Angriffe im eigenen Netzwerk erkennen
Im Internet buhlen Hunderte von Sicherheitsprodukten um die Gunst der Anwender und versprechen dabei Schutz auf höchstem Niveau. Neben zahlreichen kommerziellen Angeboten mit monatlichem Grundpreis finden sich in diesem Umfeld auch kostenfreie Open-Source- Produkte, die den bestehenden Basisschutz erweitern wollen.
Maltrail gehört zur Kategorie Open-Source-Tools. Es legt sich im Netz auf die Lauer und schlägt Alarm, wenn ein gesichtetes Paket verdächtig erscheint. Es berichtet seinen Fund, greift jedoch nicht in den Datenverkehr ein. Mit seiner Arbeitsweise bewegt sich Maltrail zwischen einem Intrusion-Detection-System und einem Malware-Scanner. Für die Untersuchung der Pakete bedient sich Maltrail bei öffentlichen Blacklists.
Im Maltrail-Jargon bezeichnet man die Beschreibung einer verdächtigen IP-Adresse, Web-URL oder Domäne als Trail. Bei Feeds handelt es sich um Listen aus bekannten Trails, die die Maltrail-Community aktuell hält.
Aufbau
Maltrail besteht aus zwei Komponenten: Der Sensor beschnüffelt die Pakete, die Server-Komponente sammelt die Alarme des Sensors. Der optimale Aufbau platziert die Sensorsoftware auf einem Router verbirgt sich der Sensor in einer Firewall und hat damit Zugriff auf alle durchlaufenden Pakete. Die Position des Servers spielt keine große Rolle, solange der Sensor und der Admin ihn erreichen können.
