Home / LinuxUser / 2013 / 02 / Einbrüche erkennen mit dem IDS Tripwire

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

AA_silent-guard_sxc1207630_JohnNyberg.jpg

© John Nyberg, sxc.hu

Stiller Wächter

Einbrüche erkennen mit dem IDS Tripwire

09.01.2013 Als digitaler Stolperdraht verhindert das leistungsfähige HIDS Tripwire, dass Angreifer den Rechner unbemerkt mit Trojanern, Backdoors oder veränderten Dateien verseuchen.

Intrusion-Detection-Systeme erkennen Angriffe auf Rechner und Netzwerke, indem Sie den Netzwerkverkehr überwachen und dabei Angriffsmuster und Anomalien erkennen oder womöglich unerwünschte Änderungen auf zu schützenden Rechnern feststellen. Funktionieren sie wie gedacht, alarmieren sie bei Attacken den für das System verantwortlichen Administrator zeitnah. So lassen sich die mit dem Angriff einhergehenden Schäden zumindest eindämmen oder sogar verhindern.

Für das freie Betriebssystem gibt es zahlreiche Intrusion-Detection-Systeme (IDS), entweder für ganze Netzwerke (netzwerkbasiertes IDS, NIDS) oder einzelne Hosts (hostbasiertes IDS, HIDS). In die erstere Kategorie fallen Snort, Suricata und Prelude, die im Idealfall Angriffe auf gesamte Netzwerke erkennen. Zur Kategorie der HIDS zählen Anwendungen wie PortsEntry, Logcheck, Samhain, OSSEC und nicht zuletzt Tripwire [1], um das es in diesem Artikel geht.

Bei Tripwire ("Stolperdraht") handelt es sich um einen Datei-Integritätschecker. Das System wurde 1992 von Gene Kim und Dr. Eugene Spafford an der Purdue-Universität [2] in West Lafayette (USA, Indiana) entwickelt. Seit 1999 entwickelt das Unternehmen Tripwire Inc. [3] die Anwendung als Tripwire Enterprise weiter. Das Tripwire Open Source Projekt wurde 2002 ins Leben gerufen und nutzte als Grundlage die Tripwire-Quelltexte aus dem Jahr 2000. Es eignet sich laut Tripwire Inc. für eine kleine Anzahl von Servern, für die man auf zentralisierte Administration und Berichtsfunktionen verzichten kann.

Funktionsweise

Man kann davon ausgehen, dass Angreifer das attackierte System mit Trojanern, Backdoors und veränderten Dateien kontaminieren, um jederzeit zurückkehren und den zur Strecke gebrachten Server in ihre Machenschaften involvieren zu können. Dem wirkt Tripwire entgegen, indem es Informationen (Prüfsummen, Dateigröße, Mtime, Ctime, Inode etc.) wichtiger Verzeichnisse und Dateien verschlüsselt in einer Datenbank ablegt. So kann es später die Eigenschaften der zu überwachenden Dateien mit den gespeicherten Informationen vergleichen und Abweichungen dem verantwortlichen Administrator melden. Im Idealfall ist alles in Ordnung und der Bericht fällt kurz und knapp aus. Etwas längere Berichte gibt es, wenn Dateien gewollt oder ungewollt geändert wurden – dann muss der Admin handeln.

Das Prinzip hat den Vorteil, dass man den Vergleich diskret periodisch oder bei Verdacht eines Einbruchs ausführen kann. Das IDS beansprucht so kaum Systemressourcen, da es nicht permanent im Hintergrund läuft und so meist auch nicht als laufender Prozess auffällt. Fehlalarme treten relativ selten auf: In der Regel wissen Administratoren, dass Tripwire ihre Server überwacht, und können so schnell dessen Datenbanken aktualisieren beziehungsweise sehen, ob sie selbst für eine gemeldete Änderung verantwortlich sind.

Der Nachteil dieser Vorgehensweise: Das System kann nicht vorab vor einem gerade stattfindenden Angriff warnen. Sobald Tripwire eine Meldung über eine unberechtigten Änderung an einen Administrator versendet, darf dieser getrost von einem gelungenem Angriff ausgehen, sich mental auf einen harten Arbeitseinsatz vorbereiten, eine Standleitung Kaffee ordern, in die Hände spucken und eine Konsole öffnen.

Installation

In den Repositories der gängigen Distributionen findet sich eine recht aktuelle Version des Open-Source-Zweigs von Tripwire, sodass Sie das System in aller Regel bequem über den Paketmanager installieren. Das Programm erfüllt seine Aufgaben bereits sehr gut, sodass die Entwickler nicht permanent neue Versionen nachlegen. Aktuell ist die Version 2.4.2.2, die Sie gegebenenfalls mit dem klassischen Dreischritt aus den Quellen [4] übersetzen.

Während der Installation legt Tripwire einen Site- und einen Local-Key an. Den ersteren benutzt es, um die Konfigurations- und Policy-Dateien zu signieren. Der Local-Key dient der Absicherung der Tripwire-Datenbank. Wurde die Schlüsselgenerierung bei der Installation aus irgendeinem Grund ausgelassen, lässt sie sich mit den Befehlen aus Listing 1 nachholen (Abbildung 1). Für die Passphrase gilt das gleiche wie für gute Passwörter: Mehr als acht Zeichen, Groß- und Kleinschreibung sowie Sonderzeichen erhöhen die Sicherheit.

Listing 1

twadmin --generate-keys --site-keyfile /etc/tripwire//site.key
twadmin --generate-keys --local-keyfile /etc/tripwire/$HOSTNAME-local.key
Abbildung 1

Abbildung 1: Der Site-Key und der Local-Key schützen Konfigurationsdateien und die Tripwire-Datenbank.

Eventuell müssen Sie auch noch die Datei /etc/tripwire/twcfg.txt anpassen. Dort hinterlegen Sie die Pfade zu den Schlüsseldateien, den Richtlinien, der Datenbank und den Berichten. Über weitere Variablen legen Sie den Standard-Editor (EDITOR) fest und geben an, ob Tripwire so lange wie möglich wartet, bis es eine Passworteingabe vom Nutzer verlangt (LATEPROMPTING). Auch Doppelmeldungen (Datei, Verzeichnis) bei Veränderungen einer überwachten Datei lassen sich hier unterbinden (LOOSEDIRECTORYCHECKING).

Da Tripwire auf entfernten Servern oft via Cronjob startet, kann es sinnvoll sein, auch Mails zu versenden, wenn alles in Ordnung ist (MAILNOVIOLATIONS=true). Bleibt dann eine Mail aus, darf der Admin schon einmal in Alarmstellung gehen. Die Reportlevel geben an, wie umfangreich Berichte ausfallen sollen (siehe Tabelle "Reportlevel"). Weiterhin könnten Art (SMTP oder Sendmail) und die für den Mailversand nötigen Server Aufmerksamkeit verlangen.

Reportlevel

Level Beschreibung
0 Zusammenfassung auf einer Zeile. Listet Anzahl der Änderungen, Hinzufügungen und Löschungen auf.
1 Parsbare Liste aller Verletzungen.
2 Zusammenfassung, Auflistung der Verletzungen nach Sektion im Polfile und Regelname.
3 Standardlevel, zeigt erwartete und erkannte Eigenschaften für überwachte Objekte, die geändert wurden.
4 Kompletter Bericht, der bis ins kleinste Detail geht.
Tip a friend    Druckansicht Bookmark and Share
Kommentare

1006 Hits
Wertung: 0 Punkte (0 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...