(eBook - pdf - german) Intrusion Detection für Linux-Server

Weitere Magazine

Empfehlungen

Info

206 Snortlediglich ein Produkt, welches mithilfe der libpcap-Bibliothek in der Lage ist,Pakete von einem Ethernet-Interface aufzunehmen. Dies kann in dem normalenModus erfolgen, in dem die Netzwerkkarte lediglich Pakete entgegen nimmt,welche an ihre MAC-Adresse oder die Broadcast MAC-Adresse gerichtet sind,oder in dem so genannten promiscuous mode. Impromiscuous mode nimmt dieNetzwerkkarte unabhängig von der MAC-Adresse alle Pakete entgegen. DerBenutzer kann nun mithilfe von Kommandozeilenoptionen das Verhalten vonSnort definieren. So kann Snort die aufgenommenen IP-Pakete parsen und derenInformation in Klartext anzeigen (Sniffer-Modus).4500 0054 0000 4000 4001 da5d c0a8 6f32c0a8 6fc8 0800 8b1b 381a 0000 cb2b d83c9d5e 0900 0809 0a0b 0c0d 0e0f 1011 1213192.168.111.50 −> 192.168.111.200ICMP TTL:64 TOS:0x0 ID:0 ipLen:20 DgmLen:84 DFType:8 Code:0 ID:14362 Seq:0 ECHOAbbildung 9.7:Snort zeigt Pakete im Klartext anSnort ist in der Lage, auch den Datenanteil und die Ethernet Header anzuzeigen.Anstatt die Daten anzuzeigen, kann Snort auch die Informationen geeignet protokollieren.So steht eine Protokollierung der Pakete in Binärform als auch inKlartext zur Auswahl. In dem Binärmodus erfolgt die Protokollierung kompatibelzu anderen Produkten wie tcpdump und ethereal. Im Klartext-Modus wirdjedes einzelne Paket in einem Verzeichnis basierend auf der IP-Adresse eines derbeiden beteiligten Rechner (s.u.) protokolliert.Plug-InsSchließlich besteht auch die Möglichkeit, alle aufgenommenen Pakete zu inspizieren.Hierzu können Regelsätze definiert werden, die spezifische Aspekte desPaketes untersuchen. Die Detektionsfähigkeiten werden nicht von dem Snortkernselbst zur Verfügung gestellt, sondern mithilfe von Plug-Ins implementiert. Dieserlaubt einen sehr modularen und zukünftig erweiterbaren Aufbau von Snort. Sokönnen unterschiedliche Programmierer Plug-Ins für Snort schreiben. Snortunterstützt inzwischen Detektions-Plug-Ins, Präprozessoren und Output-Plug-Ins.Snort 1.8.6 kommt mit folgenden Detektions-Plug-Ins:
Kapitel 9·Netzwerkbasierte Intrusion Detection-Systeme 207icmp_code_check ipoption_check react tcp_flag_checkicmp_id_check ip_proto reference tcp_seq_checkicmp_seq_check ip_same_check respond tcp_win_checkicmp_type_check ip_tos_check rpc_check ttl_checkip_fragbits pattern_match sessionip_id_check priority tcp_ack_checkDiese Detektions-Plug-Ins untersuchen unterschiedliche Bestandteile des Paketes.Einige Pakete liegen jedoch fragmentiert vor oder der Inhalt des TCP-Stromesmuss zur Analyse zunächst zusammengesetzt werden. Hierzu existieren Präprozessoren.Snort bietet die folgenden Präprozessoren:anomsensorarpspoofbodefrag (veraltet, ersetzt durch frag2)frag2http_decodeportscanrpc_decodestream4tcp_stream2 (veraltet, ersetzt durch stream4)telnet_negotiationunicodeSnort unterstützt unterschiedliche Ausgabeformate. So ist Snort in der Lage,Klartextformate, Binärformate und Datenbanken zur Protokollierung zu nutzen.alert_fastalert_fullalert_smbalert_syslogalert_unixsockcsvdatabaseidmeflog_nulllog_tcpdumpSnmpTrapunifiedxmlDetectionengine on the flySnort implementiert seine Detectionengine bei jedem Aufruf neu. Dabei liestSnort seine Konfigurationsdatei ein und baut seinen Detektionscode im Speicherauf; hierbei wird die Detektionsmaschine automatisch optimiert. Die Regeln werdenzunächst intern sortiert und anschließend in Knoten angeordnet. Die Kenntnisdes Optimierungsvorganges erlaubt die Erzeugung angepasster und damitoptimaler Regeln. Der Optimierungsvorgang wird weiter unten detailliert besprochen.
Seite 3:
Intrusion Detectionfür Linux-Serve
Seite 6 und 7:
8 InhaltsverzeichnisKapitel 4 Recht
Seite 8 und 9:
10 InhaltsverzeichnisKapitel 11 Auf
Seite 10 und 11:
12 Inhaltsverzeichnis17.3.2 TCPshow
Seite 13 und 14:
VorwortDieses Buch versucht die ver
Seite 15:
EinleitungDas moderne Leben wird vo
Seite 18 und 19:
20 Einleitungben (http://www.cert.o
Seite 20 und 21:
Die Computersicherheit ist eine rec
Seite 22 und 23:
24 Was ist eine Intrusion?Dieses Ka
Seite 24 und 25:
26 Was ist eine Intrusion?diese Scr
Seite 27:
Kapitel 2Benötige ich ein IDS und
Seite 31 und 32:
Kapitel 2·Benötige ich ein IDS un
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39:
Seite 42 und 43:
44 Anforderungen an ein Intrusion D
Seite 44 und 45:
46 Tatsächlich gebotene Leistung·
Seite 46 und 47:
48 Aufwand und Kosten· Intrusion R
Seite 48 und 49:
50 Aufwand und Kostenmittierten Sys
Seite 50 und 51:
52 Kommerzielle und freie IDSWenn n
Seite 52 und 53:
54 Kommerzielle und freie IDS3.4.2
Seite 54 und 55:
56 Kommerzielle und freie IDS· Gra
Seite 56 und 57:
58 Kommerzielle und freie IDSdefini
Seite 58 und 59:
60 Welche Gesetze sind anwendbar?Di
Seite 60 und 61:
62 Welche Gesetze sind anwendbar?La
Seite 63 und 64:
Kapitel 5Vorbereitung auf den Ernst
Seite 65 und 66:
Kapitel 5·Vorbereitung auf den Ern
Seite 67 und 68:
Seite 69:
Seite 72 und 73:
74 PräventionDieses Kapitel zeigt
Seite 74 und 75:
76 Erkennungjemand, der nicht selbs
Seite 76 und 77:
78 AnalyseHat der Einbrecher privil
Seite 78 und 79:
80 KonsequenzenEin derartiges Recov
Seite 81:
Teil IIVerfügbareOpen Source-Lösu
Seite 84 und 85:
86 Ausnutzen der Protokollfunktione
Seite 86 und 87:
88 Ausnutzen der Protokollfunktione
Seite 88 und 89:
90 Einfache lokale IDS7.2 Einfache
Seite 90 und 91:
92 Einfache Netzwerk-basierte IDSEi
Seite 92 und 93:
94 Einfache Netzwerk-basierte IDSEs
Seite 94 und 95:
96 Einfache Netzwerk-basierte IDSLi
Seite 96 und 97:
98 Einfache Netzwerk-basierte IDSZu
Seite 98 und 99:
100 ngrep-i Ignoriere Groß/Kleinsc
Seite 100 und 101:
102 ngrepHost-basierte Intrusion De
Seite 102 und 103:
104 Automatische Protokoll-Analyse
Seite 104 und 105:
106 Automatische Protokoll-Analyse
Seite 106 und 107:
108 Automatische Protokoll-Analyses
Seite 108 und 109:
110 Automatische Protokoll-AnalyseM
Seite 110 und 111:
112 Automatische Protokoll-AnalyseR
Seite 112 und 113:
114 Automatische Protokoll-AnalyseD
Seite 114 und 115:
116 Automatische Protokoll-AnalyseZ
Seite 116 und 117:
118 Automatische Protokoll-Analyse8
Seite 118 und 119:
120 Automatische Protokoll-AnalyseO
Seite 120 und 121:
122 TripwireTION SECTION sollten di
Seite 122 und 123:
124 Tripwireder Buch-CD bei. Die we
Seite 124 und 125:
126 TripwireBeginn die Variable SYS
Seite 126 und 127:
128 TripwireSHA-Prüfsumme (SHA) er
Seite 128 und 129:
130 TripwireBei der Erzeugung der S
Seite 130 und 131:
132 TripwireProzess genutzt werden.
Seite 132 und 133:
134 TripwireÜberprüfung der Daten
Seite 134 und 135:
136 Tripwire[root@kermit tripwire]#
Seite 136 und 137:
138 TripwireModified object name:Pr
Seite 138 und 139:
140 TripwireInsbesondere die Mögli
Seite 140 und 141:
142 TripwireUm nun die Richtlinien
Seite 142 und 143:
144 TripwireSollen Tripwire-Bericht
Seite 144 und 145:
146 TripwireBei Aufruf des Befehls
Seite 146 und 147:
148 TripwireOptimierung der Konfigu
Seite 148 und 149:
150 Tripwiredem #-Zeichen angegeben
Seite 150 und 151:
152 TripwireVariablen erleichten di
Seite 152 und 153:
154 Tripwire# Apache Programm/usr/s
Seite 154 und 155: 156 Tripwirenen Inhalt untersucht.
Seite 156 und 157: 158 TripwireSo können die Richtlin
Seite 158 und 159: 160 Tripwire######################
Seite 160 und 161: 162 Linux Intrusion Detection Syste
Seite 188 und 189: 190 SNARESystems. Hiermit besteht d
Seite 190 und 191: 192 SNARESNARE unterstützt entwede
Seite 192 und 193: 194 SNAREWird nun die Regel gespeic
Seite 194 und 195: 196 SNAREAbbildung 8.7:Protokollier
Seite 197 und 198: Kapitel 9Netzwerkbasierte Intrusion
Seite 199 und 200: Kapitel 9·Netzwerkbasierte Intrusi
Seite 203: Kapitel 9·Netzwerkbasierte Intrusi
Seite 255 und 256:
Kapitel 9·Netzwerkbasierte Intrusi
Seite 257 und 258:
Seite 259 und 260:
Seite 261 und 262:
Seite 263 und 264:
Seite 265 und 266:
Seite 267 und 268:
Seite 269 und 270:
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Seite 281 und 282:
Seite 283 und 284:
Seite 285 und 286:
Seite 287 und 288:
Seite 289 und 290:
Seite 291 und 292:
Seite 293:
Seite 296 und 297:
Beim Einsatz von Intrusion Detectio
Seite 298 und 299:
300 Zentrale Erzeugung der Konfigur
Seite 300 und 301:
Seite 302 und 303:
Seite 304 und 305:
Seite 306 und 307:
308 Zentrale Verwaltung der Schlüs
Seite 308 und 309:
310 Distribution der Dateien mit rs
Seite 310 und 311:
312 Erzeugung und Überprüfung der
Seite 312 und 313:
314 Zentrale Auswertung[root@kermit
Seite 314 und 315:
316 Zusammenfassung#!/bin/bashremot
Seite 316 und 317:
318 Auswahl der Sensor-StandorteDie
Seite 318 und 319:
320 Installation der SensorenIm Wei
Seite 320 und 321:
322 Installation der Sensorenlers z
Seite 322 und 323:
324 Installation der SensorenWeiter
Seite 324 und 325:
326 Installation der SensorenDie Pr
Seite 326 und 327:
328 Installation der Sensoren######
Seite 328 und 329:
330 Installation der Sensoren# that
Seite 330 und 331:
332 Installation der Sensoren#-----
Seite 332 und 333:
334 Installation der Managementkons
Seite 334 und 335:
Seite 336 und 337:
Seite 338 und 339:
Seite 340 und 341:
Seite 342 und 343:
Seite 344 und 345:
Seite 346 und 347:
Seite 348 und 349:
350 Snort-Centerautomatisch über S
Seite 350 und 351:
352 Snort-Center$proxy = "";$alert_
Seite 352 und 353:
354 Snort-Center# mkdir /snort# cd
Seite 354 und 355:
356 Snort-CenterCreating uninstall
Seite 356 und 357:
358 Korrelation und Analyse der Dat
Seite 358 und 359:
Seite 360 und 361:
Seite 362 und 363:
Seite 364 und 365:
Seite 367 und 368:
Kapitel 12Zentrale Protokollserver1
Seite 369 und 370:
Kapitel 12·Zentrale Protokollserve
Seite 371 und 372:
Seite 373 und 374:
Seite 375 und 376:
Seite 377 und 378:
Seite 379 und 380:
Seite 381 und 382:
Seite 383 und 384:
Seite 385 und 386:
Kapitel 13Datenschutz-Aspekte in ei
Seite 387 und 388:
Kapitel 13·Datenschutz-Aspekte in
Seite 389:
Kapitel 13·Datenschutz-Aspekte in
Seite 392 und 393:
Häufig werden die Maßnahmen zur S
Seite 394 und 395:
396 Do not Panic!Im Teil 1 des Buch
Seite 396 und 397:
398 Meldung des EinbruchsDiese Meld
Seite 398 und 399:
400 Meldung des EinbruchsHäufig is
Seite 400 und 401:
402 Meldung des Einbruchs; DiG 9.2
Seite 402 und 403:
404 Neuinstallation oder Reparaturt
Seite 405 und 406:
Kapitel 15Lessons Learned15.1 Anpas
Seite 407 und 408:
Kapitel 15·Lessons Learned 409Habe
Seite 409 und 410:
Kapitel 15·Lessons Learned 411Im W
Seite 411:
Teil VFortgeschrittene AnalyseKapit
Seite 414 und 415:
416 Forensische Analyse eines Rechn
Seite 416 und 417:
418 Dokumentation der AnalyseEin wi
Seite 418 und 419:
420 Analyse flüchtiger Daten16.3 A
Seite 420 und 421:
422 Analyse flüchtiger Daten16.3.4
Seite 422 und 423:
424 Analyse flüchtiger Daten16.3.6
Seite 424 und 425:
426 Analyse flüchtiger Daten0xca8b
Seite 426 und 427:
428 Analyse der DateisystemeSo ist
Seite 428 und 429:
430 Analyse der DateisystemeListing
Seite 430 und 431:
432 Analyse der DateisystemeEinige
Seite 432 und 433:
434 Analyse der DateisystemeBevor n
Seite 434 und 435:
436 Analyse der DateisystemeHINWEIS
Seite 436 und 437:
438 Analyse der DateisystemeCheckin
Seite 438 und 439:
440 Analyse der DateisystemeListing
Seite 440 und 441:
442 Analyse des Rechners mit The Co
Seite 442 und 443:
Seite 444 und 445:
Seite 446 und 447:
Seite 448 und 449:
Seite 450 und 451:
Seite 452 und 453:
Seite 454 und 455:
Seite 456 und 457:
Seite 458 und 459:
460 Analyse modifizierter Dateien u
Seite 460 und 461:
462 Analyse modifizierter Dateien u
Seite 462 und 463:
464 FazitJedoch sollte auch klar ge
Seite 464 und 465:
466 Analyse der Paket-Header: SYN/F
Seite 466 und 467:
Seite 468 und 469:
Seite 470 und 471:
472 Analyse des Paketinhaltesund f
Seite 472 und 473:
474 Analyse des PaketinhaltesTunnel
Seite 474 und 475:
476 Auffinden der Nadel im Heuhaufe
Seite 476 und 477:
Seite 478 und 479:
Seite 480 und 481:
482 TCP-Streamreassemblierungsangri
Seite 482 und 483:
484 TCP-Streamreassemblierungsangri
Seite 485 und 486:
Kapitel 18Einsatz eines Honeypots18
Seite 487 und 488:
Kapitel 18·Einsatz eines Honeypots
Seite 489 und 490:
Seite 491 und 492:
Seite 493 und 494:
Kapitel 19Tiny Honeypot und Honeyd1
Seite 495 und 496:
Kapitel 19·Tiny Honeypot und Honey
Seite 497 und 498:
Seite 499 und 500:
Seite 501 und 502:
Seite 503:
Seite 506 und 507:
508 Auswahl und Installation des Be
Seite 508 und 509:
510 Verwendung von UserModeLinux od
Seite 510 und 511:
Seite 512 und 513:
Seite 514 und 515:
Seite 516 und 517:
518 Konfiguration der Netzwerkdiens
Seite 518 und 519:
520 Zugang zum Honeypot und Schutz
Seite 520 und 521:
Seite 522 und 523:
Seite 524 und 525:
526 Überwachung des Honeypots von
Seite 526 und 527:
528 Überwachung des Honeypots von
Seite 528 und 529:
530 Fazitwachung. Er ist auch in de
Seite 530 und 531:
532 TCP/IPDieses Kapitel soll eine
Seite 532 und 533:
534 IPA.2.1VersionDieses Feld ist v
Seite 534 und 535:
536 IPA.2.8Time To Live (TTL)Bei de
Seite 536 und 537:
538 IPNo OperationNo Operation ist
Seite 538 und 539:
540 UDPDer UDP-Header (Abbildung A.
Seite 540 und 541:
542 TCPZusätzlich bietet TCP wie U
Seite 542 und 543:
544 TCP0 1 15 6 3 10Quell-Port16 Bi
Seite 544 und 545:
546 TCPdelt es sich um einen Mechan
Seite 546 und 547:
548 TCPPakete, die das URG-Bit gese
Seite 548 und 549:
550 TCPLediglich der Sender ist in
Seite 550 und 551:
552 Explicit Congestion Notificatio
Seite 552 und 553:
554 ICMPA.6 ICMPIP ist ein Protokol
Seite 554 und 555:
556 ICMPmission Unit Discovery (Pat
Seite 556 und 557:
558 ICMPDie meisten Implementierung
Seite 558 und 559:
560 ARP192.168.0.20215:22:23.374625
Seite 560 und 561:
562 FirewalkingDieses Kapitel stell
Seite 562 und 563:
564 Spoofing· DNS-Spoofing Hierbei
Seite 564 und 565:
566 Spoofing4. Der Angreifer muss a
Seite 566 und 567:
568 Session Hijackingbefindet, sieh
Seite 568 und 569:
570 Gespoofter PortscanJedoch gibt
Seite 571 und 572:
Anhang CRootkitsC.1 Klassische Root
Seite 573 und 574:
Anhang C·Rootkits 575Eine Erkennun
Seite 575 und 576:
Anhang C·Rootkits 577aber inzwisch
Seite 577 und 578:
Anhang C·Rootkits 579Diese Prozess
Seite 579 und 580:
Anhang DKryptografieD.1 Geschichte
Seite 581 und 582:
Anhang D·Kryptografie 583gehoben w
Seite 583 und 584:
Anhang D·Kryptografie 585D.4 symme
Seite 585 und 586:
Anhang D·Kryptografie 587Eigentlic
Seite 587 und 588:
Anhang D·Kryptografie 589Hashes we
Seite 589 und 590:
Anhang D·Kryptografie 591BlowfishB
Seite 591 und 592:
Anhang D·Kryptografie 593mann-Prot
Seite 593:
Anhang D·Kryptografie 595sich in d
Seite 596 und 597:
598 UmfragenE.1 UmfragenAus CERT-Um
Seite 598 und 599:
600 KonferenzenWhitehats: http://ww
Seite 600 und 601:
602 Rescue-ModusDie CD-ROM zum Buch
Seite 602 und 603:
604 GlossarACK - TCP-Flag, welches
Seite 604 und 605:
606 GlossarHTTP - siehe HyperText T
Seite 606 und 607:
608 GlossarRST - TCP-Flag, welches
Seite 609 und 610:
Anhang HBibliographieSchneier, Bruc
Seite 611 und 612:
Stichwortverzeichnis!/dev/kmem 171,
Seite 613 und 614:
Stichwortverzeichnis 615Ee2tools 51
Seite 615 und 616:
Stichwortverzeichnis 617- Protokoll
Seite 617 und 618:
Stichwortverzeichnis 619- database
Seite 619 und 620:
Stichwortverzeichnis 621Wwebmitm 52
Alle anzeigen

(eBook - pdf - german) Intrusion Detection für Linux-Server

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?