Intrusion Detection visualisiert

tasosk, 123RF

Immer im Bild

Intrusion-Detection-Systeme überfrachten sicherheitsbewusste Administratoren oft mit einer Fülle an Informationen. Die Visualisierung des mitgeschnittenen Traffic verschafft bessere Orientierung.
High Availability lässt sich heute mit günstiger Hardware und einer großen Auswahl an kommerzieller sowie freier Software realisieren. ADMIN erklärt die ... (mehr)

In der Flut von Daten, die ein Intrusion Detection System (IDS) produziert, entgeht dem Auge des Security-Experten leicht eine verräterische Spur. Visualisierungstools können dabei helfen, sich darin zu orientieren und leichter Anzeichen für einen Einbruch zu entdecken.

Viele Programme verwenden PCAP, die Packet Capture Library, um Netzwerktraffic mitzuschneiden. Einige können diese Daten in einer PCAP-Datei speichern, die sich dann mit anderen Tools einlesen und analysieren lässt. Daher eignen sich PCAP-Dateien gut dazu, IDS-Daten zu speichern und wiederzugeben.

Grundlage: Snort

In diesem Artikel sollen PCAP-Files die Basis darstellen, um Visualisierungstools zu testen. Für jedes Szenario wird die Ausgabe des Snort-IDS [1] der entsprechenden Visualisierung gegenübergestellt. Die Testkandidaten sind dabei Netgrok, Afterglow, Rumint, TNV und Etherape. Die meisten davon befinden sich auf der Live-CD Davix [2], einem Slax-basierten Linux, das sich auf Security-Visualisierung spezialisiert hat.

Es ist am einfachsten, die Davix-CD herunterzuladen und zu booten, wenn Sie die Beispiele dieses Artikels nachvollziehen wollen. Um die Tools in Ihrer Standard-Distribution zu installieren, folgen Sie den Anweisungen der jeweiligen Projekt-Homepage. Die Beispiel-PCAP-Dateien finden Sie auf der Homepage des Admin-Magazins [3].

Sie sollten schon einige Kenntnisse über Intrusion-Detection-Systeme mitbringen, inbesondere über das Snort-IDS. Kennen Sie sich damit noch nicht so gut aus, schauen Sie sich die Dokumentation auf der Snort-Homepage mal etwas genauer an. Mittlerweile gibt es auch schon einige Bücher über Snort.

Datenquellen

Neben selbst aufgenommenen Paket-Captures stammen einige Beispiele von http://openpacket.org, einer sehr guten Quelle für ganz unterschiedliche Szenarien, und zwei Dateien von http://evilfingers.com. Das Wiki von Networkminer [4], einem Analyseprogramm unter Windows, führt eine ausgezeichnete Liste von PCAP-Sites. Die PCAPs dieses Artikels wurden mit Snort 2.7 unter Ubuntu 9.04 erzeugt, mit den Emerging-all-Regeln von http://emergingthreads.net.

Wenn Sie mit Davix experimentieren wollen, starten Sie es im grafischen KDE-Modus und weisen der virtuellen Maschine mindestens 1 GByte RAM zu. Damit ist eine gute Performance des Snort-IDS gewährleistet, das System hat aber noch genug Reserven für die Visualisierungsprogramme.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

OpenSSL

Als Protokoll ist SSL/TLS täglich im Einsatz. Mozilla und Google haben kürzlich erklärt, dass mehr als 50 Prozent der HTTP-Verbindungen verschlüsselt aufgebaut werden. Googles Chrome soll ab 2017 sogar vor unverschlüsselten Verbindungen warnen, wenn Sie dort sensible Daten eingeben können. In unserem Security-Tipp werfen wir einen Blick hinter die Kulissen von OpenSSL und zeigen dessen vielfältige Möglichkeiten auf. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Distro

Welche Linux-Distribution setzen Sie vorwiegend auf dem Server ein?

  • Arch Linux
  • CentOS
  • Debian
  • Fedora
  • openSUSE
  • Oracle Linux
  • Red Hat Enterprise Linux
  • SUSE Linux Enterprise Server
  • Ubuntu
  • andere Linux-Distribution
  • FreeBSD
  • OpenBSD

Google+

Ausgabe /2017

Microsite