(eBook - pdf - german) Intrusion Detection für Linux-Server

Weitere Magazine

Empfehlungen

Info

124 Tripwireder Buch-CD bei. Die wesentlichen Kernaussagen dieser Lizenz beinhalten (ohneGewähr auf Richtigkeit):GewährleistungsauschlussErlaubnis der weiteren Verbreitung unter den Bedingungen dieser Lizenz· Verpflichtung der Bereitstellung des Quelltextes bei Verbreitung in Binärform· Erlaubnis der Modifikation des QuelltextesAufbauTripwire besteht aus mehreren Komponenten. Es besitzt zwei Konfigurationsdateien,eine Datenbank und erzeugt Berichte bei jedem Lauf. Die beiden Konfigurationsdateiensind die eigentliche Konfigurationsdatei (twcfg.txt) und dieRichtliniendatei (Policyfile twpol.txt).Die Konfigurationsdatei speichert Angaben spezifisch für den Rechner und dasBetriebssystem. Diese Angaben wurden früher größtenteils als Optionen bei derÜbersetzung von Tripwire angegeben.Die Richtliniendatei definiert, welche Dateien auf dem System überprüft werdensollen. Hierbei erlauben die Richtlinien die Spezifikation der exakten zu überprüfendenEigenschaften und der auszulösenden Aktionen. So kann Tripwire zumBeispiel E-Mails versenden.Die Datenbank stellt das Herz von Tripwire dar. Nach der Installation und derAnpassung der Konfiguration erzeugt Tripwire die Datenbank. Diese Datenbankenthält den aktuellen Status der entsprechend der Richtliniendatei zu untersuchendenDateien. Dieser umfasst Größe, Besitzer und Prüfsummen des Inhaltesder Dateien. Diese Datenbank sollte nur erzeugt werden, wenn der Rechner sichin einem bekannten Zustand befindet. Ist bereits ein Angreifer eingedrungen, sosieht Tripwire die vom Angreifer bereits veränderten Dateien als normal an.Ein Administrator kann nun (sinnvollerweise regelmäßig) Tripwire aufrufen undden aktuellen Zustand mit dem in der Datenbank gespeicherten Zustand vergleichen.Tripwire wird modifizierte, gelöschte und hinzugefügte Dateien in einemBericht melden.Die Berichte stellen die letzte Komponente von Tripwire dar. Diese Berichtekönnen in unterschiedlichem Detailgrad auf dem Bildschirm ausgegeben, abgespeichertoder als E-Mail versandt werden.Zum eigenen Schutz werden die Datenbank und die Konfigurationsdateien vonTripwire ab Version 2.0 in einer binären und signierten Form auf der Festplattegespeichert. Ein Angreifer könnte ansonsten nach einem Einbruch die entsprechendenDateien modifizieren, die Tripwire-Konfiguration modifizieren und dieDatenbank neu erzeugen, bevor die nächste Überprüfung von Tripwire durch-
Kapitel 8·Host-basierte Intrusion Detection-Systeme 125geführt worden wäre. In diesem Fall würde dann bei der nächsten Überprüfungder Einbruch nicht detektiert werden.Die Erzeugung der El Gamal-Schlüsselpaare mit 1024 Bit Länge für die Signaturder Dateien erfolgt bei der Installation und vor der Erzeugung der Datenbank.Die privaten Schlüssel können und sollen anschließend mit einer Passphrase versehenwerden. Diese Schlüssel werden verwendet, um die Dateien zu signierenbzw. zu verschlüsseln. Es handelt sich hierbei um eine Verschlüsselung mit demprivaten Schlüssel, die den Sinn einer Signatur hat. Tripwire verschlüsselt dieDateien mit dem privaten Schlüssel. Anschließend kann jeder, der Zugriff aufden öffentlichen Schlüssel hat, diese Dateien entschlüsseln. Dies ist jedoch nurmöglich, wenn Datei und Schlüssel zueinander passen. Es wird also automatischauch ihre Integrität geprüft. Der praktische Unterschied zwischen dieser Anwendungder Verschlüsselung und einer echten Signatur liegt in der Tatsache, dassbei Verlust des öffentlichen Schlüssels bei einer üblichen Signatur die Dateinoch lesbar ist, ihre Integrität jedoch nicht mehr überprüft werden kann. Im Fallevon Tripwire ist jedoch der Inhalt der Datei verloren. Im Weiteren wird sowohlSignatur als auch Verschlüsselung im Text verwendet, um diesem UmstandRechnung zu tragen.Es soll hier bereits darauf hingewiesen werden, dass dieses Verfahren keinenSchutz bietet, wenn der Angreifer die Datenbank löscht, neue Schlüssel erzeugtund die Datenbank neu erzeugt. Hier kann nur ein Schutz erfolgen, indem dieSignatur der Datenbank regelmäßig geprüft wird (s.u. twadmin –examine undsiggen) und sich auf einem read-only-Medium befindet.InstallationDie Installation von Tripwire erfolgt entweder als RPM-Paket oder aus den Quellen.Viele Distributionen enthalten bereits das Tripwire RPM-Paket. Red Hatinstalliert es bei den neueren Distributionen standardmäßig mit. SuSE-Distributionenenthalten leider häufig nur die Version 1.3. In diesem Fall können Sie dasTripwire RPM von der Homepage http://www.tripwire.org laden. Dort findenSie auch eine Verknüpfung nach http://sourceforge.net/projects/tripwire/. Hierwird der Quelltext gepflegt. Die aktuelle Version ist 2.3.1-2. Des Weiteren findenSie auf Sourceforge auch die Dokumentation im Adobe Acrobat PDF-Format. Hierbei handelt es sich um etwa 120 Seiten Dokumentation.Wurde das RPM-Paket heruntergeladen, so kann es mit folgendem Befehl installiertwerden:rpm -ivh tripwire-.i386.rpmWenn Ihre Distribution nicht die Installation von RPM-Paketen erlaubt, müssenSie Tripwire selbst übersetzen. Hierzu laden Sie zunächst das Quelltextarchivund entpacken es an geeigneter Stelle. Eine Installationsanleitung befindet sichanschließend in der Datei INSTALL. Um nun die Übersetzung durchzuführen, istes zunächst erforderlich, die Datei Makefile zu editieren. Diese Datei enthält zu
Seite 3:
Intrusion Detectionfür Linux-Serve
Seite 6 und 7:
8 InhaltsverzeichnisKapitel 4 Recht
Seite 8 und 9:
10 InhaltsverzeichnisKapitel 11 Auf
Seite 10 und 11:
12 Inhaltsverzeichnis17.3.2 TCPshow
Seite 13 und 14:
VorwortDieses Buch versucht die ver
Seite 15:
EinleitungDas moderne Leben wird vo
Seite 18 und 19:
20 Einleitungben (http://www.cert.o
Seite 20 und 21:
Die Computersicherheit ist eine rec
Seite 22 und 23:
24 Was ist eine Intrusion?Dieses Ka
Seite 24 und 25:
26 Was ist eine Intrusion?diese Scr
Seite 27:
Kapitel 2Benötige ich ein IDS und
Seite 31 und 32:
Kapitel 2·Benötige ich ein IDS un
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39:
Seite 42 und 43:
44 Anforderungen an ein Intrusion D
Seite 44 und 45:
46 Tatsächlich gebotene Leistung·
Seite 46 und 47:
48 Aufwand und Kosten· Intrusion R
Seite 48 und 49:
50 Aufwand und Kostenmittierten Sys
Seite 50 und 51:
52 Kommerzielle und freie IDSWenn n
Seite 52 und 53:
54 Kommerzielle und freie IDS3.4.2
Seite 54 und 55:
56 Kommerzielle und freie IDS· Gra
Seite 56 und 57:
58 Kommerzielle und freie IDSdefini
Seite 58 und 59:
60 Welche Gesetze sind anwendbar?Di
Seite 60 und 61:
62 Welche Gesetze sind anwendbar?La
Seite 63 und 64:
Kapitel 5Vorbereitung auf den Ernst
Seite 65 und 66:
Kapitel 5·Vorbereitung auf den Ern
Seite 67 und 68:
Seite 69:
Seite 72 und 73: 74 PräventionDieses Kapitel zeigt
Seite 74 und 75: 76 Erkennungjemand, der nicht selbs
Seite 76 und 77: 78 AnalyseHat der Einbrecher privil
Seite 78 und 79: 80 KonsequenzenEin derartiges Recov
Seite 81: Teil IIVerfügbareOpen Source-Lösu
Seite 84 und 85: 86 Ausnutzen der Protokollfunktione
Seite 86 und 87: 88 Ausnutzen der Protokollfunktione
Seite 88 und 89: 90 Einfache lokale IDS7.2 Einfache
Seite 90 und 91: 92 Einfache Netzwerk-basierte IDSEi
Seite 92 und 93: 94 Einfache Netzwerk-basierte IDSEs
Seite 94 und 95: 96 Einfache Netzwerk-basierte IDSLi
Seite 96 und 97: 98 Einfache Netzwerk-basierte IDSZu
Seite 98 und 99: 100 ngrep-i Ignoriere Groß/Kleinsc
Seite 100 und 101: 102 ngrepHost-basierte Intrusion De
Seite 102 und 103: 104 Automatische Protokoll-Analyse
Seite 104 und 105: 106 Automatische Protokoll-Analyse
Seite 106 und 107: 108 Automatische Protokoll-Analyses
Seite 108 und 109: 110 Automatische Protokoll-AnalyseM
Seite 110 und 111: 112 Automatische Protokoll-AnalyseR
Seite 112 und 113: 114 Automatische Protokoll-AnalyseD
Seite 114 und 115: 116 Automatische Protokoll-AnalyseZ
Seite 116 und 117: 118 Automatische Protokoll-Analyse8
Seite 118 und 119: 120 Automatische Protokoll-AnalyseO
Seite 120 und 121: 122 TripwireTION SECTION sollten di
Seite 124 und 125: 126 TripwireBeginn die Variable SYS
Seite 126 und 127: 128 TripwireSHA-Prüfsumme (SHA) er
Seite 128 und 129: 130 TripwireBei der Erzeugung der S
Seite 130 und 131: 132 TripwireProzess genutzt werden.
Seite 132 und 133: 134 TripwireÜberprüfung der Daten
Seite 134 und 135: 136 Tripwire[root@kermit tripwire]#
Seite 136 und 137: 138 TripwireModified object name:Pr
Seite 138 und 139: 140 TripwireInsbesondere die Mögli
Seite 140 und 141: 142 TripwireUm nun die Richtlinien
Seite 142 und 143: 144 TripwireSollen Tripwire-Bericht
Seite 144 und 145: 146 TripwireBei Aufruf des Befehls
Seite 146 und 147: 148 TripwireOptimierung der Konfigu
Seite 148 und 149: 150 Tripwiredem #-Zeichen angegeben
Seite 150 und 151: 152 TripwireVariablen erleichten di
Seite 152 und 153: 154 Tripwire# Apache Programm/usr/s
Seite 154 und 155: 156 Tripwirenen Inhalt untersucht.
Seite 156 und 157: 158 TripwireSo können die Richtlin
Seite 158 und 159: 160 Tripwire######################
Seite 160 und 161: 162 Linux Intrusion Detection Syste
Seite 172 und 173:
174 Linux Intrusion Detection Syste
Seite 174 und 175:
Seite 176 und 177:
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
Seite 184 und 185:
Seite 186 und 187:
Seite 188 und 189:
190 SNARESystems. Hiermit besteht d
Seite 190 und 191:
192 SNARESNARE unterstützt entwede
Seite 192 und 193:
194 SNAREWird nun die Regel gespeic
Seite 194 und 195:
196 SNAREAbbildung 8.7:Protokollier
Seite 197 und 198:
Kapitel 9Netzwerkbasierte Intrusion
Seite 199 und 200:
Kapitel 9·Netzwerkbasierte Intrusi
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Seite 259 und 260:
Seite 261 und 262:
Seite 263 und 264:
Seite 265 und 266:
Seite 267 und 268:
Seite 269 und 270:
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Seite 281 und 282:
Seite 283 und 284:
Seite 285 und 286:
Seite 287 und 288:
Seite 289 und 290:
Seite 291 und 292:
Seite 293:
Seite 296 und 297:
Beim Einsatz von Intrusion Detectio
Seite 298 und 299:
300 Zentrale Erzeugung der Konfigur
Seite 300 und 301:
Seite 302 und 303:
Seite 304 und 305:
Seite 306 und 307:
308 Zentrale Verwaltung der Schlüs
Seite 308 und 309:
310 Distribution der Dateien mit rs
Seite 310 und 311:
312 Erzeugung und Überprüfung der
Seite 312 und 313:
314 Zentrale Auswertung[root@kermit
Seite 314 und 315:
316 Zusammenfassung#!/bin/bashremot
Seite 316 und 317:
318 Auswahl der Sensor-StandorteDie
Seite 318 und 319:
320 Installation der SensorenIm Wei
Seite 320 und 321:
322 Installation der Sensorenlers z
Seite 322 und 323:
324 Installation der SensorenWeiter
Seite 324 und 325:
326 Installation der SensorenDie Pr
Seite 326 und 327:
328 Installation der Sensoren######
Seite 328 und 329:
330 Installation der Sensoren# that
Seite 330 und 331:
332 Installation der Sensoren#-----
Seite 332 und 333:
334 Installation der Managementkons
Seite 334 und 335:
Seite 336 und 337:
Seite 338 und 339:
Seite 340 und 341:
Seite 342 und 343:
Seite 344 und 345:
Seite 346 und 347:
Seite 348 und 349:
350 Snort-Centerautomatisch über S
Seite 350 und 351:
352 Snort-Center$proxy = "";$alert_
Seite 352 und 353:
354 Snort-Center# mkdir /snort# cd
Seite 354 und 355:
356 Snort-CenterCreating uninstall
Seite 356 und 357:
358 Korrelation und Analyse der Dat
Seite 358 und 359:
Seite 360 und 361:
Seite 362 und 363:
Seite 364 und 365:
Seite 367 und 368:
Kapitel 12Zentrale Protokollserver1
Seite 369 und 370:
Kapitel 12·Zentrale Protokollserve
Seite 371 und 372:
Seite 373 und 374:
Seite 375 und 376:
Seite 377 und 378:
Seite 379 und 380:
Seite 381 und 382:
Seite 383 und 384:
Seite 385 und 386:
Kapitel 13Datenschutz-Aspekte in ei
Seite 387 und 388:
Kapitel 13·Datenschutz-Aspekte in
Seite 389:
Kapitel 13·Datenschutz-Aspekte in
Seite 392 und 393:
Häufig werden die Maßnahmen zur S
Seite 394 und 395:
396 Do not Panic!Im Teil 1 des Buch
Seite 396 und 397:
398 Meldung des EinbruchsDiese Meld
Seite 398 und 399:
400 Meldung des EinbruchsHäufig is
Seite 400 und 401:
402 Meldung des Einbruchs; DiG 9.2
Seite 402 und 403:
404 Neuinstallation oder Reparaturt
Seite 405 und 406:
Kapitel 15Lessons Learned15.1 Anpas
Seite 407 und 408:
Kapitel 15·Lessons Learned 409Habe
Seite 409 und 410:
Kapitel 15·Lessons Learned 411Im W
Seite 411:
Teil VFortgeschrittene AnalyseKapit
Seite 414 und 415:
416 Forensische Analyse eines Rechn
Seite 416 und 417:
418 Dokumentation der AnalyseEin wi
Seite 418 und 419:
420 Analyse flüchtiger Daten16.3 A
Seite 420 und 421:
422 Analyse flüchtiger Daten16.3.4
Seite 422 und 423:
424 Analyse flüchtiger Daten16.3.6
Seite 424 und 425:
426 Analyse flüchtiger Daten0xca8b
Seite 426 und 427:
428 Analyse der DateisystemeSo ist
Seite 428 und 429:
430 Analyse der DateisystemeListing
Seite 430 und 431:
432 Analyse der DateisystemeEinige
Seite 432 und 433:
434 Analyse der DateisystemeBevor n
Seite 434 und 435:
436 Analyse der DateisystemeHINWEIS
Seite 436 und 437:
438 Analyse der DateisystemeCheckin
Seite 438 und 439:
440 Analyse der DateisystemeListing
Seite 440 und 441:
442 Analyse des Rechners mit The Co
Seite 442 und 443:
Seite 444 und 445:
Seite 446 und 447:
Seite 448 und 449:
Seite 450 und 451:
Seite 452 und 453:
Seite 454 und 455:
Seite 456 und 457:
Seite 458 und 459:
460 Analyse modifizierter Dateien u
Seite 460 und 461:
462 Analyse modifizierter Dateien u
Seite 462 und 463:
464 FazitJedoch sollte auch klar ge
Seite 464 und 465:
466 Analyse der Paket-Header: SYN/F
Seite 466 und 467:
Seite 468 und 469:
Seite 470 und 471:
472 Analyse des Paketinhaltesund f
Seite 472 und 473:
474 Analyse des PaketinhaltesTunnel
Seite 474 und 475:
476 Auffinden der Nadel im Heuhaufe
Seite 476 und 477:
Seite 478 und 479:
Seite 480 und 481:
482 TCP-Streamreassemblierungsangri
Seite 482 und 483:
484 TCP-Streamreassemblierungsangri
Seite 485 und 486:
Kapitel 18Einsatz eines Honeypots18
Seite 487 und 488:
Kapitel 18·Einsatz eines Honeypots
Seite 489 und 490:
Seite 491 und 492:
Seite 493 und 494:
Kapitel 19Tiny Honeypot und Honeyd1
Seite 495 und 496:
Kapitel 19·Tiny Honeypot und Honey
Seite 497 und 498:
Seite 499 und 500:
Seite 501 und 502:
Seite 503:
Seite 506 und 507:
508 Auswahl und Installation des Be
Seite 508 und 509:
510 Verwendung von UserModeLinux od
Seite 510 und 511:
Seite 512 und 513:
Seite 514 und 515:
Seite 516 und 517:
518 Konfiguration der Netzwerkdiens
Seite 518 und 519:
520 Zugang zum Honeypot und Schutz
Seite 520 und 521:
Seite 522 und 523:
Seite 524 und 525:
526 Überwachung des Honeypots von
Seite 526 und 527:
528 Überwachung des Honeypots von
Seite 528 und 529:
530 Fazitwachung. Er ist auch in de
Seite 530 und 531:
532 TCP/IPDieses Kapitel soll eine
Seite 532 und 533:
534 IPA.2.1VersionDieses Feld ist v
Seite 534 und 535:
536 IPA.2.8Time To Live (TTL)Bei de
Seite 536 und 537:
538 IPNo OperationNo Operation ist
Seite 538 und 539:
540 UDPDer UDP-Header (Abbildung A.
Seite 540 und 541:
542 TCPZusätzlich bietet TCP wie U
Seite 542 und 543:
544 TCP0 1 15 6 3 10Quell-Port16 Bi
Seite 544 und 545:
546 TCPdelt es sich um einen Mechan
Seite 546 und 547:
548 TCPPakete, die das URG-Bit gese
Seite 548 und 549:
550 TCPLediglich der Sender ist in
Seite 550 und 551:
552 Explicit Congestion Notificatio
Seite 552 und 553:
554 ICMPA.6 ICMPIP ist ein Protokol
Seite 554 und 555:
556 ICMPmission Unit Discovery (Pat
Seite 556 und 557:
558 ICMPDie meisten Implementierung
Seite 558 und 559:
560 ARP192.168.0.20215:22:23.374625
Seite 560 und 561:
562 FirewalkingDieses Kapitel stell
Seite 562 und 563:
564 Spoofing· DNS-Spoofing Hierbei
Seite 564 und 565:
566 Spoofing4. Der Angreifer muss a
Seite 566 und 567:
568 Session Hijackingbefindet, sieh
Seite 568 und 569:
570 Gespoofter PortscanJedoch gibt
Seite 571 und 572:
Anhang CRootkitsC.1 Klassische Root
Seite 573 und 574:
Anhang C·Rootkits 575Eine Erkennun
Seite 575 und 576:
Anhang C·Rootkits 577aber inzwisch
Seite 577 und 578:
Anhang C·Rootkits 579Diese Prozess
Seite 579 und 580:
Anhang DKryptografieD.1 Geschichte
Seite 581 und 582:
Anhang D·Kryptografie 583gehoben w
Seite 583 und 584:
Anhang D·Kryptografie 585D.4 symme
Seite 585 und 586:
Anhang D·Kryptografie 587Eigentlic
Seite 587 und 588:
Anhang D·Kryptografie 589Hashes we
Seite 589 und 590:
Anhang D·Kryptografie 591BlowfishB
Seite 591 und 592:
Anhang D·Kryptografie 593mann-Prot
Seite 593:
Anhang D·Kryptografie 595sich in d
Seite 596 und 597:
598 UmfragenE.1 UmfragenAus CERT-Um
Seite 598 und 599:
600 KonferenzenWhitehats: http://ww
Seite 600 und 601:
602 Rescue-ModusDie CD-ROM zum Buch
Seite 602 und 603:
604 GlossarACK - TCP-Flag, welches
Seite 604 und 605:
606 GlossarHTTP - siehe HyperText T
Seite 606 und 607:
608 GlossarRST - TCP-Flag, welches
Seite 609 und 610:
Anhang HBibliographieSchneier, Bruc
Seite 611 und 612:
Stichwortverzeichnis!/dev/kmem 171,
Seite 613 und 614:
Stichwortverzeichnis 615Ee2tools 51
Seite 615 und 616:
Stichwortverzeichnis 617- Protokoll
Seite 617 und 618:
Stichwortverzeichnis 619- database
Seite 619 und 620:
Stichwortverzeichnis 621Wwebmitm 52
Alle anzeigen

(eBook - pdf - german) Intrusion Detection für Linux-Server

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?