IMPLEMENTIERUNG EINES INTRUSION MANAGEMENT SYSTEMS

Transkript

1 U N ID S IMPLEMENTIERUNG EINES INTRUSION MANAGEMENT SYSTEMS

2

3 Inhaltsverzeichnis Einleitung... 1 IDM Kurzeinführung... 4 Ziel dieser Einführung...4 Rollen von Sicherheitswerkzeugen/IDS und derzeitige Situation in der IT Security.. 4 Einleitung... 4 Kurzer Überblick über IDS und ihrer groben Funktion...4 Liste derzeit vorhandener Intrusion Detection Systems... 5 Ansätze von IDS Systemen... 5 Momentane Situation in der IT Branche... 6 Vorschläge von Usern zur Verbesserung von IDS Systemen... 6 Bedürfnisse der IT Security Branche und der notwendige Schritt zu IDM Systemen... 6 Bedürfnisse der IT Security Branche und der notwendige Schritt zu IDM Systemen. 6 Definition IDM... 7 unids - allgemeine Dokumentation Ziele Architektur Die Datenbank und der Analyzer Die GUI...15 Die Agenten und Proxies...16 Vorteile der gewählten Architektur...17 Kommunikation Implementierung...19 GUI - die Graphische Oberfläche von unids Anforderungen... 21

4 Seite IV Inhaltsverzeichnis Anwendungsfälle...23 Klassen Dynamik...28 Kommunikation GUI-Proxy Aufgaben und Ziele...35 Architektur Funktionsprinzip...36 Komponenten Kommunikation Kommunikation zwischen GUI-Proxy und Datenbank Kommunikation zwischen GUI und GUI-Proxy Benutzerdatenbank...48 Realisierung...51 Analyse Aufgaben...53 Verwaltung der System-Anmeldung von Agents und Proxies Kommunikationsschnittstelle zwischen GUI und Agents(/Proxies) Datenaufbereitung der von den Agents/Proxies (und der GUI) eingehenden Nachrichten...53 Erweiterte Analyse und Behandlung der aufbereiteten Daten Verwaltung einer Datenhistorie...54 Kontrolle der unids-datenbankstruktur...54 Architektur Funktionsprinzip...55 Funktionsübersicht Message-Analyse-Daemon analyse_messages.pl...58

5 Inhaltsverzeichnis Seite V Polling-Analyse-Daemon analyse_polling.pl Prozeduren zur Signal-Behandlung sig.pl Funktionen zur Datenbank-Verwaltung db.pl Funktionen für den Datei-Zugriff filehandle.pl Funktionen für den Zugriff auf die Konfigurationsdatei (in config.pl) Ein Plugin muss folgende Funktionen bereitstellen: Kommunikation Kommunikation zwischen Analyse und Datenbank...72 unids-datenbank...74 Kommunikationstabellen...74 System-Tabellen Plugin-Tabellen...77 Konfigurations-Tabellen...78 Status-Tabellen...78 Der Proxy und der Agent Hauptkomponenten der Proxys und Agents Die Komponente server.pl...79 Die Komponente crontab.pl Die Komponente proxy.pl Der Agent mit seinen Zwei Komponenten Übersicht über die Konfigurationsdateien:...85 config.xml...85 crontab.xml...87 Erstellung und Format der Cronjobs und Daemons:...88 Allgemeine Einführung in Daemons und Cronjobs...89 Eigenschaften von Daemons zusammengefasst...90 Eigenschaften von Cronjobs zusammengefasst Plugin Aufbau und Programmierung Transportprotokoll und die XML-Nachrichten...93 Das Kommunikationsmodell zwischen Proxies und Agents...93 Liste aller System-Nachrichten:...95

6 Seite VI Inhaltsverzeichnis Agent / Proxy: Installation und Bedienung Requirements (Momentan): Installation Starten Installation von Plugins Verzeichnisse und Inhalt Analyse: Installation und Bedienung Installation Konfiguration Datenbank Starten der Analyse GUI: Installation und Bedienung Installation Allgemeine Bedienung Werkzeugleiste Benutzerverwaltung Netzwerkeditor Netzwerkansichten Plugins Historie Bedienung der Erweiterungen Strukturansicht, Lageplan Aktivitätenüberwachung Nadelanzeige Datentransfer Systemstatus...120

7 Inhaltsverzeichnis Seite VII Open_VPN Befehle Debug GUI-Proxy: Installation und Bedienung Installation und Bedienung über das Startskript Installation und Bedienung ohne Benutzung des Startskripts

8

9 Kapitel 1 Einleitung Seite 1 1 Einleitung Was ist unids? unids ist das Ergebnis der Projektgruppe "Intrusion Detection Management" der Universität Oldenburg, die im Zeitraum Sommersemester 2003 und Wintersemester stattfand. unids ist eine Implementierung eines Intrusion Detection Management Systems (IDM); ein IDM ist ein System, das ein Computernetzwerk auf Sicherheitsverletzungen hin überwachet, indem es sicherheitsrelevante Daten über das Netzwerk und dessen Rechner sammelt und Benutzern zur Verfügung stellt. Diese sollen mithilfe der Daten den Sicherheitszustand des Netzwerks erkennen können, um gegebenenfalls auf Sicherheitsverletzungen zu reagieren. Da es für viele Bereiche der Netzwerk- und Rechnersicherheit schon speziell entwickelte Sicherheitssoftware gibt, die solche Daten sammeln und auswerten, etwa Virenscanner, Intrusion Detection Systeme, Firewalls usw., ist der zentrale Aspekt eines IDM das Zusammentragen der Daten solcher existierender Sicherheitswerkzeuge. Die Schwierigkeit dabei ist, daß es keine einheitliche Darstellungsform für die Daten von Sicherheitswerkzeugen gibt. Ein IDM muß also die Daten der eingebundenen Sicherheitswerkzeuge in ein einheitliches Format konvertieren. Um eine möglichst großflächige Datenbasis zu bieten, sind einige bewährte Sicherheitswerkzeuge und Quellen sicherheitsrelevanter Daten als Kern in der Basisversion von unids integriert. Dazu gehören 'Snort', ein Network Intrusion Detection System (NIDS), das Sicherheitsverstöße innerhalb des Netzwerkverkehrs im eingesetzten System feststellt, meldet und speichert, und das Programm 'OpenVPN', welches den Status von Netzwerktunneln überwacht. Um die Vorgänge auf einzelnen Rechnern zu überwachen, werden deren Systemstatistiken wie die Stärke des Netzverkehrs über ihre Interfaces, die CPU-Auslastung oder die Anzahl eingelogter Benutzer an das unids-system übertragen. Um die Datenbasis erweitern zu können und auf das konkret zu überwachende Netzwerk abstimmen zu können, ist ein wichtiger Gesichtspunkt bei der Entwicklung von unids eine einfache Erweiterbarkeit um neue Sicherheitswerkzeuge. Ein wesentlicher Aspekt eines IDM ist seine Benutzbarkeit. Intrusion Detection Systeme etwa werden oft deshalb nicht eingesetzt, weil sie einen zu hohen Einarbeitungsaufwand benötigen, oder sie werden lediglich als Paketfilter eingesetzt. Ein IDM sollte daher intuitiv nutzbar sein, indem es die Vorgänge im überwachten Netzwerk graphisch anschaulich darstellt. Weiterhin sollte es eine leicht zu benutzende graphische Oberfläche bieten. Für unids wird daher eine graphische Oberfläche entwickelt, die diese Ansprüche erfüllen soll.

10 Seite 2 Kapitel 1 Einleitung Was ist unids nicht? unids ist kein Intrusion Detection System, sucht also nicht selber nach Sicherheitsverletzungen. Daher hängt die Stärke des unids-systems vor allem von den eingebundenen Sicherheitswerkzeugen ab. Desweiteren ist unids kein Intrusion Response System, das heißt, es bietet keine integrierten Reaktionsmöglichkeiten auf eine etwaige Sicherheitsverletzung an. Die Entscheidung, welche Schritte unternommen werden sollen und deren Ausführung, liegt beim Benutzer von unids. Gliederung der Dokumentation Diese Dokumentation besteht aus zwei Teilen. Der erste Teil beinhaltet die technische Dokumentation von unids, der zweite Teil beschäftigt sich mit der Installation und der Bedienung des Systems.

11 Kapitel 1 Einleitung TEIL I TECHNISCHE DOKUMENTATION Seite 3

12 Seite 4 Kapitel 2 IDM Kurzeinführung 2 IDM Kurzeinführung 2.1 Ziel dieser Einführung 1. Wir klären die Rollen von Sicherheitswerkzeugen und ID Systemen und erläutern die derzeitige Situation in der IT Security Branche. 2. Dadurch werden wir die Bedürfnisse der IT Security herausarbeiten, wodurch wir den Bedarf an IDM (Intrusion Detection Management) Systemen erkennen werden, was eine Definition des Begriffs IDM und seiner Aufgaben beinhaltet. 2.2 Rollen von Sicherheitswerkzeugen/IDS und derzeitige Situation in der IT Security Einleitung Sicherheitswerkzeuge (Firewalls und Virenscanner) existieren seit geraumer Zeit, wodurch zwar ein grundlegender Schutz gewährt wird, aber folgende Möglichkeiten fehlen: Paketanalysefähigkeiten, Anomaliedetection, Erkennung von Angriffen, Techniken, Alarmierung und Datenspeicherung. Honeypotverfahren um Informationen über unbekannte Schwachstellen zu erhalten. Sicherung gegen Angriffe von Innen (80% der Angriffe) Diese Mängel führten zur Entwicklung von ID Systemen (Intrusion Detection System): Sie existieren seit den 80er Jahren und ergänzen seitdem Sicherheitswerkzeuge. Die signaturbasierten Maßnahmen von IDS ersetzen oder ergänzen z.b. Virenscanner und auch Firewalls Kurzer Überblick über IDS und ihrer groben Funktion Ein IDS gibt Aufschluss über angegriffene bzw. gefährdete Systeme. Es erkennt Einbruchversuche (z.b. über Paketanalysen) und gibt auch Einblick in die Angriffstechniken eines Eindringlings. IDS kontrollieren die Einhaltung von Sicherheitsregeln innerbetrieblicher Art, geben Alarm bei verdächtigen Aktivitäten und speichern Daten über diese Vorgänge. Verdächtige bzw. unerwünschte Aktivitäten sind z.b.: Softwareinstallation unerwünschter Art

13 Kapitel 2 IDM Kurzeinführung Seite 5 Systemkonfigurationsänderungen Benutzung verbotener Netzwerkprotokolle Surfen auf verbotenen Webseiten Liste derzeit vorhandener Intrusion Detection Systems Snort (Opensource) ISS Real Secure (Kommerziell) Dragon (Kommerziell) Tripwire (Kommerziell) AIDE (OpenSource) Ansätze von IDS Systemen Es gibt 3 Ansätze für IDS Systeme. Verschiedenartige Systeme, die sich ergänzen sind empfehlenswert. 1. AIDS (Application Based IDS) Diese ID Systeme erkennen, unter Sicherheitsaspekten, fehlerhaften bzw. gefährlichen Umgang mit einzelnen Softwarekomponenten. Der Aufwand dafür ist extrem groß und somit nur für sicherheitskritische Server zu empfehlen. Aufgrund unterschiedlichster Softwarearchitekturen ist ein universelles System kaum entwickelbar. Ein rudimentäres AIDS stellen die Logdateien verschiedenster Sicherheitswerkzeuge dar. 2. HIDS (Host Based IDS) Host Based ID Systeme überwachen einen gesamten Host, im Gegensatz zu den AID Systemen. Die Hauptinformationsquelle sind auch hier die Logfiles, die möglichst zentral gesammelt werden sollten. Ein Beispiel für ein solches IDS ist Tripwire. Es berechnet Checksummen über ein Dateisystem, die natürlich bei Veränderung oder auch nur lesendem Zugriff nicht mehr übereinstimmen und einen Alarm auslösen. 3. NIDS (Network Based IDS) Network Based ID Systeme überwachen den Netzwerkverkehr zu einem bestimmten Host oder ein ganzes LAN Segment und entdecken so Angriffe bzw. Angriffsversuche. Ein Beispiel für ein solches IDS ist Snort aus dem OpenSource Bereich.

14 Seite 6 Kapitel 2 IDM Kurzeinführung Momentane Situation in der IT Branche Der Einsatz von IDS geschieht momentan nur sporadisch. Gründe für den geringen Einsatz von IDS: Inkompatible IDS und Sicherheitstools, obwohl große Zahl vorhanden. Datenaustausch der Systeme untereinander kaum gegeben. Usability gering. Kostenfrage: Hoher Einarbeitsungaufwand, zusätzliches Personal Einstellung zur IT Sicherheit Vertrauen in IDS gering Nutzungszweck von IDS Systemen zur Zeit Nutzung als bessere Filter, als zusätzliche Informationsquelle Vorschläge von Usern zur Verbesserung von IDS Systemen Einbindung anderer Werkzeuge ermöglichen Verwaltung von Adressen potentieller Angreifer Bündelung von Erfahrungen, auf die im Falle eines Angriffes schnell zugegriffen werden kann Darstellung zusätzlicher Informationen wie z.b. Angriff aus welchem Netzwerk? Angriff über welchen Provider? Quelle des Angriffs feste IP oder Dialin? Angaben über Erfolg eines Angriffs 2.3 Bedürfnisse der IT Security Branche und der notwendige Schritt zu IDM Systemen Bedürfnisse der IT Security Branche und der notwendige Schritt zu IDM Systemen Da ID Systeme vielfacher Natur sind und von unterschiedlichen Herstellern entwickelt werden, ist eine gemeinsame Standardschnittstelle noch nicht vorhanden, sie sind also untereinander inkompatibel. Hinzu kommt, dass der Entwicklungsschwerpunkt mehr technikorientiert ist. Aus den Gründen für den geringen Einsatz und den geäusserten Userwünschen werden folgende Bedürfnisse klar.

15 Kapitel 2 IDM Kurzeinführung Seite 7 Technisch unterstützte Organisation in großen Umgebungen, eine Schnittstelle zwischen heterogenen Sicherheitswerkzeugen und IDS und ein ergonomisch designtes, einheitliches User Interface werden benötigt, um eine Intrusion Reaction zu ermöglichen. IDS allein erfüllen diese Bedingungen nicht und müssen durch eine übergeordnete Ebene unterstützt bzw. ergänzt werden. Hier setzt das Intrusion Detection Management (IDM) an. Abb.1: Beziehung zwischen IDS, IDM und Benutzer Definition IDM Ein IDM ist eine Schnittstelle, die heterogene Quellen und Mechanismen nutzt und dem Benutzer über ein einheitliches Interface (GUI) das Sicherheitssystem eines Netzes vollständig verwalten lässt. Es genügt softwareergonomischen Aspekten und ist auf menschliche Analysefähigkeiten angepasst. Ein IDM schließt also die Lücken zwischen den unterschiedlichen IDS, den Sicherheitswerkzeugen und den Usern. Es unterstützt technisch die Organisation in großen Umgebungen und ermöglicht so erst eine Intrusion Reaction in angemessener Zeit. Es ist eine einheitliche Schnittstelle für Sicherheitstools und IDS Es ermöglicht eine sichere Verwaltung aller Sicherheitskomponenten Es bietet dem Benutzer ein grafisches Userinterface, welches sicherheitsrelevante Vorgänge darstellt und effektives Eingreifen ermöglicht.

16 Seite 8 Kapitel 2 IDM Kurzeinführung Weitere von einem IDM erwarteten Eigenschaften GUI, die mehr als nur Tabellen, Listen und sonstige Rohdaten liefert. Einheitliche Präsentation wichtiger Daten auch in einem heterogenen Netz mit unterschiedlichen Sicherheitspolicen und Technologien. Was ist passiert? Was ist betroffen? Wie genau ist das System betroffen? Wer ist der Angreifer? Woher kommt er? Wann erfolgte der Angriff? Wie erfolgte der Angriff? Netzwerktopologien Lastzustand eines Systems Speicherauslastung Prozesstabellen einzelner Systeme Netzdurchsatz Plattenbelegung Zustand der Netzwerk Schnittstellen VPN Tunnel Vermutliche Angriffe die durch IDS Sensoren erkannt wurden Zustände von Webservern, Mailserver und prinzipiell der Zustand jeglicher Software und Systeme, die über ein Interface Informationen über ihren Zustand preisgeben. Einfache Installierbarkeit und Wartung Individuelle Anpassungsmöglichkeiten was relevante Daten angeht. Visualisierung von Angriffen bzw. Angriffsmustern Intuitive Bedienung Einfache Erweiterbarkeit (Plugins) Quellen eines IDM Logdateien jeweiliger Rechner Logdateien von Paketfiltern Informationen von IDS Systemen (AIDS, HIDS, NIDS) Informationen von Analyseprogrammen (Scanner, Passwortbrecher) Zugriff auf Quellen Der Zugriff auf Informationen geschieht über Agenten, die nur für die Datensammlung zuständig sind. Es erfolgt keinerlei Auswertung! Jede Komponente besitzt einen Agenten.

17 Kapitel 2 IDM Kurzeinführung Bei der Entwicklung eines IDM zu klärende Fragen Wie hält man den Rechenaufwand klein und die Effizienz des IDMs groß? Wie werden die relevanten Daten zentral erfasst? Wie werden die Daten bei einem großem Team weitergeleitet? Seite 9

18 Seite 10 Kapitel 3 unids - allgemeine Dokumentation 3 unids - allgemeine Dokumentation Dieses Kapitel befaßt sich mit einer Übersicht von unids. Zunächst sollen die angestrebten Ziele der Projektgruppe dargestellt werden. Anschließend wird die Architektur des Systems präsentiert und die Vorteile dieser Architektur aufgezeigt. 3.1 Ziele Allgemeine Ziele Bei der Entwicklung von unids werden drei Hauptziele verfolgt: gute Erweiterbarkeit Da unids dafür konstruiert wurde, die Informationen eingebundener Sicherheitswerkzeuge zu bündeln, ist die Erweiterbarkeit um weitere Sicherheitswerkzeuge sehr wichtig. Die Einbindung von Rechnern ins unids-system wird durch sogenannte Agenten erreicht. Ein unids-agent ist ein Programm auf einem Rechner, daß Daten von Sicherheitswerkzeugen, die auf dem Rechner laufen, einsammelt und an das unids-system weiterleitet. Um die Daten eines Sicherheitswerkzeugs zu sammeln, besitzt ein Agent ein sogenanntes Plugin für dieses Werkzeug, eine Erweiterung des Agents, das Kenntnis darüber besitzt, wo sich die gesuchten Daten befinden und wie sie für die Weitergabe an das unids-system vorzuverarbeiten sind. Das unids-system bereitet diese Daten durch ein Analyse-Programm auf, um sie der Graphischen Benutzeroberfläche von unids zur Verfügung zu stellen. Zu diesem Zweck besitzt das Analyse-Programm, auch Analyzer genannt, für die verschiedenen Sicherheitswerkzeuge ebenfalls spezielle Plugins, die jeweils für die Analyse und Aufbereitung der Daten eines Sicherheitswerkzeugs geschrieben werden und vom Analyzer bei Bedarf gestartet werden. Um ein neues Sicherheitswerkzeug einzubinden, muß ein Plugin für das Werkzeug auf der Ebene der Agenten entwickelt werden, der die Daten des Werkzeugs sammelt und an unids sendet, sowie ein Plugin für den Analyzer, der die gelieferten Daten verarbeiten kann. Optional kann eine eigene Darstellungsform dieser Daten für die GUI entwickelt werden; die GUI bietet aber eine Standarddarstellung für Daten ohne eine solche spezielle graphische Darstellung an. Diese Standarddarstellung gibt die Daten in tabellarischer Form aus. einfache Bedienbarkeit Ein unerfahrener Benutzer soll sich schnell in unids einarbeiten können. Daher wird für unids eine Graphische Benutzeroberfläche (GUI) entwickelt, die übersichtlich strukturiert und intuitiv verständlich sein soll. Über diese GUI soll der Benutzer sämtliche Funktionen

19 Kapitel 3 unids - allgemeine Dokumentation Seite 11 des unids-systems ausführen können, so daß er sich mit der dahinterliegenden Struktur nicht befassen muß. Für einige Bereiche wird allerdings ein Benutzer benötigt, der tiefere Kenntnisse über das Netzwerk besitzt. Dazu gehört das Erstellen des Netzwerks für die GUI des unids-systems: unids besitzt nur Informationen über diejenigen Rechner im Netz, auf denen Komponenten von unids installiert sind und die somit Daten ans System verschicken. Auch kann unids die Netzwerkstruktur nicht automatisch erkennen. Deshalb müssen nach der Installation des Systems in der GUI die Netzwerkkomponenten hinzugefügt werden, die keine Komponenten von unids besitzen, und die Verbindungen im Netzwerk müssen manuell in der GUI eingegeben werden. Einfache Installation Um die Installation und Konfiguration des Systems sowie die Installation von Erweiterungen zu vereinfachen, ist die Entwicklung von Installationsroutinen vorgesehen. Plattformunabhängigkeit Die Plattformunabhängigkeit wird insbesondere durch die verwendeten Sicherheitswerkzeuge eingeschränkt. Da diese in der Regel für ein spezifisches Betriebssystem entwickelt wurden, müssen entsprechend Rechner mit der benötigten Software zur Verfügung stehen, um das Sicherheitswerkzeug benutzen zu können. unids greift auf eine Reihe von Sicherheitswerkzeugen und Datenquellen als Basis zurück, die zumeist Linux als Betriebssystem benötigen. Damit benötigt das unids-basissystem ein Netzwerk, das Linux-Rechner enthält. Einzelne Entwicklungsziele Die Projektgruppe hat sich eine Reihe von Zielen gesteckt, die für unids verwirklicht werden sollen. Dazu gehört insbesondere die Auswahl und Realisierung einer breitgefächerten Datenbasis für das System. Zu verwertende Daten Im Rahmen der Projektgruppe sollen folgende Daten Eingang in unids finden: Daten über einzelne Hosts; dazu gehören Daten wie Informationen über den Lastzustand, über Speicherbelegung, über die Festplattenbelegungen, über die Anzahl der aktiven Benutzer, über die laufenden Prozesse, über den Zustand der Netzwerkinterfaces (Down, Up, Promiscous Mode,...) und über den Netzdurchsatz. Zusätzlich sollen auch Daten über Server benutzt werden; etwa die Zugriffe auf Webserver und die momentane Anzahl von Virtual Hosts für Webserver oder der Maildurchsatz für Mailserver und die Anzahl der s in der Warteschlange.

20 Seite 12 Kapitel 3 unids - allgemeine Dokumentation Weiterhin sollen eine Reihe von Sicherheitswerkzeugen Daten über den Sicherheitszustand des überwachten Netzwerks liefern. Geplant ist die Einbindung von Werkzeugen zur Einbruchserkennung und zur Netzwerküberwachung. Zur Einbruchserkennung sind die Werkzeuge 'tripwire' und 'rkdet' ausgewählt, die Prüfsummen von Dateien anlegen und so bei späterem Vergleich Veränderungen an diesen Dateien entdecken können. Für die Netzwerküberwachung sollen 'Snort', 'ifconfig', 'HTB/CBQ' und 'OpenVPN' benutzt werden. Snort ist ein regelbasiertes Network-IDS, das Angriffsmuster von Netzwerkangriffen erkennen kann und dann Alarmierungen erzeugt. OpenVPN überwacht den Status von Tunneln, ifconfig überwacht den Zustand von Netzwerkinterfaces und HTB/CBQ dient zur Bandbreitenkontrolle des Netzverkehrs. Zusätzlich sollen mit der Firewall 'iptables' Daten und Funktionalitäten einer Firewall eingebunden werden. unids soll es dem Benutzer ermöglichen, auf eine erkannte Sicherheitsverletzung schnell zu reagieren und 'iptables' so zu rekonfigurieren, daß die Sicherheitslücke geschlossen wird. Darstellung der Informationen Die Darstellung der Information wird in einer Graphischen Oberfläche erfolgen. Das zentrale Element ist dabei die graphische Darstellung des überwachten Netzwerks. Hier sollen verschiedene Ansichten des Netzwerks entwickelt werden: eine logische Sicht, eine Ansicht für die Standorte der Rechner, eine dreidimensionale Ansicht und eine Ansicht des Netzwerks als 'Baum'. Das Netzwerk soll sich hierarchisch in Subnetze anordnen lassen, die 'geschlossen' werden können: die detaillierte Darstellung des Subnetzes soll durch ein stellvertretendes Symbol ersetzt werden können, damit der Benutzer die graphische Darstellung des Netzwerks übersichtlicher machen kann. Die Darstellung des Netzwerks soll weggezoomt werden können, damit der Benutzer eine bessere Übersicht bekommt, und herangezoomt werden können, damit der Benutzer eine detailliertere Ansicht erhält. Die Komponenten des Netzwerks sollen durch eindeutige Icons repräsentiert werden. Der momentane Netzverkehr soll dadurch anschaulich gemacht werden, indem die Auslastung einer Verbindung durch die Dicke der Darstellung signalisiert wird. Von hoher Bedeutung ist das Anzeigen von Vorkommnissen (Events) im überwachten Netzwerk, und die Hervorhebung von kritischen Events. Diese sollen graphisch hervorgehoben werden, etwa durch ein automatisches Heranzoomen auf den Bereich, in dem das Event stattfindet; optional ist auch an eine zusätzliche akustische Untermalung gedacht. Da verschiedene Benutzer von unids verschiedene Rechte haben können, soll für jeden Benutzer definiert werden können, welchen Teil des Netzes er in der GUI sehen darf und von welchem Teil er die durch die Agenten gesammelten Daten zur Verfügung gestellt bekommt. Zu diesem Zweck soll eine Benutzerdatenbank eingerichtet werden, in der alle benutzerspezifischen Informationen verwaltet werden.

21 Kapitel 3 unids - allgemeine Dokumentation Seite 13 Sicherheit des Systems Zur Sicherung des Datenverkehrs innerhalb des unids-systems sollen die Daten mit 'ipsec' oder 'ssl' verschlüsselt werden. Die Verwaltung der Benutzerrechte für unids wird von einem Proxy zwischen GUI und Datenbank erledigt. Damit wird nur ein Account für die Datenbank benötigt, wodurch diese sicherer ist. Weitere Ziele Es sind noch weitere Ziele geplant, die zu verschiedenen Bereichen zu rechnen sind. So soll unids komplett über die GUI konfiguriert werden können, um das System einfacher bedienbar zu machen. Weiterhin ist eine Wissensdatenbank geplant, in der die möglichen Vorgehensweisen bei bestimmten Events beschrieben werden, und die dadurch den Benutzer bei Abwehrmaßnahmen gegen Sicherheitsverletzungen unterstützt. Für eindeutige Sicherheitsverletzungen, die einfach zu beheben sind, ist auch der Ansatz eines Intrusion Response Systems (IRS), also einer automatischen Gegenreaktion, angedacht. Für Sicherheitswerkzeuge, die selber eine graphische Darstellung ihrer Daten anbieten, soll die Möglichkeit bestehen, diese graphische Darstellung über die unids-gui auszugeben. Bei schweren Sicherheitsverletzungen sollen ausgewählte Benutzer über oder SMS alarmiert werden können. Ein weiteres, optionales Ziel ist die Entwicklung von Angriffsmustern von mutwilligen Sicherheitsverletzungen, um diese schnell erkennen zu können. Dieses soll aber erst entwickelt werden, wenn die anderen Ziele realisiert sind. Die Kommunikation im unids-system soll über XML-Nachrichten erfolgen, um die Kommunikation zu standardisieren. 3.2 Architektur Die Komponenten von unids lassen sich in drei Gruppen zusammenfassen: 1. Die GUI, der GUI-Proxy und die Benutzerdatenbank 2. Analyzer mit Datenbank und Analyzer-Plugins 3. Agenten für die Sicherheitswerkzeuge sowie Proxies, die die Agenten mit der Datenbank verbinden

22 Seite 14 Kapitel 3 unids - allgemeine Dokumentation Abb.2: Architektur von unids Nachfolgend sollen die Grundprinzipien dieser Komponenten beschrieben werden.

23 Kapitel 3 unids - allgemeine Dokumentation Seite Die Datenbank und der Analyzer Das Herzstück von unids ist eine Datenbank, in der die vom unids-system gesammelten Daten gespeichert werden und von einem Benutzer abgefragt werden können. Um die Verwaltung dieser Datenbank kümmert sich ein perlbasiertes Programm, der Analyzer. Bei der Datenbank handelt es sich um eine MySQL-Datenbank, die in zwei grundsätzliche Teile aufgeteilt werden kann. In den einen Teil schreiben die Agenten ihre gesammelten Daten, im anderen Teil stehen die Daten aufbereitet der GUI zum Auslesen zur Verfügung. Zwischen diesen beiden Teilen agiert der Analyzer, der die Daten, die von den Agents geliefert wurden, aufbereitet und dann der GUI bereitstellt. Die Tabellen der Datenbank sind so ausgelegt, daß sie auch mit Daten von Sicherheitswerkzeugen umgehen können, die nachträglich eingebunden werden (siehe dazu Kap. 6). Die Aufgaben des Analyzers sind unter anderem das Erkennen neuer Nachrichten in der Datenbank, das Aufbereiten der Nachrichten für die GUI, das Speichern veralteter Daten als 'History' und das Löschen nicht mehr benötigter Daten. Das Bearbeiten der Daten der verwendeten Sicherheitswerkzeuge übernehmen Unterprogramme des Analyzers, die extra für bestimmte Werkzeuge geschrieben werden; sogenannte Plugins. Ein Plugin wird gestartet, wenn der Analyzer neue Nachrichten des zugehörigen Sicherheitswerkzeugs bekommt, und bereitet diese Nachrichten dann für die Darstellung in der GUI auf. Soll ein neues Sicherheitswerkzeug in unids eingebunden werden, muß ein solches Plugin dafür geschrieben werden Die GUI Die GUI wird als JAVA-Applet realisiert, was den Zugriff für Benutzer über das Internet ermöglicht. Benötigt wird deshalb für den Zugriff auf die GUI ein JAVA-fähiger WebBrowser. Damit besteht die GUI aus zwei Teilen: zum einen aus dem Client, also dem Teil der GUI, die der Benutzer in seinem Web-Browser sieht, und zum zweiten aus einem Webserver, von dem aus der Client gestartet wird. Beim Starten des Clients durch einen Benutzer baut die GUI eine Verbindung zum GUIProxy auf, der zwischen GUI und der Datenbank des Analyzers geschaltet ist. Der GUIProxy versorgt die GUI mit den Daten aus der Datenbank des Analyzers, indem er die Datenbank zyklisch nach neuen Daten abfragt. Der GUI-Proxy ist so angelegt, daß er mehrere Benutzer gleichzeitig bedienen kann. Eine weitere Aufgabe des GUI-Proxies ist die Verwaltung der Benutzerdatenbank. Die Benutzerdatenbank ist eine MySQL-Datenbank, mit der die Benutzerdaten der unidsbenutzer verwaltet werden. Dazu gehören die Login-Daten für Unids und die Individuellen

24 Seite 16 Kapitel 3 unids - allgemeine Dokumentation Einstellungen für die GUI. Die Benutzerdatenbank kann vollständig von der GUI aus modifiziert werden. Bei der Entwicklung der GUI lag der Schwerpunkt auf einer intuitiven Benutzbarkeit. Zu diesem Zweck wird das Netzwerk graphisch dargestellt, wobei verschiedene graphische Ansichten des Netzwerks geplant sind (siehe Kapitel 'Ziele'). Für die einzelnen Daten sind ebenfalls spezielle Ansichten geplant. Die Stärke des Netzverkehrs etwa wird durch sich verdickende Verbindungen zwischen den Darstellungen der Geräte dargestellt. Als schnell erkennbare Statusanzeigen der Geräte im Netzwerk sind Farbcodierungen vorgesehen, zum Beispiel 'Rot' für einen kritischen Sicherheitszustand oder 'Grün' für unbedenklichen Zustand. Für die einzelnen Geräte existiert eine Detailansicht, in der sich der Benutzer über die Vorgänge auf diesem Gerät informieren kann. Über die GUI erfolgt auch die Modifikation der Benutzerverwaltung, wie das Anlegen neuer Benutzer, das Modifizieren der Rechte bestehender Benutzer oder das Löschen eines bestehenden Benutzers Die Agenten und Proxies Die Agenten sind Programme, die auf den Hosts laufen, über den sie Daten sammeln sollen. Um Daten eines Sicherheitswerkzeugs einzusammeln, das auf dem Host läuft, erhält der Agent ein Plugin; eine Erweiterung, die ihm vorschreibt, wo die Daten des Wekzeugs zu finden sind und wie er mit ihnen umzugehen hat. Die Agenten formen die gesammelten Daten in ein für unids genormtes XML-Format um. Die erzeugten XML-Nachrichten werden vom Agent nicht direkt an die Datenbank gesendet, sondern über eine Reihe von zwischengeschalteten Proxies. Jeder Agent besitzt einen übergeordneten Proxy, an welchen er seine XML-Nachrichten sendet. Dieser Proxy kann wiederum einen übergeordenten Proxy besitzen, an den er die Nachricht weiterleitet. So kann aus diesen Proxies ein hierarchisches Netzwerk aufgebaut werden, wodurch die Organisation des unids-netzwerks bei einer Vielzahl von zu überwachenden Hosts übersichtlich strukturiert werden kann. Indem man nur einen einzigen Proxy direkt mit der Datenbank kommunizieren läßt, ist diese zudem besser nach außen abgeschirmt. Jeder Proxy ist in der Lage, Daten in die Datenbank zu schreiben, aber nur bei Proxies, die keinen weiteren übergeordneten Proxy besitzen, ist diese Funktion aktiviert. Um dem Kommunikationssystem größere Stabilität zu verleihen, können einem Proxy auch noch weitere übergeordnete Proxies als Umleitung zugeordnet werden. So kann er seine Nachrichten an einen dieser Proxies senden, sollte der eigentliche übergeordnete Proxy nicht erreichbar sein.