Intrusion Detection visualisiert

tasosk, 123RF

Immer im Bild

Intrusion-Detection-Systeme überfrachten sicherheitsbewusste Administratoren oft mit einer Fülle an Informationen. Die Visualisierung des mitgeschnittenen Traffic verschafft bessere Orientierung.
High Availability lässt sich heute mit günstiger Hardware und einer großen Auswahl an kommerzieller sowie freier Software realisieren. ADMIN erklärt die ... (mehr)

In der Flut von Daten, die ein Intrusion Detection System (IDS) produziert, entgeht dem Auge des Security-Experten leicht eine verräterische Spur. Visualisierungstools können dabei helfen, sich darin zu orientieren und leichter Anzeichen für einen Einbruch zu entdecken.

Viele Programme verwenden PCAP, die Packet Capture Library, um Netzwerktraffic mitzuschneiden. Einige können diese Daten in einer PCAP-Datei speichern, die sich dann mit anderen Tools einlesen und analysieren lässt. Daher eignen sich PCAP-Dateien gut dazu, IDS-Daten zu speichern und wiederzugeben.

Grundlage: Snort

In diesem Artikel sollen PCAP-Files die Basis darstellen, um Visualisierungstools zu testen. Für jedes Szenario wird die Ausgabe des Snort-IDS [1] der entsprechenden Visualisierung gegenübergestellt. Die Testkandidaten sind dabei Netgrok, Afterglow, Rumint, TNV und Etherape. Die meisten davon befinden sich auf der Live-CD Davix [2], einem Slax-basierten Linux, das sich auf Security-Visualisierung spezialisiert hat.

Es ist am einfachsten, die Davix-CD herunterzuladen und zu booten, wenn Sie die Beispiele dieses Artikels nachvollziehen wollen. Um die Tools in Ihrer Standard-Distribution zu installieren, folgen Sie den Anweisungen der jeweiligen Projekt-Homepage. Die Beispiel-PCAP-Dateien finden Sie auf der Homepage des Admin-Magazins [3].

Sie sollten schon einige Kenntnisse über Intrusion-Detection-Systeme mitbringen, inbesondere über das Snort-IDS. Kennen Sie sich damit noch nicht so gut aus, schauen Sie sich die Dokumentation auf der Snort-Homepage mal etwas genauer an. Mittlerweile gibt es auch schon einige Bücher über Snort.

Datenquellen

Neben selbst aufgenommenen Paket-Captures stammen einige Beispiele von http://openpacket.org, einer sehr guten Quelle für ganz unterschiedliche Szenarien, und zwei Dateien von http://evilfingers.com. Das Wiki von Networkminer [4], einem Analyseprogramm unter Windows, führt eine ausgezeichnete Liste von PCAP-Sites. Die PCAPs dieses Artikels wurden mit Snort 2.7 unter Ubuntu 9.04 erzeugt, mit den Emerging-all-Regeln von http://emergingthreads.net.

Wenn Sie mit Davix experimentieren wollen, starten Sie es im grafischen KDE-Modus und weisen der virtuellen Maschine mindestens 1 GByte RAM zu. Damit ist eine gute Performance des Snort-IDS gewährleistet, das System hat aber noch genug Reserven für die Visualisierungsprogramme.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Workshop: Performance-Optimierung von Red Hat Enterprise Linux

Hegen IT-Verantwortliche den Wunsch nach Performance-Gewinnen für die Server-Infrastruktur, ist dies unzureichender Leistung geschuldet oder fehlendem Platz für die Hardware-Erweiterung. Denn mehr Rechenpower lässt sich auf zwei Arten erzielen: Investitionen in zusätzliche Hardware oder die bessere Nutzung vorhandener Ressourcen. Letzteres erfordert einiges an Know-how und erfordert eine genaue Analyse der vorhandenen Umgebung. Dieser Artikel beschreibt die Optimierung von I/O, Netzwerk und CPU auf Basis von Red Hat Enterprise Linux. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Cloud Computing

Cloud Computing ist für mich

  • ein Buzzword ohne konkrete Auswirkungen auf meine Arbeit.
  • eine sinnvolle Technologie, die ich allerdings so bald nicht einsetzen werde.
  • eine interessante Technologie, die ich bereits praktisch evaluiere.
  • Alltag - ich setze heute bereits Clouds produktiv und erfolgreich ein.
  • alter Wein im neuen Schlauch. Was ist der Unterschied zu Virtualisierung?

Microsoft Azure