Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17

Transkript

1 Inhaltsverzeichnis Vorwort 15 Einleitung 17 Teil I Einführung in die Intrusion Detection 21 Kapitel 1 Was ist eine Intrusion, was ist Intrusion Detection? Was ist eine Intrusion? Was macht die Intrusion Detection? Angriffs-/Einbruchserkennung Missbrauchserkennung Anomalie-Erkennung 27 Kapitel 2 Benötige ich ein IDS und eine Firewall? Einordnung der IDS in eine Sicherheitsstrategie Welchen Schutz bietet eine Firewall? Welchen Schutz bietet darüber hinaus ein IDS? Host Intrusion Detection System Network Intrusion Detection System 38 Kapitel 3 Was kann/soll ein IDS leisten? Anforderungen an ein Intrusion Detection-System Tatsächlich gebotene Leistung Aufwand und Kosten Kommerzielle und freie IDS NetRanger/Cisco Secure IDS RealSecure Snort Network Flight Recorder NID Dragon Entercept NFR HID LIDS Tripwire 58

2 8 Inhaltsverzeichnis Kapitel 4 Rechtliche Fragestellungen beim Einsatz eines IDS Welche Gesetze sind anwendbar? Datenschutz und IDS Verwertbarkeit vor Gericht Allgemeiner Hinweis 63 Kapitel 5 Vorbereitung auf den Ernstfall Notfallteam: Computer Emergency Response Team Notfallplan Entwicklung der Sicherheitsrichtlinie Sicherheitsrichtlinie Acceptable Use 71 Kapitel 6 IDS im Einsatz Prävention Einbruch Erkennung Reaktion Analyse Recovery Konsequenzen 80 Teil II Verfügbare Open Source-Lösungen 83 Kapitel 7 Intrusion Detection selfmade Ausnutzen der Protokollfunktionen allgemeiner Dienste Konfiguration des DNS-Nameservers Bind Definition eines ddos-schwellwertes mit iptables Einfache lokale IDS Einfache Netzwerk-basierte IDS Tcpdump ngrep 99 Kapitel 8 Host-basierte Intrusion Detection-Systeme Automatische Protokoll-Analyse Logsurfer Fwlogwatch Logwatch Logsentry (ehemals logcheck) Tripwire Einführung Zusammenfassung Linux Intrusion Detection System LIDS 162

3 Inhaltsverzeichnis Einführung Geschichte Lizenz Installation LIDS-Hintergründe Konfiguration Welche Rechner sollen mit LIDS geschützt werden? Protokollierung durch LIDS Zusammenfassung SNARE SNARE-Installation SNARE-Konfiguration SNARE im Einsatz 196 Kapitel 9 Netzwerkbasierte Intrusion Detection-Systeme Aufgaben eines NIDS Einfache Paketanalyse Defragmentierung TCP-Streamreassemblierung Dekodierung des Applikationsprotokolls Anomalie- Erkennung Critical Path Snort Einführung Geschichte Lizenz Funktionen von Snort Installation Erste Anwendung Konfigurationswerkzeuge für Snort ARPwatch 294 Teil III Einsatz in einem Unternehmensnetzwerk 297 Kapitel 10 Tripwire im Unternehmensnetzwerk Zentrale Erzeugung der Konfigurationsdateien twcfg.txt twpol.txt Zentrale Verwaltung der Schlüssel Distribution der Dateien mit rsync Erzeugung und Überprüfung der Datenbanken mit ssh Zentrale Auswertung Zusammenfassung 316

4 10 Inhaltsverzeichnis Kapitel 11 Aufbau eines Netzes aus Snort-Sensoren Auswahl der Sensor-Standorte Installation der Sensoren Hardware Software-Installation Konfiguration der Sensoren Start von Snort und Barnyard Installation der Managementkonsole Analysis Console for Intrusion Detection (ACID) Zentrale Sammlung der Daten in Datenbanken Snort-Center Installation von Snort-Center Konfiguration von Snort-Center Installation des Snort-Center Agents ACID-Plug-In Korrelation und Analyse der Daten Verwaltung der Meldungen Suchfunktionen Paketbetrachter Erzeugung von Grafiken Fazit 367 Kapitel 12 Zentrale Protokollserver Einrichtung der zentralen Protokollierung unter Linux Modular Syslog Installation von msyslogd Konfiguration von msyslogd Zeitsynchronisation Erste Synchronisation Konfiguration und Einsatz Sicherheit von ntpd 385 Kapitel 13 Datenschutz-Aspekte in einem Unternehmensnetzwerk IDS im Unternehmen Benutzerordnungen 389 Teil IV Incident Response Reaktion und Wiederherstellung 393 Kapitel 14 Reaktion auf den Einbruch Do not Panic! Meldung des Einbruchs Adressenlisten und URLs 400

5 Inhaltsverzeichnis Aufsuchen professioneller Hilfe Neuinstallation oder Reparatur 404 Kapitel 15 Lessons Learned Anpassen der Maßnahmen Weiterbildung 410 Teil V Fortgeschrittene Analyse 413 Kapitel 16 Analyse des Rechners nach einem Einbruch Forensische Analyse eines Rechners Dokumentation der Analyse Analyse flüchtiger Daten Zeitsynchronisation Kernel-Mitteilungen, Module und Arbeitsspeicher Prozess-Analyse Analyse der Netzwerkkonfiguration Offene Dateien Analyse des Kernels auf ein kernel-basiertes Rootkit Analyse der Dateisysteme Sicherung der Dateisysteme Analyse einzelner Dateien Analyse der Dateisysteme mit RPM Analyse der Dateisysteme mit ChkRootKit Analyse des Rechners mit The Coroner's Toolkit Installation und Konfiguration von TCT Leichenfledderei: grave-robber Erzeugen eines Logbuches: mactime Auferwecken der Toten: unrm und lazarus TCTs kleine Helfer: ils und icat Sleuth Kit (TASK) und Autopsy Analyse modifizierter Dateien und Befehle Fazit 463 Kapitel 17 Analyse von Netzwerkdaten Analyse der Paket-Header: SYN/FIN, ACK, und FIN Scan SYN/FIN Scan ACK Scan FIN Scan Analyse des Paketinhaltes Beispiel: verdächtige ICMP-Pakete Fragmentiertes Paket Auffinden der Nadel im Heuhaufen Ethereal 477

6 12 Inhaltsverzeichnis TCPshow TCPflow TCPtrace Traffic-Vis TCP-Streamreassemblierungsangriff 482 Teil VI Honeypot 485 Kapitel 18 Einsatz eines Honeypots Was ist ein Honeypot? Sinn und Unsinn Honeypot-Varianten Honeypots und das Gesetz 493 Kapitel 19 Tiny Honeypot und Honeyd Tiny Honeypot Honeyd 499 Kapitel 20 Aufbau und Konfiguration eines»echten«honeypots Auswahl und Installation des Betriebssystems Verwendung von UserModeLinux oder VMware als virtueller Rechner Installation und Konfiguration von VMware Installation und Konfiguration von UserModeLinux Konfiguration der Netzwerkdienste Zugang zum Honeypot und Schutz weiterer Systeme vor dem Honeypot Routing des Honeypots NAT (Network Address Translation) des Honeypots Weiter gehende Firewall-Konfiguration Überwachung des Honeypots von außen Fazit 529 Anhang A Netzwerkgrundlagen 531 A.1 TCP/IP 532 A.2 IP 532 A.3 UDP 539 A.4 TCP 541 A.5 Explicit Congestion Notification 552 A.6 ICMP 554 A.7 ARP 559

7 Inhaltsverzeichnis 13 Anhang BTypische Netzwerkangriffe 561 B.1 Firewalking 562 B.2 SYN-Flood 562 B.3 Spoofing 563 B.4 Mitnick-Angriff 567 B.5 Session Hijacking 568 B.6 Gespoofter Portscan 569 Anhang C Rootkits 573 C.1 Klassische Rootkits 574 C.2 Kernel-basierte modulare Rootkits 576 C.3 Kernel Intrusion System (KIS) 579 Anhang D Kryptografie 581 D.1 Geschichte 582 D.2 Anwendungen 583 D.3 Funktionsweise 584 D.4 Symmetrische Kryptografie 585 D.5 Asymmetrische Kryptografie 585 D.6 Diffie-Hellmann-Schlüsselaustausch 586 D.7 Hash-Algorithmen 588 D.8 Verfahren und ihre sinnvollen Schlüssellängen 589 D.9 Fazit 594 Anhang E URLs 597 E.1 Umfragen 598 E.2 Eingesetzte Werkzeuge 598 E.3 CERTs 599 E.4 Datenbanken für Sicherheitlücken 599 E.5 Konferenzen 600 E.6 Linux-Distributionen 600 Anhang F Die CD-ROM zum Buch 601 F.1 Rescue-Modus 602 F.2 Honeynet-Daten 602 Anhang G Glossar 603 Anhang H Bibliographie 611 Index 613 Über den Autor 623