AA_dobermann_16693591_123rf_john_mcallister.jpg

© John_McAllister, 123RF

Stiller Wächter

Einbrüche mit dem IDS Tripwire erkennen

20.03.2014
In Tripwire finden Sie ein mächtiges Werkzeug, um Ihre Systeme vor ungewollten Änderungen zu schützen.

Trojaner, die Überweisungsdaten beim Online-Banking manipulieren oder Computernutzer ausspähen; Webcams, die ihre Umgebung filmen, oder Hintertürchen, die Unbefugten Zugriff zu fremden Rechnern gewähren – das Verbrechen ist schon lange in der digitalen Welt angekommen. Intrusion-Detection-Systeme, kurz IDS, erkennen Angriffe auf Rechner und Netzwerke, indem Sie den Datenverkehr überwachen und dabei Angriffsmuster und Anomalien erkennen. Hostbasierte IDS hingegen spüren womöglich unerwünschte Änderungen in zu schützenden Rechnern auf. Sie informieren dann die verantwortlichen Administratoren zeitnah und können so die mit einem Angriff einhergehenden Schäden eindämmen oder gar verhindern.

Für das freie Betriebssystem gibt es zahlreiche IDS, sowohl für ganze Netzwerke (Network-based Intrusion Detection System, NIDS) als auch für einzelne Hosts (Host-based Intrusion Detection System, HIDS). Zur ersten Kategorie gehören Programme wie Snort, Suricata oder Prelude, die im Idealfall Angriffe auf gesamte Netzwerke erkennen. In die zweite Kategorie fallen Anwendungen wie Portsentry, Logcheck, Samhain, OSSEC oder Tripwire [1], um das es in diesem Artikel geht.

Bei Tripwire ("Stolperdraht") handelt es sich um einen Datei-Integritätschecker. Das System wurde 1992 von Gene Kim und Dr. Eugene Spafford an der Purdue University [2] in West Lafayette (USA, Indiana) aus der Taufe gehoben. Seit 1999 entwickelt das Unternehmen Tripwire Inc. [3] die Anwendung als Tripwire Enterprise weiter.

Das Tripwire-Open-Source-Projekt wurde 2002 ins Leben gerufen und nutzte als Grundlage die Tripwire-Quelltexte aus dem Jahr 2000. Das Projekt eignet sich laut Tripwire Inc. für eine kleine Anzahl von Servern, die keine zentralisierte Administration und Berichtsfunktionen benötigen.

Funktionsweise

Angreifer versuchen in der Regel, ein gekapertes System mit Trojanern, Backdoors und veränderten Dateien zu kontaminieren, um jederzeit zurückkehren zu können und den Rechner in ihre Machenschaften zu involvieren. Tripwire wirkt dem entgegen, indem es Informationen (Prüfsummen, Dateigröße, Mtime, Ctime, Inode etc.) wichtiger Verzeichnisse und Dateien verschlüsselt in einer Datenbank ablegt. Damit vergleicht es später die Eigenschaften der zu überwachenden Dateien und teilt Abweichungen dem verantwortlichen Administrator mit. Im Idealfall ist alles in Ordnung und der Bericht fällt kurz und knapp aus. Etwas längere Berichte entstehen, wenn Dateien gewollt oder ungewollt geändert wurden – dann muss der Admin handeln.

Das Prinzip bietet den Vorteil, dass Sie den Vergleich diskret periodisch oder bei Verdacht eines Einbruchs ausführen können. Da das IDS nicht permanent im Hintergrund läuft und so meist auch nicht als laufender Prozess auffällt, beansprucht es kaum Systemressourcen. Fehlalarme kommen relativ selten vor. In der Regel wissen Administratoren, wann Tripwire ihre Server überwacht, und können so schnell die Datenbanken aktualisieren beziehungsweise sehen, ob sie für eine gemeldete Änderung verantwortlich zeichnen.

Als Nachteil wäre zu nennen, dass das System nicht sofort warnt, wenn ein mutmaßlicher Angriff stattfindet, sondern erst dessen Folgen protokolliert. Sobald Tripwire eine Meldung mit einer unberechtigten Änderung an einen Administrator versendet, darf dieser getrost von einer gelungenen Attacke ausgehen.

Installation

In den Haupt-Repositories der gängigen Distributionen findet sich Tripwire in der Regel nicht. Ubuntu stellt im Universe-Zweig nur für Saucy Salamander (13.10) die aktuelle Version zu Installation bereit. OpenSuse hält Tripwire nur im Security-Repository [4] vor, die Sie nachträglich einbinden müssen.

Das Programm erfüllt seine Aufgaben bereits sehr gut, sodass die Entwickler nicht permanent neue Versionen nachlegen. Aktuell ist die Version 2.4.2.2 [5], die Sie mit dem Dreischritt aus den Quellen übersetzen:

# ./configure && make && make install

Während der Installation legt Tripwire einen Site- und einen Local-Key an. Der Erstere dient dazu, um die Konfigurations- und Policy-Dateien zu signieren, der Letztere zur Absicherung der Tripwire-Datenbank. Haben Sie die Schlüsselgenerierung bei der Installation aus irgendeinem Grund ausgelassen, holen Sie sie mit den Befehlen aus Listing 1 nach.

Listing 1

# twadmin --generate-keys --site-keyfile /etc/tripwire/site.key
# twadmin --generate-keys --local-keyfile /etc/tripwire/$HOSTNAME-local.key

Für die Passphrase gilt dasselbe wie für gute Passwörter: Mehr als acht Zeichen Länge, Groß- und Kleinschreibung sowie Sonderzeichen erhöhen die Sicherheit.

Eventuell müssen Sie auch noch die Datei /etc/tripwire/twcfg.txt anpassen. Dort hinterlegen Sie die Pfade zu den Schlüsseldateien, den Richtlinien, der Datenbank und den Berichten. Über weitere Variablen legen Sie den Standard-Editor (EDITOR) fest und geben an, ob Tripwire so lange wie möglich wartet, bis es eine Passworteingabe vom Nutzer verlangt (LATEPROMPTING). Auch Doppelmeldungen (Datei, Verzeichnis) bei Veränderungen einer überwachten Datei lassen sich an dieser Stelle unterbinden (LOOSEDIRECTORYCHECKING).

Da Tripwire auf entfernten Servern oft via Cronjob startet, kann es sich als sinnvoll erweisen, Mails auch dann zu versenden, wenn alles in Ordnung ist (MAILNOVIOLATIONS=true). Bleibt dann eine Nachricht aus, darf der Admin schon einmal in Alarmstellung gehen.

Die Reportlevel geben an, wie umfangreich Berichte ausfallen sollen (siehe Tabelle "Reportlevel"). Weiterhin könnten Art (SMTP oder Sendmail) und die für den Mailversand nötigen Server Aufmerksamkeit verlangen.

Reportlevel

Level Beschreibung
0 Zusammenfassung auf einer Zeile, listet Anzahl der Änderungen, Hinzufügungen und Löschungen auf.
1 Parsbare Liste aller Verletzungen.
2 Zusammenfassung, Auflistung der Verletzungen nach Sektion im Polfile und Regelname.
3 Standardlevel, zeigt erwartete und erkannte Eigenschaften für überwachte Objekte, die geändert wurden.
4 Kompletter Bericht, der bis ins kleinste Detail geht.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

title_2014_08

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 0 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...