Intrusion Detection visualisiert

tasosk, 123RF

Immer im Bild

Intrusion-Detection-Systeme überfrachten sicherheitsbewusste Administratoren oft mit einer Fülle an Informationen. Die Visualisierung des mitgeschnittenen Traffic verschafft bessere Orientierung.

In der Flut von Daten, die ein Intrusion Detection System (IDS) produziert, entgeht dem Auge des Security-Experten leicht eine verräterische Spur. Visualisierungstools können dabei helfen, sich darin zu orientieren und leichter Anzeichen für einen Einbruch zu entdecken.

Viele Programme verwenden PCAP, die Packet Capture Library, um Netzwerktraffic mitzuschneiden. Einige können diese Daten in einer PCAP-Datei speichern, die sich dann mit anderen Tools einlesen und analysieren lässt. Daher eignen sich PCAP-Dateien gut dazu, IDS-Daten zu speichern und wiederzugeben.

Grundlage: Snort

In diesem Artikel sollen PCAP-Files die Basis darstellen, um Visualisierungstools zu testen. Für jedes Szenario wird die Ausgabe des Snort-IDS [1] der entsprechenden Visualisierung gegenübergestellt. Die Testkandidaten sind dabei Netgrok, Afterglow, Rumint, TNV und Etherape. Die meisten davon befinden sich auf der Live-CD Davix [2], einem Slax-basierten Linux, das sich auf Security-Visualisierung spezialisiert hat.

Es ist am einfachsten, die Davix-CD herunterzuladen und zu booten, wenn Sie die Beispiele dieses Artikels nachvollziehen wollen. Um die Tools in Ihrer Standard-Distribution zu installieren, folgen Sie den Anweisungen der jeweiligen Projekt-Homepage. Die Beispiel-PCAP-Dateien finden Sie auf der Homepage des Admin-Magazins [3].

Sie sollten schon einige Kenntnisse über Intrusion-Detection-Systeme mitbringen, inbesondere über das Snort-IDS. Kennen Sie sich damit noch nicht so gut aus, schauen Sie sich die Dokumentation auf der Snort-Homepage mal etwas genauer an. Mittlerweile gibt es auch schon einige Bücher über Snort.

Datenquellen

Neben selbst aufgenommenen Paket-Captures stammen einige Beispiele von http://openpacket.org, einer sehr guten Quelle für ganz unterschiedliche Szenarien, und zwei Dateien von http://evilfingers.com. Das Wiki von Networkminer [4], einem Analyseprogramm unter Windows, führt eine ausgezeichnete Liste von PCAP-Sites. Die PCAPs dieses Artikels wurden mit Snort 2.7 unter Ubuntu 9.04 erzeugt, mit den Emerging-all-Regeln von http://emergingthreads.net.

Wenn Sie mit Davix experimentieren wollen, starten Sie es im grafischen KDE-Modus und weisen der virtuellen Maschine mindestens 1 GByte RAM zu. Damit ist eine gute Performance des Snort-IDS gewährleistet, das System hat aber noch genug Reserven für die Visualisierungsprogramme.

Ähnliche Artikel

comments powered by Disqus
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe  04/2014