Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Transkript

1 Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux

2 Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? Wann ist ein Angriff ein Angriff? Das Handwerkszeug der Angreifer Buffer Overflows Spoofing Flooding (Distributed) Denial of Service Viren, Würmer, Trojanische Pferde Rootkits Social Engineering /Social Hacking Mit wem und was haben wir es zu tun? Script-Kiddies - denn sie wissen nicht, was sie tun? Blackhats - die Szene Konkurrenz / Wirtschaftsspionage 26 Netzwerksicherheit planen und kontrollieren Die W-Fragen der Sicherheit Grundwerte der Sicherheit ( common criteria") Wie ein Netzwerk zu schützen ist Die Security Policy IT-Sicherheitsplan Notfallplan bei einem entdeckten Einbruch 37

3 2.4 Weitere Informationsquellen zum Thema 38 3 Die Grundlagen So funktioniert ein IDS Host Based Intrusion Detection System (HIDS) Network Based Intrusion Detection System (NIDS) Von Fehlern und Fehlern So funktioniert Snort Der Paketsniffer (libpcap) Der Paket-Decoder Die Preprozessoren Die Detection-Engine Die Output-Plugins Praxisanleitung zum Snort-TMIDS 51 4 Vorbereitung und Installation eines Log-Host Konzepte für die Topologie eines Snort-Netzwerks Der Switch als Problem - Snort direkt auf dem Router Sensoren ohne IP-Adresse Die möglichen Szenarien im Überblick Zusammengefasst: Die Struktur der Musterlösung Die Linux-Installation des Log-Host Partitionierung der Festplatte Linux-Installation und Paketauswahl Benötigte Dienste und Pakete für den Log-Host OpenSSH Network Time Protocol syslog-ng openssl und stunnel Apache Webserver ACID, ADODB und JPGraph Der Passwortschutz für ACID 78

4 4.3.8 Die MySQL-Datenbank für Snort Die Firewall-Regeln auf dem Log-Host 83 5 Installation des Snort-Sensors Die Linux-Installation des Sensors OpenSSH NTP syslog-ng stunnel Die Installation von Snort mit YaST unter SUSE mit APT unter Debian direkt aus dem Quellcode Die Installation von Barnyard Die Firewall auf dem Sensor 97 6 Konfiguration des Snort-Sensors Die Grundkonfiguration von Snort Allgemeine Einstellungen TTL und die Preprozessoren Die Preprozessoren einstellen Output-Plugins Klassifikationen und Referenzen Die Regeln einbinden Beispiel-Konfigurationsdatei snort.conf Snort starten Barnyard starten Die Snort-Konfiguration im Detail (Referenz) Allgemeine Einstellungen für Snort Den Snort-Decoder konfigurieren Die Detection-Engine konfigurieren Weitere Einstellungen für die Preprozessoren frag2 125

5 7.4.2 stream stream4_reassemble flow http_inspeet rpc_decode bo telnet_decode flow-portscan arpspoof perfmonitor Weitere Output-Plugins für Snort Thresholding mit der Konfigurationsdatei threshold.conf Die Informationen einer Alarmmeldung Der Aufbau einer Threshold-Anweisung Threshold-Anweisung direkt in den Snortregeln Alarmmeldungen mit suppress unterdrücken Die Datei gen-msg.map Die Datei sid-msg.map Die Datei unicode.map Eigene Regeln für die Snort-Sensoren Rule-Header Aktion Protokoll Quell-und Zieladresse sowie Quell-und Zielport Rule-Body Schlüsselwörter des Typs Meta-Data Schlüsselwörter des Typs Payload Schlüsselwörter des Typs Non-Payload Schlüsselwörter des Typs Post-Detection Kriterien einer guten Regel Analyse am Beispiel des Wurms W32.Witty Die Regel testen

6 9 Analyse und Echtzeitalarmierung Die Analyse mit ACID Alert Groups Die Suche mit ACID Mit ACID Grafiken erstellen Echtzeitalarmierung mitsyslog-ng Was sonst noch dazu gehört Weitere Programme rund um Snort Regeln aktualisieren mit Oinkmaster Oinkmaster installieren Oinkmaster auf dem Log-Host konfigurieren Oinkmaster auf den Sensoren konfigurieren Regeln mit Oinkmaster modifizieren AIDE-Sicherheit der Datei-Integrität Rootkit-Detektor Das Netz auf Schwachstellen testen - Netzwerkscanner nmap Nessus 222 Anhang 229 A Aufbau und Betrieb eines Honeypot 231 A.1 Wie bereits ein einfacher Honeypot nützt 231 A.2 honeyd - das universelle Honeypot-System 233 A.3 Aufbau des Honeypot-Servers 235 A.3.1 Installation unter Debian 235 A.3.2 Installation unter SUSE/Kompilieren aus den Sourcen A.3.3 Eine einfache honeyd-konfiguration 237 A.4 Snort auf dem Honeypot 241 B Berkeley Paket-Filter

7 C Neue Software für Debian Woody 247 D Netzwerkprotokolle 251 D.1 IP-Protokoll 251 D.2 TCP-Protokoll 254 D.3 UDP-Protokoll 256 D.4 ICMP-Protokoll