(eBook - pdf - german) Intrusion Detection für Linux-Server

Weitere Magazine

Empfehlungen

Info

492 Honeypot-Varianteneinen Rückzieher gemacht. Aus Lizenzgründen wird Hotzone nicht öffentlichverfügbar sein.Tiny Honeypot (THP, http://www.alpinista.org/thp/) wurde von George Bakosgeschrieben. THP erlaubt die Simulation eines Dienstes auf jedem Port. Hierzuwerden kleine Perl-Programme verwendet, die die Verbindungsanfrage entgegennehmenund jede Art von Dienst simulieren können. THP wurde für Linuxgeschrieben und benötigt die Netfilter-Architektur für die Implementierung desHoneypots. Da auch hier die Dienste lediglich simuliert werden, geht von THPgrundsätzlich keine Gefahr aus. Es wird unter der GNU GPL veröffentlicht.Das Deception Toolkit (DTK, http://www.all.net/dtk/) wurde von Fred Cohenbereits 1998 entwickelt. Es wurde wie THP in Perl programmiert und erlaubtebenso die Simulation beliebiger Dienste unter UNIX/Linux. Hierzu kann miteiner Skriptsprache das Verhalten des simulierten Dienstes definiert werden. DasDeception Toolkit ist kostenlos erhältlich. Eine grafische Oberfläche für die einfacheAdministration wird kommerziell angeboten.Honeyd wurde von Niels Provos geschrieben. Es erlaubt ebenfalls die Simulationvon beliebigen Netzwerkdiensten. Es unterscheidet sich jedoch massiv von denbisher besprochenen Lösungen, da es auch die Simulation von beliebigen TCP/IP-Stacks erlaubt. So ist es möglich, auf einem Linux-Rechner den TCP/IP-Stackeines AIX 4.0-4.2-Rechners zu simulieren. 1 Wenn ein Angreifer nun einenNmap Scan des Rechners durchführt, wird ihm suggeriert, dass er gerade miteinem IBM AIX-Rechner kommuniziert. Zusätzlich erlaubt Honeyd die Simulationnicht nur eines Rechners, sondern gesamter Netzwerke, wenn die entsprechendenIP-Adressen zur Verfügung stehen. Honeyd wird als Open Source veröffentlicht.Eine zweite Kategorie von Honeypots stellt das komplette Betriebssystem zurVerfügung. Ein kommerzielles Produkt dieser Art ist ManTrap von Recourse(http://www.recourse.com/product/ManTrap/). ManTrap ist lauffähig auf Solaris-Systemenund erlaubt die Simulation von vier Subsystemen in so gennantenJails (Gefängnissen). In diesen Subsystemen hat der Angreifer komplettenZugriff auf das Betriebssystem und der Administrator ist in der Lage in diesenSubsystemen durch Installation Oracle oder Apache zur Verfügung zu stellen.Die Interaktion des Angreifers mit dem System kann dadurch wesentlich tiefererfolgen. Der Angreifer ist in der Lage, mit den tatsächlichen Diensten zu interagierenund mögliche Sicherheitslücken echt auszunutzen. Jedoch sorgt ManTrapdafür, dass der Angreifer das Jail nicht verlassen kann.Die letzte Kategorie der Honeypots besteht aus kompletten Rechnern. Diese könnenentweder auf echter Hardware oder in virtuellen Umgebungen wie VMwareoder UserModeLinux (UML) implementiert werden. Hierbei wird ein echtes Systemzum Honeypot, indem sehr großer Aufwand bei der Protokollierung der1 Dies ist auch mit einem Patch für den TCP/IP-Stack möglich (http://ippersonality.sourceforge.net/).Dann kann aber nur ein weiteres Betriebssystem simuliert werden. honeyd erlaubt dieSimulation beliebig vieler Betriebssysteme.
Kapitel 18·Einsatz eines Honeypots 493Ereignisse und der Überwachung der Aktionen auf dem Rechner getrieben wird.Dies ist erforderlich, denn ein Honeypot, auf dem ein Einbruch nicht erkanntwird, verfehlt seinen Zweck vollkommen.Eine Erweiterung dieses Konzeptes stellt das Honeynet dar. Hierbei handelt essich um einen Aufbau aus mehreren Honeypots, die unterschiedliche Funktionenbieten und den Eindruck eines kompletten Netzwerkes erzeugen.In den nächsten Kapiteln werden einige dieser Lösungen näher besprochen.18.3 Honeypots und das GesetzDie Anwendung von Honeypots ist jedoch nicht unproblematisch. Leider existierennur sehr wenige Informationen und Aufsätze zu diesem Thema. Jedoch ist inder Bundesrepublik Deutschland die Beihilfe zu einer Straftat ebenfalls unterStrafe gestellt.Paragraph 26 und 27 des Strafgesetzbuches haben folgenden Wortlaut:»§ 26. Anstiftung. Als Anstifter wird gleich einem Täter bestraft, wer vorsätzlicheinen anderen zu dessen vorsätzlich begangener rechtswidriger Tat bestimmthat.«»§ 27. Beihilfe. (1) Als Gehilfe wird bestraft, wer vorsätzlich einem anderen zudessen vorsätzlich begangener rechtswidriger Tat Hilfe geleistet hat. (2) DieStrafe für den Gehilfen richtet sich nach der Strafdrohung für den Täter. Sie istnach § 49 Abs. 1 zu mildern.«Einfache Honeypots, die lediglich eine Simulation eines Betriebssystemes aufbauen(Tiny Honeypot und Honeyd), stellen meiner Meinung nach kein Problemdar, da der Angreifer keine Straftat begehen kann. Daher kann auch keine Beihilfegeleistet werden. Jedoch kann bereits der Versuch des Angriffes strafbarsein. Dann kann auch die Beihilfe zu einer nicht erfolgreichen Straftat unterStrafe gestellt sein.Die Installation eines richtigen Betriebssystems ist hier problematischer. Wennauf diesem Betriebssystem vorsätzlich nicht sämtliche Patches eingespielt werden,sodass ein Einbruch möglich ist, besteht die Möglichkeit, dass dies als Beihilfezum Einbruch ausgelegt werden kann. Wird dieser Rechner im Weiterenverwendet, um auf Rechnern dritter Personen einen Schaden anzurichten, so mages sich hier um eine Beihilfe handeln, die strafbar ist.Vorraussetzung für die Beihilfe ist jedoch die Vorsätzlichkeit. Ein Rechner, derschlecht gewartet wird, erfüllt diese Vorraussetzung wahrscheinlich nicht. EinHoneypot, der bewusst als solcher überwacht wird und bei dem diese Patchesnicht eingespielt werden, kann jedoch möglicherweise als Beihilfe angesehenwerden.
Seite 3:
Intrusion Detectionfür Linux-Serve
Seite 6 und 7:
8 InhaltsverzeichnisKapitel 4 Recht
Seite 8 und 9:
10 InhaltsverzeichnisKapitel 11 Auf
Seite 10 und 11:
12 Inhaltsverzeichnis17.3.2 TCPshow
Seite 13 und 14:
VorwortDieses Buch versucht die ver
Seite 15:
EinleitungDas moderne Leben wird vo
Seite 18 und 19:
20 Einleitungben (http://www.cert.o
Seite 20 und 21:
Die Computersicherheit ist eine rec
Seite 22 und 23:
24 Was ist eine Intrusion?Dieses Ka
Seite 24 und 25:
26 Was ist eine Intrusion?diese Scr
Seite 27:
Kapitel 2Benötige ich ein IDS und
Seite 31 und 32:
Kapitel 2·Benötige ich ein IDS un
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39:
Seite 42 und 43:
44 Anforderungen an ein Intrusion D
Seite 44 und 45:
46 Tatsächlich gebotene Leistung·
Seite 46 und 47:
48 Aufwand und Kosten· Intrusion R
Seite 48 und 49:
50 Aufwand und Kostenmittierten Sys
Seite 50 und 51:
52 Kommerzielle und freie IDSWenn n
Seite 52 und 53:
54 Kommerzielle und freie IDS3.4.2
Seite 54 und 55:
56 Kommerzielle und freie IDS· Gra
Seite 56 und 57:
58 Kommerzielle und freie IDSdefini
Seite 58 und 59:
60 Welche Gesetze sind anwendbar?Di
Seite 60 und 61:
62 Welche Gesetze sind anwendbar?La
Seite 63 und 64:
Kapitel 5Vorbereitung auf den Ernst
Seite 65 und 66:
Kapitel 5·Vorbereitung auf den Ern
Seite 67 und 68:
Seite 69:
Seite 72 und 73:
74 PräventionDieses Kapitel zeigt
Seite 74 und 75:
76 Erkennungjemand, der nicht selbs
Seite 76 und 77:
78 AnalyseHat der Einbrecher privil
Seite 78 und 79:
80 KonsequenzenEin derartiges Recov
Seite 81:
Teil IIVerfügbareOpen Source-Lösu
Seite 84 und 85:
86 Ausnutzen der Protokollfunktione
Seite 86 und 87:
88 Ausnutzen der Protokollfunktione
Seite 88 und 89:
90 Einfache lokale IDS7.2 Einfache
Seite 90 und 91:
92 Einfache Netzwerk-basierte IDSEi
Seite 92 und 93:
94 Einfache Netzwerk-basierte IDSEs
Seite 94 und 95:
96 Einfache Netzwerk-basierte IDSLi
Seite 96 und 97:
98 Einfache Netzwerk-basierte IDSZu
Seite 98 und 99:
100 ngrep-i Ignoriere Groß/Kleinsc
Seite 100 und 101:
102 ngrepHost-basierte Intrusion De
Seite 102 und 103:
104 Automatische Protokoll-Analyse
Seite 104 und 105:
106 Automatische Protokoll-Analyse
Seite 106 und 107:
108 Automatische Protokoll-Analyses
Seite 108 und 109:
110 Automatische Protokoll-AnalyseM
Seite 110 und 111:
112 Automatische Protokoll-AnalyseR
Seite 112 und 113:
114 Automatische Protokoll-AnalyseD
Seite 114 und 115:
116 Automatische Protokoll-AnalyseZ
Seite 116 und 117:
118 Automatische Protokoll-Analyse8
Seite 118 und 119:
120 Automatische Protokoll-AnalyseO
Seite 120 und 121:
122 TripwireTION SECTION sollten di
Seite 122 und 123:
124 Tripwireder Buch-CD bei. Die we
Seite 124 und 125:
126 TripwireBeginn die Variable SYS
Seite 126 und 127:
128 TripwireSHA-Prüfsumme (SHA) er
Seite 128 und 129:
130 TripwireBei der Erzeugung der S
Seite 130 und 131:
132 TripwireProzess genutzt werden.
Seite 132 und 133:
134 TripwireÜberprüfung der Daten
Seite 134 und 135:
136 Tripwire[root@kermit tripwire]#
Seite 136 und 137:
138 TripwireModified object name:Pr
Seite 138 und 139:
140 TripwireInsbesondere die Mögli
Seite 140 und 141:
142 TripwireUm nun die Richtlinien
Seite 142 und 143:
144 TripwireSollen Tripwire-Bericht
Seite 144 und 145:
146 TripwireBei Aufruf des Befehls
Seite 146 und 147:
148 TripwireOptimierung der Konfigu
Seite 148 und 149:
150 Tripwiredem #-Zeichen angegeben
Seite 150 und 151:
152 TripwireVariablen erleichten di
Seite 152 und 153:
154 Tripwire# Apache Programm/usr/s
Seite 154 und 155:
156 Tripwirenen Inhalt untersucht.
Seite 156 und 157:
158 TripwireSo können die Richtlin
Seite 158 und 159:
160 Tripwire######################
Seite 160 und 161:
162 Linux Intrusion Detection Syste
Seite 162 und 163:
Seite 164 und 165:
Seite 166 und 167:
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
Seite 174 und 175:
Seite 176 und 177:
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
Seite 184 und 185:
Seite 186 und 187:
Seite 188 und 189:
190 SNARESystems. Hiermit besteht d
Seite 190 und 191:
192 SNARESNARE unterstützt entwede
Seite 192 und 193:
194 SNAREWird nun die Regel gespeic
Seite 194 und 195:
196 SNAREAbbildung 8.7:Protokollier
Seite 197 und 198:
Kapitel 9Netzwerkbasierte Intrusion
Seite 199 und 200:
Kapitel 9·Netzwerkbasierte Intrusi
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Seite 259 und 260:
Seite 261 und 262:
Seite 263 und 264:
Seite 265 und 266:
Seite 267 und 268:
Seite 269 und 270:
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
Seite 281 und 282:
Seite 283 und 284:
Seite 285 und 286:
Seite 287 und 288:
Seite 289 und 290:
Seite 291 und 292:
Seite 293:
Seite 296 und 297:
Beim Einsatz von Intrusion Detectio
Seite 298 und 299:
300 Zentrale Erzeugung der Konfigur
Seite 300 und 301:
Seite 302 und 303:
Seite 304 und 305:
Seite 306 und 307:
308 Zentrale Verwaltung der Schlüs
Seite 308 und 309:
310 Distribution der Dateien mit rs
Seite 310 und 311:
312 Erzeugung und Überprüfung der
Seite 312 und 313:
314 Zentrale Auswertung[root@kermit
Seite 314 und 315:
316 Zusammenfassung#!/bin/bashremot
Seite 316 und 317:
318 Auswahl der Sensor-StandorteDie
Seite 318 und 319:
320 Installation der SensorenIm Wei
Seite 320 und 321:
322 Installation der Sensorenlers z
Seite 322 und 323:
324 Installation der SensorenWeiter
Seite 324 und 325:
326 Installation der SensorenDie Pr
Seite 326 und 327:
328 Installation der Sensoren######
Seite 328 und 329:
330 Installation der Sensoren# that
Seite 330 und 331:
332 Installation der Sensoren#-----
Seite 332 und 333:
334 Installation der Managementkons
Seite 334 und 335:
Seite 336 und 337:
Seite 338 und 339:
Seite 340 und 341:
Seite 342 und 343:
Seite 344 und 345:
Seite 346 und 347:
Seite 348 und 349:
350 Snort-Centerautomatisch über S
Seite 350 und 351:
352 Snort-Center$proxy = "";$alert_
Seite 352 und 353:
354 Snort-Center# mkdir /snort# cd
Seite 354 und 355:
356 Snort-CenterCreating uninstall
Seite 356 und 357:
358 Korrelation und Analyse der Dat
Seite 358 und 359:
Seite 360 und 361:
Seite 362 und 363:
Seite 364 und 365:
Seite 367 und 368:
Kapitel 12Zentrale Protokollserver1
Seite 369 und 370:
Kapitel 12·Zentrale Protokollserve
Seite 371 und 372:
Seite 373 und 374:
Seite 375 und 376:
Seite 377 und 378:
Seite 379 und 380:
Seite 381 und 382:
Seite 383 und 384:
Seite 385 und 386:
Kapitel 13Datenschutz-Aspekte in ei
Seite 387 und 388:
Kapitel 13·Datenschutz-Aspekte in
Seite 389:
Kapitel 13·Datenschutz-Aspekte in
Seite 392 und 393:
Häufig werden die Maßnahmen zur S
Seite 394 und 395:
396 Do not Panic!Im Teil 1 des Buch
Seite 396 und 397:
398 Meldung des EinbruchsDiese Meld
Seite 398 und 399:
400 Meldung des EinbruchsHäufig is
Seite 400 und 401:
402 Meldung des Einbruchs; DiG 9.2
Seite 402 und 403:
404 Neuinstallation oder Reparaturt
Seite 405 und 406:
Kapitel 15Lessons Learned15.1 Anpas
Seite 407 und 408:
Kapitel 15·Lessons Learned 409Habe
Seite 409 und 410:
Kapitel 15·Lessons Learned 411Im W
Seite 411:
Teil VFortgeschrittene AnalyseKapit
Seite 414 und 415:
416 Forensische Analyse eines Rechn
Seite 416 und 417:
418 Dokumentation der AnalyseEin wi
Seite 418 und 419:
420 Analyse flüchtiger Daten16.3 A
Seite 420 und 421:
422 Analyse flüchtiger Daten16.3.4
Seite 422 und 423:
424 Analyse flüchtiger Daten16.3.6
Seite 424 und 425:
426 Analyse flüchtiger Daten0xca8b
Seite 426 und 427:
428 Analyse der DateisystemeSo ist
Seite 428 und 429:
430 Analyse der DateisystemeListing
Seite 430 und 431:
432 Analyse der DateisystemeEinige
Seite 432 und 433:
434 Analyse der DateisystemeBevor n
Seite 434 und 435:
436 Analyse der DateisystemeHINWEIS
Seite 436 und 437:
438 Analyse der DateisystemeCheckin
Seite 438 und 439:
440 Analyse der DateisystemeListing
Seite 440 und 441: 442 Analyse des Rechners mit The Co
Seite 458 und 459: 460 Analyse modifizierter Dateien u
Seite 460 und 461: 462 Analyse modifizierter Dateien u
Seite 462 und 463: 464 FazitJedoch sollte auch klar ge
Seite 464 und 465: 466 Analyse der Paket-Header: SYN/F
Seite 470 und 471: 472 Analyse des Paketinhaltesund f
Seite 472 und 473: 474 Analyse des PaketinhaltesTunnel
Seite 474 und 475: 476 Auffinden der Nadel im Heuhaufe
Seite 480 und 481: 482 TCP-Streamreassemblierungsangri
Seite 482 und 483: 484 TCP-Streamreassemblierungsangri
Seite 485 und 486: Kapitel 18Einsatz eines Honeypots18
Seite 487 und 488: Kapitel 18·Einsatz eines Honeypots
Seite 489: Kapitel 18·Einsatz eines Honeypots
Seite 493 und 494: Kapitel 19Tiny Honeypot und Honeyd1
Seite 495 und 496: Kapitel 19·Tiny Honeypot und Honey
Seite 503: Kapitel 19·Tiny Honeypot und Honey
Seite 506 und 507: 508 Auswahl und Installation des Be
Seite 508 und 509: 510 Verwendung von UserModeLinux od
Seite 516 und 517: 518 Konfiguration der Netzwerkdiens
Seite 518 und 519: 520 Zugang zum Honeypot und Schutz
Seite 524 und 525: 526 Überwachung des Honeypots von
Seite 526 und 527: 528 Überwachung des Honeypots von
Seite 528 und 529: 530 Fazitwachung. Er ist auch in de
Seite 530 und 531: 532 TCP/IPDieses Kapitel soll eine
Seite 532 und 533: 534 IPA.2.1VersionDieses Feld ist v
Seite 534 und 535: 536 IPA.2.8Time To Live (TTL)Bei de
Seite 536 und 537: 538 IPNo OperationNo Operation ist
Seite 538 und 539: 540 UDPDer UDP-Header (Abbildung A.
Seite 540 und 541:
542 TCPZusätzlich bietet TCP wie U
Seite 542 und 543:
544 TCP0 1 15 6 3 10Quell-Port16 Bi
Seite 544 und 545:
546 TCPdelt es sich um einen Mechan
Seite 546 und 547:
548 TCPPakete, die das URG-Bit gese
Seite 548 und 549:
550 TCPLediglich der Sender ist in
Seite 550 und 551:
552 Explicit Congestion Notificatio
Seite 552 und 553:
554 ICMPA.6 ICMPIP ist ein Protokol
Seite 554 und 555:
556 ICMPmission Unit Discovery (Pat
Seite 556 und 557:
558 ICMPDie meisten Implementierung
Seite 558 und 559:
560 ARP192.168.0.20215:22:23.374625
Seite 560 und 561:
562 FirewalkingDieses Kapitel stell
Seite 562 und 563:
564 Spoofing· DNS-Spoofing Hierbei
Seite 564 und 565:
566 Spoofing4. Der Angreifer muss a
Seite 566 und 567:
568 Session Hijackingbefindet, sieh
Seite 568 und 569:
570 Gespoofter PortscanJedoch gibt
Seite 571 und 572:
Anhang CRootkitsC.1 Klassische Root
Seite 573 und 574:
Anhang C·Rootkits 575Eine Erkennun
Seite 575 und 576:
Anhang C·Rootkits 577aber inzwisch
Seite 577 und 578:
Anhang C·Rootkits 579Diese Prozess
Seite 579 und 580:
Anhang DKryptografieD.1 Geschichte
Seite 581 und 582:
Anhang D·Kryptografie 583gehoben w
Seite 583 und 584:
Anhang D·Kryptografie 585D.4 symme
Seite 585 und 586:
Anhang D·Kryptografie 587Eigentlic
Seite 587 und 588:
Anhang D·Kryptografie 589Hashes we
Seite 589 und 590:
Anhang D·Kryptografie 591BlowfishB
Seite 591 und 592:
Anhang D·Kryptografie 593mann-Prot
Seite 593:
Anhang D·Kryptografie 595sich in d
Seite 596 und 597:
598 UmfragenE.1 UmfragenAus CERT-Um
Seite 598 und 599:
600 KonferenzenWhitehats: http://ww
Seite 600 und 601:
602 Rescue-ModusDie CD-ROM zum Buch
Seite 602 und 603:
604 GlossarACK - TCP-Flag, welches
Seite 604 und 605:
606 GlossarHTTP - siehe HyperText T
Seite 606 und 607:
608 GlossarRST - TCP-Flag, welches
Seite 609 und 610:
Anhang HBibliographieSchneier, Bruc
Seite 611 und 612:
Stichwortverzeichnis!/dev/kmem 171,
Seite 613 und 614:
Stichwortverzeichnis 615Ee2tools 51
Seite 615 und 616:
Stichwortverzeichnis 617- Protokoll
Seite 617 und 618:
Stichwortverzeichnis 619- database
Seite 619 und 620:
Stichwortverzeichnis 621Wwebmitm 52
Alle anzeigen

(eBook - pdf - german) Intrusion Detection für Linux-Server

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?