(eBook - pdf - german) Intrusion Detection für Linux-Server

Weitere Magazine

Empfehlungen

Info

388 IDS im UnternehmenWenn ein Intrusion Detection-System in einem kleinen Heimarbeitsnetz eingesetztwird, ist dieser Einsatz eigentlich unproblematisch. Es existiert dort normalerweisekein Bedarf für einen besonderen Schutz der personenbezogenen Daten.Administrator und Benutzer sind ein und dieselbe Person. Die Person, die dasIDS installiert, protokolliert lediglich die eigenen Daten.Dies ist nicht der Fall, wenn die ID-Systeme in Unternehmen mit fünf oder 5.000Angestellten eingesetzt werden. Hier muss sehr wohl der Datenschutz beachtetwerden. Das Kapitel 4, »Rechtliche Fragestellungen beim Einsatz eines IDS« abSeite 59 hat bereits die Probleme zu skizzieren versucht, die beim Einsatz einesIntrusion Detection-Systems entstehen. Dieses Kapitel versucht nun einige Hilfsmittelan die Hand zu geben, die es ermöglichen, diesen Einsatz zu bewerten.Des Weiteren werden Ausschnitte von Benutzerordnungen vorgestellt, die dieVerwendung eines IDS erlauben können.Alle Schritte sollten jedoch mit dem Datenschutzbeauftragten des Unternehmensabgesprochen werden. Dieser sollte bei Fragen die erste Anlaufstelle darstellen.13.1 IDS im UnternehmenBei jedem Einsatz von Computern werden Daten verarbeitet. Dies ist nicht erstder Fall beim Einsatz von Intrusion Detection-Systemen. Sobald hierbei personenbezogeneDaten verarbeitet werden, ist der Datenschutz zu berücksichtigen.Damit dies gewährleistet werden kann, existiert das Bundesdatenschutzgesetz(BDSG). Dieses regelt den Datenschutz auf Bundesebene.Um die Überwachung des Datenschutzes zu garantieren, verlangt das BDSG dieEinsetzung eines Datenschutzbeauftragten. Dieser Datenschutzbeauftragte musssowohl in öffentlichen als auch in nicht-öffentlichen Stellen, die personenbezogeneDaten automatisiert erheben, verarbeiten oder nutzen, bestellt werden. Der§ 4f (BDSG) definiert im Weiteren einige Ausnahmen, die jedoch nur auf sehrkleine Firmen und öffentliche Stellen zutreffen.Im Grunde muss jede Firma, die personenbezogene Daten (Personalakten, Kundendaten,Arbeitszeiterfassung) erhebt, speichert und verarbeitet, einen Datenschutzbeauftragtenbestellen.Diese Person muss die für die Aufgabe notwendige Fachkunde und Zuverlässigkeitbesitzen. Es besteht die Möglichkeit, diese Aufgabe auf eine externe Personzu übertragen.Diese Person sollte bei allen Fragen die erste Anlaufstelle darstellen.Beim Einsatz des IDS sollte in Absprache mit dem Betriebsrat, der ein Mitbestimmungsrechtin diesem Punkt besitzt, der Anwender über die Tatsache derProtokollierung aufgeklärt werden. Dies erfolgt sinnvollerweise in einer Benutzerordnung(siehe Abschnitt 13.2, »Benutzerordnungen« ab Seite 389). Hierbeisollte die private Nutzung der Internetdienste nicht erlaubt werden. Dies ermög-
Kapitel 13·Datenschutz-Aspekte in einem Unternehmensnetzwerk 389licht eine anschließende Überwachung durch das Unternehmen. Sobald eine privateNutzung erlaubt ist, ist das Unternehmen Diensteanbieter und muss dasFernmeldegeheimnis beachten!Es existieren im Grunde die drei folgenden Möglichkeiten:· Das Unternehmen bietet keine Dienste für Dritte an. Die eigenen Benutzerdürfen die Dienste nicht privat nutzen. Alle Verbindungen, die von außenaufgebaut werden, werden entweder durch eigene Benutzer, die von einemTelearbeitsplatz auf das Unternehmen zugreifen, initiiert oder sind möglicheAngriffe. Die eigenen externen Benutzer werden ebenfalls von der Benutzerordnungüber den Zweck und die Art der Protokollierung aufgeklärt undhaben ihr zugestimmt. Der Angreifer hinterlässt üblicherweise keine personenbezogenenDaten. Selbst wenn dies der Fall sein sollte, so ist wahrscheinlichdas Interesse des Unternehmens an der Früherkennung von Angriffenschutzwürdiger als das Interesse des Angreifers, unerkannt zu bleiben.Die grundsätzliche Speicherung dieser Verbindungsdaten ist dann wahrscheinlichzulässig.· Das Unternehmen erlaubt die private Nutzung des Internets durch die eigenenAnwender. Dann ist die grundsätzliche Protokollierung der Verbindungsdatennicht erlaubt und durch das Telekommunikationsgesetz (TKG) als Fernmeldegeheimnisgeschützt. Eine Protokollierung ist wahrscheinlich nur in Ausnahmefällenbei Verdacht einer Störung und bei einem begründeten Verdachtgegen einen Mitarbeiter möglich. Die letztere Variante muss jedoch mit demBetriebsrat abgesprochen werden. Das bedeutet, das IDS darf lediglich dieproblematischen Netzwerkpakete protokollieren. Die Benutzerordnung sollteüber die Art und den Umfang der Protokollierung aufklären.· Das Unternehmen bietet Dienste für Dritte im Internet an. Dies kann zumBeispiel in Form eines Webservers oder eines Internet News Servers erfolgen.Das Unternehmen darf erneut keine personenbezogenen Verbindungsdatenprotokollieren. Die Speicherung der personenbezogenen Daten darfgemäß dem Teledienstedatenschutzgesetz nur in dem Maße erfolgen, in demsie für die Aufrechterhaltung des Betriebes und die Abrechnung erforderlichsind. Diese Daten sind zweckgebunden. Um den Betrieb aufrechtzuerhalten,wird jedoch das IDS wahrscheinlich mögliche Angriffe protokollieren dürfen.Das bedeutet, dass das IDS nicht grundsätzlich sämtliche Daten protokollierendarf, wenn sie personenbezogene Daten enthalten.13.2 BenutzerordnungenDie einfachste Methode, den Anwender über die Art und den Umfang der Protokollierungund die Verwendung der personenbezogenen Verbindungsdaten aufzuklären,ist es, die entsprechenden Informationen in einer Benutzerordnungoder einer Betriebsvereinbarung niederzulegen. Es kann sich auch um eineErgänzung des Arbeitsvertrages handeln.
Seite 3:
Intrusion Detectionfür Linux-Serve
Seite 6 und 7:
8 InhaltsverzeichnisKapitel 4 Recht
Seite 8 und 9:
10 InhaltsverzeichnisKapitel 11 Auf
Seite 10 und 11:
12 Inhaltsverzeichnis17.3.2 TCPshow
Seite 13 und 14:
VorwortDieses Buch versucht die ver
Seite 15:
EinleitungDas moderne Leben wird vo
Seite 18 und 19:
20 Einleitungben (http://www.cert.o
Seite 20 und 21:
Die Computersicherheit ist eine rec
Seite 22 und 23:
24 Was ist eine Intrusion?Dieses Ka
Seite 24 und 25:
26 Was ist eine Intrusion?diese Scr
Seite 27:
Kapitel 2Benötige ich ein IDS und
Seite 31 und 32:
Kapitel 2·Benötige ich ein IDS un
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39:
Seite 42 und 43:
44 Anforderungen an ein Intrusion D
Seite 44 und 45:
46 Tatsächlich gebotene Leistung·
Seite 46 und 47:
48 Aufwand und Kosten· Intrusion R
Seite 48 und 49:
50 Aufwand und Kostenmittierten Sys
Seite 50 und 51:
52 Kommerzielle und freie IDSWenn n
Seite 52 und 53:
54 Kommerzielle und freie IDS3.4.2
Seite 54 und 55:
56 Kommerzielle und freie IDS· Gra
Seite 56 und 57:
58 Kommerzielle und freie IDSdefini
Seite 58 und 59:
60 Welche Gesetze sind anwendbar?Di
Seite 60 und 61:
62 Welche Gesetze sind anwendbar?La
Seite 63 und 64:
Kapitel 5Vorbereitung auf den Ernst
Seite 65 und 66:
Kapitel 5·Vorbereitung auf den Ern
Seite 67 und 68:
Seite 69:
Seite 72 und 73:
74 PräventionDieses Kapitel zeigt
Seite 74 und 75:
76 Erkennungjemand, der nicht selbs
Seite 76 und 77:
78 AnalyseHat der Einbrecher privil
Seite 78 und 79:
80 KonsequenzenEin derartiges Recov
Seite 81:
Teil IIVerfügbareOpen Source-Lösu
Seite 84 und 85:
86 Ausnutzen der Protokollfunktione
Seite 86 und 87:
88 Ausnutzen der Protokollfunktione
Seite 88 und 89:
90 Einfache lokale IDS7.2 Einfache
Seite 90 und 91:
92 Einfache Netzwerk-basierte IDSEi
Seite 92 und 93:
94 Einfache Netzwerk-basierte IDSEs
Seite 94 und 95:
96 Einfache Netzwerk-basierte IDSLi
Seite 96 und 97:
98 Einfache Netzwerk-basierte IDSZu
Seite 98 und 99:
100 ngrep-i Ignoriere Groß/Kleinsc
Seite 100 und 101:
102 ngrepHost-basierte Intrusion De
Seite 102 und 103:
104 Automatische Protokoll-Analyse
Seite 104 und 105:
106 Automatische Protokoll-Analyse
Seite 106 und 107:
108 Automatische Protokoll-Analyses
Seite 108 und 109:
110 Automatische Protokoll-AnalyseM
Seite 110 und 111:
112 Automatische Protokoll-AnalyseR
Seite 112 und 113:
114 Automatische Protokoll-AnalyseD
Seite 114 und 115:
116 Automatische Protokoll-AnalyseZ
Seite 116 und 117:
118 Automatische Protokoll-Analyse8
Seite 118 und 119:
120 Automatische Protokoll-AnalyseO
Seite 120 und 121:
122 TripwireTION SECTION sollten di
Seite 122 und 123:
124 Tripwireder Buch-CD bei. Die we
Seite 124 und 125:
126 TripwireBeginn die Variable SYS
Seite 126 und 127:
128 TripwireSHA-Prüfsumme (SHA) er
Seite 128 und 129:
130 TripwireBei der Erzeugung der S
Seite 130 und 131:
132 TripwireProzess genutzt werden.
Seite 132 und 133:
134 TripwireÜberprüfung der Daten
Seite 134 und 135:
136 Tripwire[root@kermit tripwire]#
Seite 136 und 137:
138 TripwireModified object name:Pr
Seite 138 und 139:
140 TripwireInsbesondere die Mögli
Seite 140 und 141:
142 TripwireUm nun die Richtlinien
Seite 142 und 143:
144 TripwireSollen Tripwire-Bericht
Seite 144 und 145:
146 TripwireBei Aufruf des Befehls
Seite 146 und 147:
148 TripwireOptimierung der Konfigu
Seite 148 und 149:
150 Tripwiredem #-Zeichen angegeben
Seite 150 und 151:
152 TripwireVariablen erleichten di
Seite 152 und 153:
154 Tripwire# Apache Programm/usr/s
Seite 154 und 155:
156 Tripwirenen Inhalt untersucht.
Seite 156 und 157:
158 TripwireSo können die Richtlin
Seite 158 und 159:
160 Tripwire######################
Seite 160 und 161:
162 Linux Intrusion Detection Syste
Seite 162 und 163:
Seite 164 und 165:
Seite 166 und 167:
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
Seite 174 und 175:
Seite 176 und 177:
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
Seite 184 und 185:
Seite 186 und 187:
Seite 188 und 189:
190 SNARESystems. Hiermit besteht d
Seite 190 und 191:
192 SNARESNARE unterstützt entwede
Seite 192 und 193:
194 SNAREWird nun die Regel gespeic
Seite 194 und 195:
196 SNAREAbbildung 8.7:Protokollier
Seite 197 und 198:
Kapitel 9Netzwerkbasierte Intrusion
Seite 199 und 200:
Kapitel 9·Netzwerkbasierte Intrusi
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Seite 259 und 260:
Seite 261 und 262:
Seite 263 und 264:
Seite 265 und 266:
Seite 267 und 268:
Seite 269 und 270:
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Seite 281 und 282:
Seite 283 und 284:
Seite 285 und 286:
Seite 287 und 288:
Seite 289 und 290:
Seite 291 und 292:
Seite 293:
Seite 296 und 297:
Beim Einsatz von Intrusion Detectio
Seite 298 und 299:
300 Zentrale Erzeugung der Konfigur
Seite 300 und 301:
Seite 302 und 303:
Seite 304 und 305:
Seite 306 und 307:
308 Zentrale Verwaltung der Schlüs
Seite 308 und 309:
310 Distribution der Dateien mit rs
Seite 310 und 311:
312 Erzeugung und Überprüfung der
Seite 312 und 313:
314 Zentrale Auswertung[root@kermit
Seite 314 und 315:
316 Zusammenfassung#!/bin/bashremot
Seite 316 und 317:
318 Auswahl der Sensor-StandorteDie
Seite 318 und 319:
320 Installation der SensorenIm Wei
Seite 320 und 321:
322 Installation der Sensorenlers z
Seite 322 und 323:
324 Installation der SensorenWeiter
Seite 324 und 325:
326 Installation der SensorenDie Pr
Seite 326 und 327:
328 Installation der Sensoren######
Seite 328 und 329:
330 Installation der Sensoren# that
Seite 330 und 331:
332 Installation der Sensoren#-----
Seite 332 und 333:
334 Installation der Managementkons
Seite 334 und 335:
336 Installation der Managementkons
Seite 336 und 337: 338 Installation der Managementkons
Seite 348 und 349: 350 Snort-Centerautomatisch über S
Seite 350 und 351: 352 Snort-Center$proxy = "";$alert_
Seite 352 und 353: 354 Snort-Center# mkdir /snort# cd
Seite 354 und 355: 356 Snort-CenterCreating uninstall
Seite 356 und 357: 358 Korrelation und Analyse der Dat
Seite 367 und 368: Kapitel 12Zentrale Protokollserver1
Seite 369 und 370: Kapitel 12·Zentrale Protokollserve
Seite 385: Kapitel 13Datenschutz-Aspekte in ei
Seite 389: Kapitel 13·Datenschutz-Aspekte in
Seite 392 und 393: Häufig werden die Maßnahmen zur S
Seite 394 und 395: 396 Do not Panic!Im Teil 1 des Buch
Seite 396 und 397: 398 Meldung des EinbruchsDiese Meld
Seite 398 und 399: 400 Meldung des EinbruchsHäufig is
Seite 400 und 401: 402 Meldung des Einbruchs; DiG 9.2
Seite 402 und 403: 404 Neuinstallation oder Reparaturt
Seite 405 und 406: Kapitel 15Lessons Learned15.1 Anpas
Seite 407 und 408: Kapitel 15·Lessons Learned 409Habe
Seite 409 und 410: Kapitel 15·Lessons Learned 411Im W
Seite 411: Teil VFortgeschrittene AnalyseKapit
Seite 414 und 415: 416 Forensische Analyse eines Rechn
Seite 416 und 417: 418 Dokumentation der AnalyseEin wi
Seite 418 und 419: 420 Analyse flüchtiger Daten16.3 A
Seite 420 und 421: 422 Analyse flüchtiger Daten16.3.4
Seite 422 und 423: 424 Analyse flüchtiger Daten16.3.6
Seite 424 und 425: 426 Analyse flüchtiger Daten0xca8b
Seite 426 und 427: 428 Analyse der DateisystemeSo ist
Seite 428 und 429: 430 Analyse der DateisystemeListing
Seite 430 und 431: 432 Analyse der DateisystemeEinige
Seite 432 und 433: 434 Analyse der DateisystemeBevor n
Seite 434 und 435: 436 Analyse der DateisystemeHINWEIS
Seite 436 und 437:
438 Analyse der DateisystemeCheckin
Seite 438 und 439:
440 Analyse der DateisystemeListing
Seite 440 und 441:
442 Analyse des Rechners mit The Co
Seite 442 und 443:
Seite 444 und 445:
Seite 446 und 447:
Seite 448 und 449:
Seite 450 und 451:
Seite 452 und 453:
Seite 454 und 455:
Seite 456 und 457:
Seite 458 und 459:
460 Analyse modifizierter Dateien u
Seite 460 und 461:
462 Analyse modifizierter Dateien u
Seite 462 und 463:
464 FazitJedoch sollte auch klar ge
Seite 464 und 465:
466 Analyse der Paket-Header: SYN/F
Seite 466 und 467:
Seite 468 und 469:
Seite 470 und 471:
472 Analyse des Paketinhaltesund f
Seite 472 und 473:
474 Analyse des PaketinhaltesTunnel
Seite 474 und 475:
476 Auffinden der Nadel im Heuhaufe
Seite 476 und 477:
Seite 478 und 479:
Seite 480 und 481:
482 TCP-Streamreassemblierungsangri
Seite 482 und 483:
484 TCP-Streamreassemblierungsangri
Seite 485 und 486:
Kapitel 18Einsatz eines Honeypots18
Seite 487 und 488:
Kapitel 18·Einsatz eines Honeypots
Seite 489 und 490:
Seite 491 und 492:
Seite 493 und 494:
Kapitel 19Tiny Honeypot und Honeyd1
Seite 495 und 496:
Kapitel 19·Tiny Honeypot und Honey
Seite 497 und 498:
Seite 499 und 500:
Seite 501 und 502:
Seite 503:
Seite 506 und 507:
508 Auswahl und Installation des Be
Seite 508 und 509:
510 Verwendung von UserModeLinux od
Seite 510 und 511:
Seite 512 und 513:
Seite 514 und 515:
Seite 516 und 517:
518 Konfiguration der Netzwerkdiens
Seite 518 und 519:
520 Zugang zum Honeypot und Schutz
Seite 520 und 521:
Seite 522 und 523:
Seite 524 und 525:
526 Überwachung des Honeypots von
Seite 526 und 527:
528 Überwachung des Honeypots von
Seite 528 und 529:
530 Fazitwachung. Er ist auch in de
Seite 530 und 531:
532 TCP/IPDieses Kapitel soll eine
Seite 532 und 533:
534 IPA.2.1VersionDieses Feld ist v
Seite 534 und 535:
536 IPA.2.8Time To Live (TTL)Bei de
Seite 536 und 537:
538 IPNo OperationNo Operation ist
Seite 538 und 539:
540 UDPDer UDP-Header (Abbildung A.
Seite 540 und 541:
542 TCPZusätzlich bietet TCP wie U
Seite 542 und 543:
544 TCP0 1 15 6 3 10Quell-Port16 Bi
Seite 544 und 545:
546 TCPdelt es sich um einen Mechan
Seite 546 und 547:
548 TCPPakete, die das URG-Bit gese
Seite 548 und 549:
550 TCPLediglich der Sender ist in
Seite 550 und 551:
552 Explicit Congestion Notificatio
Seite 552 und 553:
554 ICMPA.6 ICMPIP ist ein Protokol
Seite 554 und 555:
556 ICMPmission Unit Discovery (Pat
Seite 556 und 557:
558 ICMPDie meisten Implementierung
Seite 558 und 559:
560 ARP192.168.0.20215:22:23.374625
Seite 560 und 561:
562 FirewalkingDieses Kapitel stell
Seite 562 und 563:
564 Spoofing· DNS-Spoofing Hierbei
Seite 564 und 565:
566 Spoofing4. Der Angreifer muss a
Seite 566 und 567:
568 Session Hijackingbefindet, sieh
Seite 568 und 569:
570 Gespoofter PortscanJedoch gibt
Seite 571 und 572:
Anhang CRootkitsC.1 Klassische Root
Seite 573 und 574:
Anhang C·Rootkits 575Eine Erkennun
Seite 575 und 576:
Anhang C·Rootkits 577aber inzwisch
Seite 577 und 578:
Anhang C·Rootkits 579Diese Prozess
Seite 579 und 580:
Anhang DKryptografieD.1 Geschichte
Seite 581 und 582:
Anhang D·Kryptografie 583gehoben w
Seite 583 und 584:
Anhang D·Kryptografie 585D.4 symme
Seite 585 und 586:
Anhang D·Kryptografie 587Eigentlic
Seite 587 und 588:
Anhang D·Kryptografie 589Hashes we
Seite 589 und 590:
Anhang D·Kryptografie 591BlowfishB
Seite 591 und 592:
Anhang D·Kryptografie 593mann-Prot
Seite 593:
Anhang D·Kryptografie 595sich in d
Seite 596 und 597:
598 UmfragenE.1 UmfragenAus CERT-Um
Seite 598 und 599:
600 KonferenzenWhitehats: http://ww
Seite 600 und 601:
602 Rescue-ModusDie CD-ROM zum Buch
Seite 602 und 603:
604 GlossarACK - TCP-Flag, welches
Seite 604 und 605:
606 GlossarHTTP - siehe HyperText T
Seite 606 und 607:
608 GlossarRST - TCP-Flag, welches
Seite 609 und 610:
Anhang HBibliographieSchneier, Bruc
Seite 611 und 612:
Stichwortverzeichnis!/dev/kmem 171,
Seite 613 und 614:
Stichwortverzeichnis 615Ee2tools 51
Seite 615 und 616:
Stichwortverzeichnis 617- Protokoll
Seite 617 und 618:
Stichwortverzeichnis 619- database
Seite 619 und 620:
Stichwortverzeichnis 621Wwebmitm 52
Alle anzeigen

(eBook - pdf - german) Intrusion Detection für Linux-Server

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?