Spurensucher
Hostbasierte Angriffserkennung mit AIDE
Brandbekämpfung
Über einen wesentlichen Punkt muss man sich im Klaren sein: Ein HIDS schlägt immer erst dann zu, wenn es eigentlich schon "zu spät" ist. Es funktioniert im Grunde wie eine stille Alarmanlage und meldet zwar den Einbruch, kann ihn aber nicht verhindern. Das HIDS liefert lediglich Informationen darüber, das auf dem System irgend etwas nicht stimmt – die Ursache für diese Unregelmäßigkeit müssen Sie selbst ermitteln. Bei den Vorbereitungen zur Installation von AIDE sollten Sie sich auch darüber Gedanken machen, auf welchen Systemen eine Installation überhaupt Sinn macht. AIDE sollte auf allen Rechnern laufen, deren Dienste öffentlich zugänglich sind, also beispielsweise auf Web-, FTP- und Mailservern.
Ein hostbasiertes Intrusion-Detection-System stellt zudem nur einen Teil einer schlüssigen Sicherheitslösung dar. Zu dieser zählen auch so genannte netzwerkbasierte IDS (NIDS), die das Netzwerk auf verdächtige IP-Pakete überwachen. Der wohl bekannteste Vertreter dieser Gruppe heißt Snort [2]: Er erkennt Unstimmigkeiten im Netzwerkverkehr anhand von Signaturen und schlägt auf vielfältige Weise Alarm, wenn verdächtige Pakete seinen Weg queren. In einigen Fällen ist er sogar in der Lage, die zugehörigen Netzwerkverbindungen zu beenden, um so einem eventuell bevorstehen Angriff vorzubeugen. Bei der Suche nach bereits installierten Rootkits [3] hilft das Programm Chkrootkit [4] (Abbildung 2).
Abbildung 2: Chkrootkit testet das Programm ps auf eine modifizierte Version. Ein weiterer Test zeigt, dass sich die Netzwerkkarte eth0 im Promiscous-Mode befindet.
Wer ein Intrusion Detection System betreibt, hat eine Menge an Daten zu überwachen und auszuwerten. Um dabei nicht relevante Informationen von den wichtigen zu unterscheiden, dienen Werkzeuge wie Prelude [5]. Es versteht sich als hybrides Intrusion-Detection-System, vereint also die Vorteile von einem HIDS und NIDS in einer Anwendung. Dazu nutzt es andere IDS als Sensoren, die Ihre Informationen an Prelude (Abbildung 3) weiterleiten.
Abbildung 3: Das Prewikka-Frontend von Prelude zeigt einzelne Meldungen übersichtlich dargestellt an.
Prelude selbst besitzt eine komfortable Managementkonsole (Prewikka), die alle Alarmmeldungen übersichtlich darstellt. Der Vorteil liegt auf der Hand: Sie müssen sich nicht durch eine Vielzahl von unterschiedlichen Logdateien kämpfen, sondern sehen in der Managementkonsole auf einem Blick, wie es um Ihr System steht.
Ende der Fahnenstange?
Noch für jeden Schutzmechanismus ersannen findige Cracker früher oder später probate Mittel, um diesen zu umgehen. Hostbasierte Intrusion-Detection-Systeme machen da keine Ausnahme. Die einfachste Möglichkeit, solche Systeme auszutricksen, stellt der Tausch des HIDS-Binaries gegen ein Imitat dar, das modifizierte Dateien nicht mehr meldet. Zur Vorbeugung sollten Sie deshalb immer auch das Programm selbst auf einem nicht beschreibbaren Datenträger sichern.
Wesentlich gefährlicher, weil für den Anwender viel schwieriger zu entdecken, sind Kernel-Rootkits, die Systemaufrufe abfangen und modifizieren. Sie setzten jedes noch so gute Abwehrsystem außer Kraft, das Sie auf dem laufenden System starten. Hier schafft nur der Check am ruhenden System Klarheit, indem Sie entweder die Festplatte ausbauen und mit einem anderen Rechner prüfen, oder ein Livesystem starten, von dem aus Sie die Überprüfung vornehmen.
[1] AIDE: http://www.cs.tut.fi/~rammer/aide.html
[2] Snort: http://www.snort.org
[3] Rootkits erkennen: Ralf Spenneberg, "Gut gewappnet?!", LinuxUser 01/2007, S. 48
[4] Chkrootkit: http://www.chkrootkit.org/
[5] Prelude: http://www.prelude-ids.org
Einem Freund empfehlen
