Informationssicherheit Teil 8: Host-Basierte Intrusion Detection Systeme

Transkript

1 Informationssicherheit Teil 8: Host-Basierte Intrusion Detection Systeme

2 Literatur [8-1] Spenneberg, Ralf: Intrusion Detection für Linux-Server. Markt&Technik, 2003 [8-2] Plötner, Johannes; Wendzel, Steffen: Netzwerk-Sicherheit. Galileo- Computing, 2005 [8-3] Jones, K.; Shema, M.; Johnson, B.: Das Anti-Hacker-Toolkit. mitp, 2003 [8-4] [8-5] [8-6] [8-7] [8-8] System-im-Ueberblick [8-9] 2

3 Begriffe I Es gibt keine einheitliche Verwendung folgender Begriffe, hier ein Vorschlag: Intrusion (Störung, Verletzung, Eindringen) = Erfolgreicher lesender oder schreibender, aber nicht erlaubter Zugriff auf Daten bzw. Ausführung von Programmen durch organisationsfremde Personen, also von Außen Misuse = Missbrauch = Erfolgreicher lesender oder schreibender, aber nicht erlaubter Zugriff auf Daten bzw. Ausführung von Programmen durch Personen der eigenen Organisation, also von Innen Incident = Zusammenfassender Oberbegriff von Intrusion und Misuse: Vorfall, bei dem etwas Unerlaubtes geschah 3

4 Begriffe II Intrusion Detection System = IDS = Software, die einen aktuellen Angriff sowie früher erfolgte Angriffe feststellt und behandelt Intrusion Prevention System = Software, die einen Angriff unmittelbar erkennt und stoppt sowie im Vorfeld jeden Angriff verhindert Ein derartiges System ist wohl der Traum! Aber wohl nicht zu realisieren... Siehe: 4

5 Aufgaben I Feststellen Erkennen aktuell laufender Angriffe Erkennen früher erfolgter Angriffe Feststellen von nicht erlaubten Modifikationen und Zugriffen Analyse der Probleme und deren Einschätzung Reagieren "Unterbrechen" betroffener Verbindungen, Abschotten Beenden betroffener Prozesse, z. B. Ausloggen und Sperren des betreffenden Logins Berichten bzw. Melden Zusammenfassung verschiedener Datenbestände Erstellung Berichte unterschiedlicher Detailliertheit Versenden von Alarm-Nachrichten, z.b. Mail, SMS 5

6 Aufgaben II Zum Feststellen eines Problems gehört (eigentlich): 1. Was wurde wie modifiziert? 2. Wer hat die Modifikation durchgeführt? 3. Warum wurde gerade dies so modifiziert? 4. Was passierte anschließend? 5. Welche sonstigen Auswirkungen hatte der Vorfall? 6. Wie kann dies in Zukunft verhindert werden? Es ist klar, dass nur die Punkte 1. und 4. von einer Maschine geklärt werden können, eventuell noch 2. aber den Rest kann nur ein Mensch leisten, der allerdings mit den notwendigen Daten versorgt werden muss. 6

7 Anforderungen an ein IDS Jede Analyse muss (gerichtlich) nachvollziehbar sein. Für jeden Alarm müssen die Rohdaten gespeichert bleiben. Berichte bzw. Zusammenfassungen sind Interpretationen, die falsch sein können. Es müssen dazu auch die Konfigurationen genau aus der betreffenden Situation gespeichert sein. Alarmierungsschwellen sowie Filter müssen konfigurierbar sein. Vertraulichkeit der Daten muss realisiert sein, insbesondere bei Bezug auf Personen, z. B. durch Pseudonymisierung. Das IDS darf nicht als Mittel für einen DoS-Angriff benutzt werden können. Kein heutiges IDS erfüllt diese Anforderungen vollständig. 7

8 Computer Forensik Forensik = engl. forensics = Fachgebiet zur Erforschung von Verfahren zur Beweissicherung bei gerichtlich/strafrechtlich relevanten Vorgängen Forensische Werkzeuge werden meist nach Feststellen eines Schadenfalls, aber auch während eines Angriffs angewendet. Dies ist ein Nebengebiet der IDS, wobei weitere bestimmte Bedingungen eingehalten werden müssen: Erfassen von relevanten "Spuren" Beweis der Originalität der Spuren, d.h. dass Spuren nicht nachträglich verändert oder geschaffen wurden Nachweis der Herkunft der Spuren Siehe 8

9 Policy I Die schriftliche Festlegung einer Politik (Policy) ist ein sehr wichtiger Schritt, denn ohne Vereinbarungen ist unklar, was eigentlich unsicher ist oder was nicht erlaubt ist: Policy = Politik = Sicherheitsrichtlinie oder Regelsystem, das den Umgang mit der EDV aus dem Blickwinkel der Sicherheit festlegt Eine Policy definiert u.a.: was ein Angriff ist, wie der Schutz vor Angriffen gestaltet werden soll, wer was tun darf bzw. muss (Rechte/Pflichten) Dies betrifft häufig Rollen innerhalb von Organisationen. Organisatorische Aspekte der Sicherheit, z.b. Aufgaben des Sicherheitsbeauftragten 9

10 Policy II - Beispiele Folgende Themen sollten durch Richtlinien behandelt sein: Physikalische Sicherheit: Schlüssel zu Räumen, Anweisung immer sofort abzuschließen Authentifizierung: Passwörter und deren Länge, Dauer der Benutzung, Benutzung von Token Akzeptierte Benutzung: Ist das Installieren von Software durch Mitarbeiter erlaubt? Behandlung externer Medien: Erlaubnis zum Mount? Benutzung eigener USB-Sticks erlaubt? Fernzugriffe: Einloggen von Zuhause? Prävention: Bewusstsein der Mitarbeiter Policies haben im Wortlaut verschiedene Ebenen: Geschäftsführung, Top-Level-Management Abteilungs-/Bereichsleitung, Mittleres Management Technische Ebene (Beispiele von oben) 10

11 Policy III - Prävention (Beispiele) Abschalten ungenutzter Modem-/ISDN-Zugänge von außen Abhängen ungenutzter LAN-Dosen Physikalischer Schutz von Kabeln Abschalten ungenutzter Dienste bzw. Server Aber auch: Ausbildung des Personals in Sachen Social Engineering Gute Bezahlung von Administratoren Gute Qualifikation 11

12 Feststellen von Anomalien I Anomalie = außergewöhnliches Verhalten (von Software) Anormal ist ein Verhalten, das sich vom "Durchschnitt" wesentlich unterscheidet. Eine heuristische Funktion eines IDS ist die Feststellung von Anomalien, Vorgehen: 1. "Lernen" des Normalzustandes 2. Feststellen von erheblichen Abweichungen vom Normalzustand Aber: Das sind nur Indizien. Jede gewollte Reaktion auf geänderte Umweltbedingungen führt zur Feststellung von Anomalien, jedenfalls wenn das Verhalten sich dadurch ändert. 12

13 Feststellen von Anomalien II Beispiele von Anomalien: Ein verreister Mitarbeiter loggt sich ein. Eine lang schläfrige Mitarbeiterin loggt sich um 7.00 Uhr ein. Auf Daten, die kaum jemanden interessieren, wird häufig zugegriffen. Nicht verfügbare Dienste werden geprüft (Port Scanns). Zugriff auf Daten aus Backups Auf üblicherweise nicht genutzte Zugänge von Außen wird zugegriffen. Häufige Probleme beim Zugang, z.b. falsche Passwörter werden eingegeben, Loginnamen sind falsch 13

14 Techniken zur Einbruchserkennung Analyse von Dateien und Daten während Übertragung Scannen von Dateien mit Mustererkennung Bibliothek von Positiv- und Negativ-Fällen Positiv: Alle zutreffenden Fälle lösen Alarm aus Negativ: Alle zutreffenden Fälle werden ignoriert Integritätstest Anlegen eines Schnappschusses der Dateisysteme Vergleich des aktuellen Zustands mit dem Schnappschuss Echtzeitanalyse der Systemaufrufe der Dateizugriffe des Kommunikationsverhaltens Das IDS wird hier meist innerhalb des Kernels realisiert. Das Festgestellte muss protokolliert werden (Logfiles). 14

15 Problemfälle Falsch-positiv = Fehlalarm = Eine ungefährliche Situation wird als gefährlich eingestuft Viele Fehlalarme führen zu nervigen Problemen Aber auch: Fehlalarme können provoziert werden (DoS-Angriff) Falsch-negativ = Eine gefährliche Situation wird als ungefährlich eingestuft (ignoriert) Wichtig: Die erfassten Daten des IDS dürfen nicht kompromittiert sein! Das ist sicherzustellen. 15

16 Arten von IDS Host-basierte IDS = HIDS = IDS zur Überwachung eines Systems, wobei das IDS auf diesem System auch arbeitet Orte: Auf jedem Endsystem, das mit End-zu-End-Verschlüsselung arbeitet Auf jedem Endsystem, das Zugriff auf ungeprüfte Inhalte hat Auf jedem (wichtigen) Server Netzwerk-basierte IDS = NIDS = IDS zur Überwachung von Netzwerkverbindungen Orte: vor einer Firewall ("draußen") hinter einer Firewall in der DMZ in Netzsegmenten des Innenbereichs 16

17 Honeypots und Honeynets Honeypot = Spezielles System, das absichtlich Angriffe zulässt, um die Art und Technik der Angriffe studieren zu können Ziele (Soziologisches) Studium von Hackern oder Hackergruppen Studieren neuer Angriffstechniken, z. B. Feststellen von typischen oder neuen Angriffsarten Prüfung des bestehenden Schutz Sammeln von Viren oder sonstiger Malware Konsequenterweise können auch Netze aus Honeypots aufgebaut werden: Honeynets. 17

18 Honeypots und Honeynets - Links [H1] [H2] [H3] [H4] [H5] [H6] [H7] [H8]

19 Hostbasierte IDS (HIDS) Andere Namen für diese IDS sind: System Integrity Verifier (SIV) File Integrity Assessment (FIA) Hier behandelte HIDS: "Hausmittel" Logsurfer logcheck chkrootkit Rootkit hunter tripwire 19

20 Hausmittel I (1) find DIR -type f -exec ls -ail {} \; >SNAPSHOT (2) find DIR -type f -exec ls -ail {} \; diff SNAPSHOT >MODS Im ersten Fall wird der Dateibaum des Ordners DIR rekursiv traversiert und ein "ls -ail" für jede Datei durchgeführt. Im zweiten Fall erfolgt dies ein zweites Mal, wobei der aktuelle Stand mit der früheren Version verglichen wird Statt DIR können auch mehrere Ordnern angegeben werden Problem: Nicht alle Modifikationen werden sichtbar (1) find DIR -type f -exec ls -ail {} \; -exec md5sum {} \; >SNAPSHOT (2) find DIR -type f -exec ls -ail {} \; -exec md5sum {} \; diff SNAPSHOT >MODS Dies ist dasselbe Vorgehen wie oben, nur dass ein kryptografischer Hash - hier MD5 - benutzt wird. 20

21 Hausmittel II - rpm rpm -V Paketname... rpm -Va prüft, ob der Sollzustand der installierten Dateien noch erhalten ist. Mit -a werden alle installierten Pakete geprüft. Bei Abweichungen vom Soll wird die Art der Abweichung in Form einzelner Zeichen in einer Zeile ausgegeben, z.b. S.5...T c /etc/wgetrc Die Zeichen haben folgende Bedeutung: Kürzel Bedeutung Kürzel Bedeutung S Size G Group 5 MD5-Hashsum L Link T Time D Device U User M Mode 21

22 Logsurfer Logsurfer ist ein Syslog-Analyse-Werkzeug Aktuelle Version ist 1.8 (September 2011) Das Werkzeug kann text-basierte Protokolldateien auch in Echtzeit analysieren, z.b. /var/log/messages Es wird mit 2 regulären Ausdrücken gearbeitet: Erster Ausdruck muss zutreffen Zweiter Ausdruck darf nicht zutreffen Es können mehrere Zeilen als Kontext betrachtet und dadurch zusammengefasst werden. Überblick: 22

23 Logsurfer - Links [L01] [L02] [L03] [L04] ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/config-examples/emf/snort.txt [L05] [L06] [L07] [L08] [L09] [L10] doi= &rep=rep1&type=pdf [L11] Prewett_J.pdf [L12] 23

24 Installation Als RPM rpm -ivh logsurfer-version.rpm Aus den Quellen (letzter Schritt als Superuser): cd /usr/local/src tar xvf logsurfer-version.tar cd logsurfer-version./configure --with-etcdir=/etc make make install Da logsurfer ein recht altes Produkt ist, sollte möglichst die Quell-Version benutzt werden, da dann die CPU-spezifischen Eigenschaften berücksichtigt werden. 24

25 Regelformate I Match nomatch Stop NoStop timeout [continue] action Teil Erläuterung Match Regulärer Ausdruck, der zutreffen muss nomatch Regulärer Ausdruck, der nicht zutreffen darf oder - Stop Beim Zutreffen dieses Ausdrucks wird die Regel entfernt oder - nostop Dieser Ausdruck darf zum Stop nicht zutreffen oder - timeout Lebenszeit der Regel in Sekunden oder 0 continue Schlüsselwort zum weiteren Prüfen von Regeln action Angabe von Aktionen 25

26 Regelformate II - Aktionen Aktion Erläuterung ignore Keine Aktion exec Ausführen eines Programms (Vorsicht! Möglichkeit von Löchern) pipe Ausführen eines Programms mit Kommunikation über Pipe open Eröffnen eines Kontextes delete Schließen eines Kontextes report Starten eines externen Programms zum Generieren von Berichten rule Erzeugung neuer Regeln Siehe Beispiel aus '.*' exec "/bin/echo $0" Es wird immer die gesamte Zeile per echo ausgegeben. 26

27 Regelformate III - Reguläre Ausdrücke Variable Erläuterung $0 Gesamte Zeile $1 Zeichenkette, die von Match gefunden wurde $2-$9 Teiltreffer Ausdruck Bedeutung \ Escape-Zeichen, z. B. "\\" oder "\t". Ein beliebiges Zeichen? Muster 1- oder 0-mal, z. B. a? für "" oder "a" + Muster mindestens 1-mal, z.b. b+ für "b" oder "bbb" * Muster beliebig mal, z.b. c* für "", "cc" oder "cccccccc" {} Muster genau n-mal, z.b. d{7} für "ddddddd" ^ und $ Beginn und Ende der Zeile [] Menge von Zeichen für., z. B. [ab] für "a" oder "b" 27

28 Regelformate IV - Kontexte Match nomatch LineLimit timeout1 timeout2 action Teil Match Erläuterung Muss zutreffen und definiert den Kontext nomatch Darf nicht zutreffen oder - LineLimit timeout1 Maximale Größe des Kontexts in Zeilen Absolute Lebensdauer, bei Ablauf wird Action durchgeführt timeout2 action Relative Lebensdauer - wird bei jeder neuen Zeile im Kontexts neu gesetzt Aktivität: alles bis auf open, delete und rule 28

29 Aufruf /usr/bin/logsurfer -c /etc/logsurfer -f /var/log/messages Möglichst keinen Aufruf per root, daher ist folgende Möglichkeit vorzuziehen: useradd logsurfer -d /dev/null -s /bin/false # Benutzer einrichten su - logsurfer -c /etc/logsurfer -f /var/log/messages Als User... dieses Kommando ausführen Optionen Erläuterung -c Angabe der Konfigurationsdatei -f Warten, ob Datei nach Abarbeitung noch wächst -l NR Beginn der Abarbeitung ab Zeile NR -s Keine Ausgabe über Standard-Out (silent) 29

30 Beispiele aus [L4] '^.{15,} (.*) snort: spp_portscan: PORTSCAN DETECTED from (.*) \(.*' open "$3" report "/usr/local/bin/surfmailer -r root -S \"security incident from $3\"" "$3" '^.{15,} (.*) snort: spp_portscan: PORTSCAN DETECTED to port (.*) from (.*) \(.*' open "$4" report "/usr/local/bin/surfmailer -r root -S \"security incident from $4\"" "$4" 'portscan:.{15,} (.*):(.*) -> (.*):(.*).*' open "$2" report "/usr/local/bin/surfmailer -r root -S \"security incident from $2\"" "$2" 30

31 Logcheck I Logcheck filtert die Logfile-Einträge anhand von Regeln und reduziert so die Ausgabe auf das Wesentliche Version 1.1.1, GPL2 Downloads anderer Versionen: (Version 1.1.2) html (Version ) Datenbank mit Konfigurationsbeispielen: 31

32 Logcheck II Installation: Auspacken von logcheck mit tar cd in neuen Ordner als root: make linux Konfigurieren der folgenden Dateien: /usr/local/etc/logcheck.sh /usr/local/etc/logcheck.hacking /usr/local/etc/logcheck.ignore /usr/local/etc/logcheck.violations.ignore 32

33 Logcheck III - Links [LC01] [LC02] [LC03] [LC04] [LC05] [LC06] [LC07] [LC08] [LC09] [LC10] [LC11] 33

34 chkrootkit I Systemscanner zum Feststellen, ob ein Rootkit installiert ist Version ftp://ftp.pangeia.com.br/pub/seg/pac/ ftp://ftp.cert.dfn.de/pub/tools/audit/chkrootkit/ Installation aus Quellen: tar xzf chrootkit-version.tar.gz cd chrootkit-version make Kein Install, das Programm wird unmittelbar aufgerufen:./chkrootkit chkrootkit sollte regelmäßig über cron aufgerufen werden. 34

35 chkrootkit II - Probleme Auf dem betroffenen System sollte möglichst nicht übersetzt werden können, d.h. nach der Installation das gcc-paket löschen. Es wird von chkrootkit u.a. folgende Software benötigt: awk cut find Diese Software muss in Ordnung sein! Lösung: Boot-CD (Linux-Live-CD): Booten Betroffene Filesysteme montieren./chrootkit -r /MountPoint Auch sollte die Prüfung im Single User-Mode, d.h. ohne Netz und ohne die Loginmöglichkeit für Andere durchgeführt werden (bei der Live-CD ist das gegeben). 35

36 Rootkit Hunter Systemscanner zum Feststellen, ob ein Rootkit installiert ist, eine gute Ergänzung zu chkrootkit Version Installieren: Nach dem Auspacken einfach installer.sh aufrufen Der rootkit hunter sollte regelmäßig über cron aufgerufen werden. 36

37 Rootkits (Beispiele) Linux-Rootkit-5 Knark KIS von Optix Suckit

38 Weitere Rootkit-Scanner rootkitrevealer (Windows) Weitere freie Rootkit-Scanner: sophos GMER F-Secure

39 Tripwire bzw an der Purdue University entwickelt Der Klassiker unter den Host-basierten IDS Kommerzielle Version: Offene Versionen: Version Version

40 Aufbau Aufbau Zwei Konfigurationsdateien Konfiguration: twcfg.txt Policy: twpol.txt jeweils in ASCII und binärer und verschlüsselter Form Datenbank Ort wird in twcfg.txt festgelegt Vier Programme: tripwire, twadmin, twprint, siggen Dateien werden mit einem Schlüssel unterschrieben und verschlüsselt (El Gamal, 1024 bit). 40

41 Installation I Als RPM (falls vorhanden): rpm -ivh tripwire-version.i386.rpm oder mit der 64 bit-version In vielen Distributionen ist tripwire nicht mehr vorhanden. Alternativ kann von den Quellen übersetzt und installiert werden. Diese Variante hat den Vorzug, dass eine recht umfangreiche Policy-Datei als Startpunkt für eigene Anpassungen mitgeliefert wird. 41

42 Installation II cd /etc/tripwire Hier liegen die Konfigurationsdateien. Datei twcfg.txt ansehen und sich die Dateinamen samt Pfad merken bzw. ändern (am besten alles lassen) ########################################### ## /etc/tripwire/twcfg.txt ## Sample tripwire configuration file. ## See twconfig(4) for documentation (package 'tripwire'). ## Copyright (c) 2003 SuSE GmbH Nuernberg, Germany. ########################################### POLFILE = /etc/tripwire/tw.pol DBFILE = /var/lib/tripwire/$(hostname).twd REPORTFILE = /var/lib/tripwire/report/$(hostname)-$(date).twr SITEKEYFILE = /etc/tripwire/site.key LOCALKEYFILE = /etc/tripwire/$(hostname)-local.key 42

43 Ergänzungen Weitere Konfigurationsmöglichkeiten: Variablen MAILMETHOD SMTPHOST SMTPPORT GLOBAL MAILNOVIOLATIONS Erläuterung SMTP Name des Servers Portnummer des Servers Mail für alle Regeln Mail auch dann, wenn keine Probleme festgestellt werden Von der letzten Möglichkeit sollte Gebrauch gemacht werden, da dann immer extern festgestellt werden kann, dass tripwire tatsächlich aktiv war... 43

44 Installation III Policy-Datei twpol.txt erstellen und dabei sich an die mitgelieferte Beispieldatei halten Folgendes sollte beachtet werden: Dateien, die sich "natürlicherweise" ändern, sollten aus der Überwachung herausgenommen werden: Beispiele in /etc: /etc/fstab, /etc/mount Für jede Datei darf maximal nur eine Regel zutreffen, ansonsten arbeitet tripwire recht instabil Das führt dazu, dass viele Regeln erstellt werden müssen, um Ausnahmen zu modellieren. 44

45 Richtlinien - Einfachster Fall I Regelaufbau: Objekt -> Eigenschaften; Jede Regel endet mit einem Semikolon. Objekt ist Unterbaum mit rekursiven Ordnern innerhalb des Dateisystems von Objekt, d.h. das Dateisystem wird nicht verlassen Datei Makros als Kürzel Eigenschaften (zu überprüfen): Makros als Kürzel Explizite Angabe 45

46 Richtlinien - Einfachster Fall II (Auszug) Eigenschaft p i n u g t s d r b m c M S Erläuterung Dateirechte (Permissions) Inodenummer Anzahl der harten Links (Referenzzähler) User-ID Group-ID Typ der Datei Größe der Datei Gerätenummer, auf welche die Inodes liegen Gerätenummer, auf welche die Inodes zeigen Anzahl der allokatierten Blöcke Zeitpunkt der Modifikation Zeitpunkt der Entstehung MD5-Summe SHA-1-Summe 46

47 Richtlinien - Einfachster Fall IV Makroname Inhalt Erläuterung $(ReadOnly) +pinugsmtdbcm-raclsh $(Dynamic) +pinugtd-rsacmblcmsh Häufige Änderungen $(Growing) +pinugtdl-rsacmbcmsh Für Logfiles ohne Rotate $(IgnoreAll) -pinusgamctdrblcmsh Nur Existenz der Datei $(IgnoreNone) +pinusgamctdrblcmsh Alles wird überwacht $(Device) +pugsdr-intlbamccmsh tripwire öffnet nicht diese Datei Hinweise: Eigenschaft a (Access time) oder c beißt sich mit einer Prüfsumme. In den Makros/Variablen dürfen keine Operatoren benutzt werden. 47

48 Beispiele # Beispiel 1 User = /home; Lesend = +pinugtsm; # /etc -> $(Lesend); $(User) -> $(Lesend)-M+S; # Beispiel 2 # /etc -> $(ReadOnly); /var -> $(Dynamic); 48

49 Richtlinien - Zusammenfassungen (Attribut1=Wert1, Attribut2=Wert2,...) { Objekt1 -> Eigenschaften1; Objekt2 -> Eigenschaften2;... } Attribute rulename to severity recurse Erläuterung Definition eines Namens für den Regelblock Mailadressen für den Regelblock Hinter jeder Regel wird eine Wichtigkeitsnummer angefügt, die per Parameter bei tripwire ausgewählt werden kann Begrenzung der Rekursionstiefe 49

50 Richtlinien - Attribute I Die Attribute können auch in der Regel stehen, z.b.: /etc -> $(ReadOnly) ( to=root@blabla.com); /tmp -> $(IgnoreAll) (recurse=0); Werte für recurse: Wert Erläuterung -1 Beliebig tief 0 keine Rekursion N Rekursion bis zum N. geschachtelten Verzeichnis 50

51 Richtlinien - Attribute II Wichtigkeit (severity) ist in drei Stufen geteilt (Default): Stufe Wert Low 33 Medium 66 High 100 Bei einer Prüfung wird ein Wert angegeben, wobei alle Regeln mit einem Wichtigkeitswert größer als dieser geprüft werden. Default: -1, das bedeutet: alles wird geprüft. Mails werden nur dann versandt, wenn dies beim Prüfen per Parameter zugelassen wird, siehe Konfiguration oben. 51

52 Richtlinien - Stop Points Ein Stop Point ist ein Objekt, das eine rekursive Prüfung an dieser Stelle abbricht. Das Objekt sowie der daran hängende Unterbaum werden dann nicht geprüft. Wenn Teile dieses Unterbaum trotzdem geprüft werden sollen, dann sind weitere Regeln erforderlich. Beispiel: /etc -> $(ReadOnly);!/etc/fstab;!/etc/mount; 52

53 Richtlinien - IF-Bedingungen In einem sehr eingeschränkten Maße können IF-Bedingungen benutzt Name /var -> /var -> Dies dient dazu ähnliche Policy-Dateien für verschiedene Systeme zusammenfassen zu können. Weiterhin gibt es noch zum Erzeugen von Standard-Output und zur Beendigung aller Regeln. 53

54 Installation IV Erzeugen zweier Schlüssel anhand von Passphrasen (bis zu 255 Zeichen): Site-key dient zum Signieren und Verschlüsseln des Policy Files und der Berichte twadmin -m G -S SiteKeyFILE Local-key dient zum Signieren und Verschlüsseln der Konfigurationsdatei und der Datenbank twadmin -m G -L LocalKeyFILE Beispiel twadmin -m G -S /etc/tripwire/site.key twadmin -m G -L /etc/tripwire/hamster-local.key 54

55 Bemerkungen Der Site-Key kann für mehrere Maschinen verwendet werden, so dass zentral mit einem Key die Policy-Dateien verwaltet werden können. Der Local-Key gilt immer nur für eine Maschine. 55

56 Installation V Nun wird die Konfigurationsdatei verschlüsselt und unterschrieben: twadmin --create-cfgfile -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt Dann die Policy-Datei: twadmin --create-polfile -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key -p /etc/tripwire/tw.pol /etc/tripwire/twpol.txt 56

57 Installation VI Erzeugen der Datenbank: tripwire --init -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key Name der Datenbank: /var/lib/tripwire/host.twd oder entsprechend der Konfigurationsdatei Erster manueller Prüflauf: tripwire --check -c /etc/tripwire/tw.cfg -M Die Option M führt zum Absenden von (als Test). 57

58 Prüfläufe Prüflauf im Hintergrund mit /etc/cron gesteuert: tripwire --check -c /etc/tripwire/tw.cfg Interaktiver Prüflauf mit anschließender Update-Möglichkeit: tripwire --check -c /etc/tripwire/tw.cfg --interactive 58

59 Update und Rekonstruktion Update der Datenbank anhand eines Berichts tripwire --update -c /etc/tripwire/tw.cfg -r /var/lib/tripwire/report/report.twr Aktualisierung nach Änderung der Policies: tripwire --update-policy policy-file.txt Rekonstruktion der Policy-Datei twadmin --print-polfile --polfile File.pol Konvertierung der ASCII-Datei zur verschlüsselten Policy-Datei twadmin --create-polfile File.pol 59

60 Konfigurationsdatei und Rekonstruktion der verschlüsselten cfg-datei twadmin --print-cfgfile --cfgfile File.cfg Konvertierung der ASCII-Datei zur verschlüsselten cfg-datei twadmin --create-cfgfile File.txt Testet das Versenden eines Berichts an die -Adresse tripwire --test -- -Adresse 60

61 Berichte Ausgabe der Datenbank: twprint --print-dbfile Ausgabe eines bestehenden Reports mit (geänderten) Level twprint --print-report -r report.twr --report-level X 61

62 Hinweise Die ASCII-Versionen der Konfigurationsdatei und Policy-Datei müsen gelöscht werden (sie können jederzeit rekonstruiert werden). Tripwire setzt initial einen sicheren Zustand voraus. Alle drei wichtigen Dateien (pol-/cfg- und Datenbank) sollten auf ein extra Medium kopiert werden. Diese drei Dateien auf CD brennen und diese nutzen hat den Nachteil, dass nicht sichergestellt werden kann, dass auch wirklich die CD-Version benutzt wird. Einen weiteren Stolperdraht aufspannen: Mit Absicht eine zufällige Verletzung produzieren. Wenn plötzlich Tripwire diese nicht mehr meldet... 62

63 Tripwire-Bericht (Auszug) I Report generated by: root Report created on: Thu Feb 1 11:30: Database last updated on: Mon Jan 29 09:07: =============================================================================== Report Summary: =============================================================================== Host name: Castor Host IP address: Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/site.cfg Database file used: /var/lib/tripwire/dbfile/castor.twd Command line used: tripwire --check -c site.cfg -M =============================================================================== Rule Summary: =============================================================================== Section: Unix File System Rule Name Severity Level Added Removed Modified * Configuration Programs * root

64 Tripwire-Bericht (Auszug) II Total objects scanned: Total violations found: 8 =============================================================================== Object Detail: =============================================================================== Section: Unix File System Rule Name: Configuration (/etc) Severity Level: Modified Objects: Modified object name: /etc Property: Expected Observed * Modify Time Mon Jan 29 09:07: Thu Feb 1 11:30: * Change Time Mon Jan 29 09:07: Thu Feb 1 11:30:

65 AIDE - Advanced Intrusion Detection Environment AIDE steht unter GPL Version 0.16 Sehr klein: ca. 800KByte Installation von der Quelle nach dem 3-Satz Editieren der Konfigurationsdatei /etc/aide.conf 65

66 Beispiel für /etc/aide.conf database=file:/var/lib/aide/aide.db database_out=file:/var/lib/aide/aide.db.new verbose=10 report_url=stdout All=R+a+sha1+rmdl60+tiger Norm=s+n+b+md5+sha1+rmdl60+tiger R=p+i+n+u+g+s+m+c+md5 / R!/dev!/tmp!/proc 66

67 Attribute (Auszug) Attribut p i n u g s m a c md5 sha1 rmd160 tiger Erläuterung Permission Inode Number of links User ID Group ID Size Modification Time Access Time Change Time MD5-Hash SHA1-Hash RMD160-Hash Tiger-Hash 67

68 Aufrufe aide --init aide --check aide --update 68

69 Nachteile Keine Möglichkeit der Keine Verschlüsselung der Datenbank Keine Verschlüsselung der Konfigurationsdatei 69

70 Weitere HIDS fwlogwatch Echtzeitprotokollanalyse logwatch - Protokollanalyse in Perl fcheck - System-Scanner in Perl integrit tripwire-variante another file integrity checker Samhain osiris - tripwire-variante für Windows/UNIX

71 Nun wieder etwas entspannen... 71