(eBook - pdf - german) Intrusion Detection für Linux-Server

Weitere Magazine

Empfehlungen

Info

462 Analyse modifizierter Dateien und BefehleDie Analyse eines Binärprogrammes sollte mit dem Befehl strings beginnen.Um auf die Dateien des Forensic Challenge zurückzukommen, soll hier beispielhaftdie Analyse des Befehls /bin/ps gezeigt werden. Dieser Befehl wurde vondem Einbrecher ausgetauscht. Das ist durch den Befehl chkrootkit gemeldetworden.Die Analyse des Kommandos /bin/ps mit dem strings-Befehl zeigt zunächst,dass es sich um ein Programm handelt, welches die libc5 verwendet. Dies istungewöhnlich, da Red Hat Linux beginnend mit der Version 6 eine libc6-basierte Distribution ist.# strings /analyse/root/bin/ps | head -2/lib/ld-linux.so.1libc.so.5.../dev/ptyp...Bei einer weiteren Betrachtung der Zeichenketten, die von strings angezeigtwerden, fällt der Eintrag /dev/ptyp auf. Dies ist kein üblicher Eintrag desBefehls /bin/ps. Eine Analyse des kompromittierten Rechners zeigt, dass dieseDatei tatsächlich existiert.# ls -l root/dev/ptyp*-rw-r--r-- 1 1010 users 171 Jun 3 2000 root/dev/ptypcrw-rw-rw- 1 root tty 2, 0 Mai 5 1998 root/dev/ptyp0....Die Datei weist ungewöhnliche Besitzer und ein ungewöhnliches Datum auf.Außerdem handelt es sich nicht um ein Gerät, sondern um eine Datei. Der Inhaltdieser Datei liest sich wie das Inhaltsverzeichnis eines Rootkits. Wahrscheinlichwerden die in dieser Datei erwähnten Prozesse von ps versteckt.Listing 16.6: Die Datei /dev/ptyp2 slice22 snif2 pscan2 imp3 qd2 bs.sh3 nn3 egg.lin.... (gekürzt)Um letzte Gewissheit über die Funktionsweise des Programmes zu gewinnen,sollte es jedoch gestartet und dabei überwacht werden. Im Falle des ps-Komman-
Kapitel 16·Analyse des Rechners nach einem Einbruch 463dos ist sicherlich der Hintergrund bereits erkannt worden, jedoch ist bei vielenanderen Programmen der Sinn nicht derart einfach zu erkennen.Die Ausführung eines unbekannten Programmes sollte jedoch nicht einfach aufeinem Rechner erfolgen. Die Gefahr, dass hierbei unerwünschte Nebeneffekteauftreten, ist zu groß. Für die Ausführung derartiger Programme sollte eine genaudefinierte geschlossene Umgebung geschaffen werden. Idealerweise steht hierfürein eigener Rechner zur Verfügung, der nach der Ausführung komplett neuinstalliert werden kann.Dieser zusätzliche Rechner kann jedoch auch durch VMware oder User-Mode-Linux ersetzt werden. Im Grunde handelt es sich um eine Art Honeypot für dasunbekannte Binärprogramm.Existiert ein derartiges System, so sollte ein Überwachungssystem eingesetztwerden, welches das Testsystem ähnlich einem Honeypot überwacht. Hierzu eignetsich eine Netzwerküberwachung mit tcpdump und iptables. Die Kapitel überHoneypots in Teil IV geben weitere Hinweise und Informationen.Wurden diese Vorbereitungen getroffen, so kann der Befehl mit strace aufgerufenwerden. Strace ist ein Werkzeug, welches alle Systemaufrufe und Signaleüberwacht und ausgibt.Listing 16.7: Strace-Aufruf# strace psexecve("/bin/ps", ["ps"], [/* 33 vars */]) = 0uname({sys="Linux", node="kermit.spenneberg.de", ...}) = 0brk(0)= 0x8162608open("/etc/ld.so.preload", O_RDONLY) = -1 ENOENT (No such file or directory)...Das gerade angesprochene Problem der verschlüsselten Dateien ist nicht ein reintheoretisches Problem. Das Team Teso (http://www.team-teso.net) hat in derInternetzeitung Phrack (http://www.phrack.org) in der Ausgabe 58 einen Artikelveröffentlicht, der die Verschlüsselung von Binärprogrammen in dem unterLinux verwendeten ELF-Format beschreibt. In diesem Artikel wird sowohl derAlgorithmus beschrieben als auch der notwendige Code vorgestellt.16.7 FazitTCT und Autopsy/TASK bieten noch sehr viele weitere Funktionen, die in derKürze nicht besprochen werden können. Die forensische Rechneranalyse könntealleine mehrere Bücher füllen. Die Methoden und Werkzeuge sind zu vielfältig,um in diesem Buch ausreichend zur Sprache zu kommen. Dennoch ist hoffentlichein guter Eindruck von den Fähigkeiten dieser Werkzeuge entstanden.
Seite 3:
Intrusion Detectionfür Linux-Serve
Seite 6 und 7:
8 InhaltsverzeichnisKapitel 4 Recht
Seite 8 und 9:
10 InhaltsverzeichnisKapitel 11 Auf
Seite 10 und 11:
12 Inhaltsverzeichnis17.3.2 TCPshow
Seite 13 und 14:
VorwortDieses Buch versucht die ver
Seite 15:
EinleitungDas moderne Leben wird vo
Seite 18 und 19:
20 Einleitungben (http://www.cert.o
Seite 20 und 21:
Die Computersicherheit ist eine rec
Seite 22 und 23:
24 Was ist eine Intrusion?Dieses Ka
Seite 24 und 25:
26 Was ist eine Intrusion?diese Scr
Seite 27:
Kapitel 2Benötige ich ein IDS und
Seite 31 und 32:
Kapitel 2·Benötige ich ein IDS un
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39:
Seite 42 und 43:
44 Anforderungen an ein Intrusion D
Seite 44 und 45:
46 Tatsächlich gebotene Leistung·
Seite 46 und 47:
48 Aufwand und Kosten· Intrusion R
Seite 48 und 49:
50 Aufwand und Kostenmittierten Sys
Seite 50 und 51:
52 Kommerzielle und freie IDSWenn n
Seite 52 und 53:
54 Kommerzielle und freie IDS3.4.2
Seite 54 und 55:
56 Kommerzielle und freie IDS· Gra
Seite 56 und 57:
58 Kommerzielle und freie IDSdefini
Seite 58 und 59:
60 Welche Gesetze sind anwendbar?Di
Seite 60 und 61:
62 Welche Gesetze sind anwendbar?La
Seite 63 und 64:
Kapitel 5Vorbereitung auf den Ernst
Seite 65 und 66:
Kapitel 5·Vorbereitung auf den Ern
Seite 67 und 68:
Seite 69:
Seite 72 und 73:
74 PräventionDieses Kapitel zeigt
Seite 74 und 75:
76 Erkennungjemand, der nicht selbs
Seite 76 und 77:
78 AnalyseHat der Einbrecher privil
Seite 78 und 79:
80 KonsequenzenEin derartiges Recov
Seite 81:
Teil IIVerfügbareOpen Source-Lösu
Seite 84 und 85:
86 Ausnutzen der Protokollfunktione
Seite 86 und 87:
88 Ausnutzen der Protokollfunktione
Seite 88 und 89:
90 Einfache lokale IDS7.2 Einfache
Seite 90 und 91:
92 Einfache Netzwerk-basierte IDSEi
Seite 92 und 93:
94 Einfache Netzwerk-basierte IDSEs
Seite 94 und 95:
96 Einfache Netzwerk-basierte IDSLi
Seite 96 und 97:
98 Einfache Netzwerk-basierte IDSZu
Seite 98 und 99:
100 ngrep-i Ignoriere Groß/Kleinsc
Seite 100 und 101:
102 ngrepHost-basierte Intrusion De
Seite 102 und 103:
104 Automatische Protokoll-Analyse
Seite 104 und 105:
106 Automatische Protokoll-Analyse
Seite 106 und 107:
108 Automatische Protokoll-Analyses
Seite 108 und 109:
110 Automatische Protokoll-AnalyseM
Seite 110 und 111:
112 Automatische Protokoll-AnalyseR
Seite 112 und 113:
114 Automatische Protokoll-AnalyseD
Seite 114 und 115:
116 Automatische Protokoll-AnalyseZ
Seite 116 und 117:
118 Automatische Protokoll-Analyse8
Seite 118 und 119:
120 Automatische Protokoll-AnalyseO
Seite 120 und 121:
122 TripwireTION SECTION sollten di
Seite 122 und 123:
124 Tripwireder Buch-CD bei. Die we
Seite 124 und 125:
126 TripwireBeginn die Variable SYS
Seite 126 und 127:
128 TripwireSHA-Prüfsumme (SHA) er
Seite 128 und 129:
130 TripwireBei der Erzeugung der S
Seite 130 und 131:
132 TripwireProzess genutzt werden.
Seite 132 und 133:
134 TripwireÜberprüfung der Daten
Seite 134 und 135:
136 Tripwire[root@kermit tripwire]#
Seite 136 und 137:
138 TripwireModified object name:Pr
Seite 138 und 139:
140 TripwireInsbesondere die Mögli
Seite 140 und 141:
142 TripwireUm nun die Richtlinien
Seite 142 und 143:
144 TripwireSollen Tripwire-Bericht
Seite 144 und 145:
146 TripwireBei Aufruf des Befehls
Seite 146 und 147:
148 TripwireOptimierung der Konfigu
Seite 148 und 149:
150 Tripwiredem #-Zeichen angegeben
Seite 150 und 151:
152 TripwireVariablen erleichten di
Seite 152 und 153:
154 Tripwire# Apache Programm/usr/s
Seite 154 und 155:
156 Tripwirenen Inhalt untersucht.
Seite 156 und 157:
158 TripwireSo können die Richtlin
Seite 158 und 159:
160 Tripwire######################
Seite 160 und 161:
162 Linux Intrusion Detection Syste
Seite 162 und 163:
Seite 164 und 165:
Seite 166 und 167:
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
Seite 174 und 175:
Seite 176 und 177:
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
Seite 184 und 185:
Seite 186 und 187:
Seite 188 und 189:
190 SNARESystems. Hiermit besteht d
Seite 190 und 191:
192 SNARESNARE unterstützt entwede
Seite 192 und 193:
194 SNAREWird nun die Regel gespeic
Seite 194 und 195:
196 SNAREAbbildung 8.7:Protokollier
Seite 197 und 198:
Kapitel 9Netzwerkbasierte Intrusion
Seite 199 und 200:
Kapitel 9·Netzwerkbasierte Intrusi
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Seite 259 und 260:
Seite 261 und 262:
Seite 263 und 264:
Seite 265 und 266:
Seite 267 und 268:
Seite 269 und 270:
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Seite 281 und 282:
Seite 283 und 284:
Seite 285 und 286:
Seite 287 und 288:
Seite 289 und 290:
Seite 291 und 292:
Seite 293:
Seite 296 und 297:
Beim Einsatz von Intrusion Detectio
Seite 298 und 299:
300 Zentrale Erzeugung der Konfigur
Seite 300 und 301:
Seite 302 und 303:
Seite 304 und 305:
Seite 306 und 307:
308 Zentrale Verwaltung der Schlüs
Seite 308 und 309:
310 Distribution der Dateien mit rs
Seite 310 und 311:
312 Erzeugung und Überprüfung der
Seite 312 und 313:
314 Zentrale Auswertung[root@kermit
Seite 314 und 315:
316 Zusammenfassung#!/bin/bashremot
Seite 316 und 317:
318 Auswahl der Sensor-StandorteDie
Seite 318 und 319:
320 Installation der SensorenIm Wei
Seite 320 und 321:
322 Installation der Sensorenlers z
Seite 322 und 323:
324 Installation der SensorenWeiter
Seite 324 und 325:
326 Installation der SensorenDie Pr
Seite 326 und 327:
328 Installation der Sensoren######
Seite 328 und 329:
330 Installation der Sensoren# that
Seite 330 und 331:
332 Installation der Sensoren#-----
Seite 332 und 333:
334 Installation der Managementkons
Seite 334 und 335:
Seite 336 und 337:
Seite 338 und 339:
Seite 340 und 341:
Seite 342 und 343:
Seite 344 und 345:
Seite 346 und 347:
Seite 348 und 349:
350 Snort-Centerautomatisch über S
Seite 350 und 351:
352 Snort-Center$proxy = "";$alert_
Seite 352 und 353:
354 Snort-Center# mkdir /snort# cd
Seite 354 und 355:
356 Snort-CenterCreating uninstall
Seite 356 und 357:
358 Korrelation und Analyse der Dat
Seite 358 und 359:
Seite 360 und 361:
Seite 362 und 363:
Seite 364 und 365:
Seite 367 und 368:
Kapitel 12Zentrale Protokollserver1
Seite 369 und 370:
Kapitel 12·Zentrale Protokollserve
Seite 371 und 372:
Seite 373 und 374:
Seite 375 und 376:
Seite 377 und 378:
Seite 379 und 380:
Seite 381 und 382:
Seite 383 und 384:
Seite 385 und 386:
Kapitel 13Datenschutz-Aspekte in ei
Seite 387 und 388:
Kapitel 13·Datenschutz-Aspekte in
Seite 389:
Kapitel 13·Datenschutz-Aspekte in
Seite 392 und 393:
Häufig werden die Maßnahmen zur S
Seite 394 und 395:
396 Do not Panic!Im Teil 1 des Buch
Seite 396 und 397:
398 Meldung des EinbruchsDiese Meld
Seite 398 und 399:
400 Meldung des EinbruchsHäufig is
Seite 400 und 401:
402 Meldung des Einbruchs; DiG 9.2
Seite 402 und 403:
404 Neuinstallation oder Reparaturt
Seite 405 und 406:
Kapitel 15Lessons Learned15.1 Anpas
Seite 407 und 408:
Kapitel 15·Lessons Learned 409Habe
Seite 409 und 410: Kapitel 15·Lessons Learned 411Im W
Seite 411: Teil VFortgeschrittene AnalyseKapit
Seite 414 und 415: 416 Forensische Analyse eines Rechn
Seite 416 und 417: 418 Dokumentation der AnalyseEin wi
Seite 418 und 419: 420 Analyse flüchtiger Daten16.3 A
Seite 420 und 421: 422 Analyse flüchtiger Daten16.3.4
Seite 422 und 423: 424 Analyse flüchtiger Daten16.3.6
Seite 424 und 425: 426 Analyse flüchtiger Daten0xca8b
Seite 426 und 427: 428 Analyse der DateisystemeSo ist
Seite 428 und 429: 430 Analyse der DateisystemeListing
Seite 430 und 431: 432 Analyse der DateisystemeEinige
Seite 432 und 433: 434 Analyse der DateisystemeBevor n
Seite 434 und 435: 436 Analyse der DateisystemeHINWEIS
Seite 436 und 437: 438 Analyse der DateisystemeCheckin
Seite 438 und 439: 440 Analyse der DateisystemeListing
Seite 440 und 441: 442 Analyse des Rechners mit The Co
Seite 458 und 459: 460 Analyse modifizierter Dateien u
Seite 462 und 463: 464 FazitJedoch sollte auch klar ge
Seite 464 und 465: 466 Analyse der Paket-Header: SYN/F
Seite 470 und 471: 472 Analyse des Paketinhaltesund f
Seite 472 und 473: 474 Analyse des PaketinhaltesTunnel
Seite 474 und 475: 476 Auffinden der Nadel im Heuhaufe
Seite 480 und 481: 482 TCP-Streamreassemblierungsangri
Seite 482 und 483: 484 TCP-Streamreassemblierungsangri
Seite 485 und 486: Kapitel 18Einsatz eines Honeypots18
Seite 487 und 488: Kapitel 18·Einsatz eines Honeypots
Seite 493 und 494: Kapitel 19Tiny Honeypot und Honeyd1
Seite 495 und 496: Kapitel 19·Tiny Honeypot und Honey
Seite 503: Kapitel 19·Tiny Honeypot und Honey
Seite 506 und 507: 508 Auswahl und Installation des Be
Seite 508 und 509: 510 Verwendung von UserModeLinux od
Seite 510 und 511:
512 Verwendung von UserModeLinux od
Seite 512 und 513:
Seite 514 und 515:
Seite 516 und 517:
518 Konfiguration der Netzwerkdiens
Seite 518 und 519:
520 Zugang zum Honeypot und Schutz
Seite 520 und 521:
Seite 522 und 523:
Seite 524 und 525:
526 Überwachung des Honeypots von
Seite 526 und 527:
528 Überwachung des Honeypots von
Seite 528 und 529:
530 Fazitwachung. Er ist auch in de
Seite 530 und 531:
532 TCP/IPDieses Kapitel soll eine
Seite 532 und 533:
534 IPA.2.1VersionDieses Feld ist v
Seite 534 und 535:
536 IPA.2.8Time To Live (TTL)Bei de
Seite 536 und 537:
538 IPNo OperationNo Operation ist
Seite 538 und 539:
540 UDPDer UDP-Header (Abbildung A.
Seite 540 und 541:
542 TCPZusätzlich bietet TCP wie U
Seite 542 und 543:
544 TCP0 1 15 6 3 10Quell-Port16 Bi
Seite 544 und 545:
546 TCPdelt es sich um einen Mechan
Seite 546 und 547:
548 TCPPakete, die das URG-Bit gese
Seite 548 und 549:
550 TCPLediglich der Sender ist in
Seite 550 und 551:
552 Explicit Congestion Notificatio
Seite 552 und 553:
554 ICMPA.6 ICMPIP ist ein Protokol
Seite 554 und 555:
556 ICMPmission Unit Discovery (Pat
Seite 556 und 557:
558 ICMPDie meisten Implementierung
Seite 558 und 559:
560 ARP192.168.0.20215:22:23.374625
Seite 560 und 561:
562 FirewalkingDieses Kapitel stell
Seite 562 und 563:
564 Spoofing· DNS-Spoofing Hierbei
Seite 564 und 565:
566 Spoofing4. Der Angreifer muss a
Seite 566 und 567:
568 Session Hijackingbefindet, sieh
Seite 568 und 569:
570 Gespoofter PortscanJedoch gibt
Seite 571 und 572:
Anhang CRootkitsC.1 Klassische Root
Seite 573 und 574:
Anhang C·Rootkits 575Eine Erkennun
Seite 575 und 576:
Anhang C·Rootkits 577aber inzwisch
Seite 577 und 578:
Anhang C·Rootkits 579Diese Prozess
Seite 579 und 580:
Anhang DKryptografieD.1 Geschichte
Seite 581 und 582:
Anhang D·Kryptografie 583gehoben w
Seite 583 und 584:
Anhang D·Kryptografie 585D.4 symme
Seite 585 und 586:
Anhang D·Kryptografie 587Eigentlic
Seite 587 und 588:
Anhang D·Kryptografie 589Hashes we
Seite 589 und 590:
Anhang D·Kryptografie 591BlowfishB
Seite 591 und 592:
Anhang D·Kryptografie 593mann-Prot
Seite 593:
Anhang D·Kryptografie 595sich in d
Seite 596 und 597:
598 UmfragenE.1 UmfragenAus CERT-Um
Seite 598 und 599:
600 KonferenzenWhitehats: http://ww
Seite 600 und 601:
602 Rescue-ModusDie CD-ROM zum Buch
Seite 602 und 603:
604 GlossarACK - TCP-Flag, welches
Seite 604 und 605:
606 GlossarHTTP - siehe HyperText T
Seite 606 und 607:
608 GlossarRST - TCP-Flag, welches
Seite 609 und 610:
Anhang HBibliographieSchneier, Bruc
Seite 611 und 612:
Stichwortverzeichnis!/dev/kmem 171,
Seite 613 und 614:
Stichwortverzeichnis 615Ee2tools 51
Seite 615 und 616:
Stichwortverzeichnis 617- Protokoll
Seite 617 und 618:
Stichwortverzeichnis 619- database
Seite 619 und 620:
Stichwortverzeichnis 621Wwebmitm 52
Alle anzeigen

(eBook - pdf - german) Intrusion Detection für Linux-Server

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?