruikers kunt trainen en leren om voorzichtig te zijn. Als ik dezelfde e-mail naar tien mensen stuur, dan is er altijd wel iemand die het opent. Die aanval op RSA had het best met techniek voorkomen kunnen worden, maar misschien was het niet aanwezig. Training is wel belangrijk, want het kan een verschil maken, maar het lost niet alle problemen op."