Open Source im professionellen Einsatz
Linux-Magazin 10/2015
© Knud Nielsen, 123RF

© Knud Nielsen, 123RF

Mit Host-based Intrusion Detection Systems Einbrüche erkennen

Haltet den Dieb!

Wer hat von meinem Tellerchen gegessen? – fragten die sieben Zwerge einst. Das moderne IT-Schneewittchen ist nicht auf Mundraub spezialisiert, sondern stiehlt und sabotiert auf tückischste Art. Host-based Intrusion Detection Systems setzen kleine und große Admins wenigsten darüber in Kenntnis, was los war.

760

Wenn es existenziell auf die Sicherheit ankommt, dann stehen Computer in einem Bunker und haben keine Netzverbindung nach draußen. Wer mit weniger wichtigen Dingen als Atomraketen befasst ist, muss IT-Security kompromissbereiter angehen – und bezahlt mit der Ungewissheit, ob Angreifer ins Innerste durchgedrungen sind.

Doch der Hüter eines Host ist nicht schutzlos. Neben den üblichen Vorsichtsregeln (Dienste-Minimalismus, Updaten, Härten, Firewalls, Dokumentieren, …) bieten sich Einbruchserkennungssysteme an (siehe Kasten "NIDS, IPS, HIDS"). Ein Host-based Intrusion Detection System (HIDS) automatisiert ein überschaubares Bündel von manuellen Verfahren, die einen Einbruch helfen zu erkennen:

  • Veränderungen im Dateisystem,
  • Analyse von Logfiles,
  • Suche nach Schadsoftware.

Grundlage ist die Annahme, dass jeder Angreifer Spuren hinterlässt. Die Forensik spricht hierbei vom Locard'schen Prinzip: Durch eine Interaktion entsteht immer eine Veränderung. Die Kunst ist, diese Veränderung zu erkennen und die richtigen Schlüsse aus ihr zu ziehen. [1]

NIDS, IPS, HIDS

Wenn die Alarmanlage schrillt, so die Theorie, kriegt die Hausbewohner mit, dass gerade ein Einbrecher am Werk ist. Übertragen auf die Welt der Computer ist ein Network Based Intrusion Detection System (NIDS) eine Anlage, die still den Admin alarmiert. Der kann sich umgehend an den Rauswurf des Angreifers machen.

Ein Intrusion Prevention System (IPS) zieht dagegen automatisch vor dem mutmaßlichen Täter die Zugbrücke hoch, zum Beispiel indem es Firewallregeln anpasst – sei es mit einer Vollblockade oder durch Umleiten zu einem Honeypot, wo sich der Einbrecher in Ruhe austoben soll. Schließlich könnte der Admin beim Beobachten des schändlichen Treibens lernen, wie seine Feinde agieren und damit die Sicherheit seiner Systeme verbessern.

Durchwühlte Schränke und geborstene Fensterscheiben zu inspizieren, ist zugegeben ein vergleichsweise spätes Erkennungsverfahren für Einbrüche. Genau dies tut jedes Host Based Intrusion Detection System (HIDS) und ist wegen der Annahme, dass der zu spät Gekommene vom Leben bestraft würde, wenig populär. Diese Haltung beachtet nicht, dass anders als Wohnungseinbrecher Computercracker keine offensichtlichen Spuren hinterlassen. Ohne ein HIDS erfahren die Gehackten nie, dass sie ungebetenen Besuch hatten. Durch die Information, was der Angreifer geändert hat, weiß jeder Admin auch, wo er nach Schadcode suchen muss. Das hilft bei der forensischen Analyse des Systems und beim Fixen der Sicherheitslöcher.

Änderungen im Dateisystem

Vermutlich ist es ein orgiastischer Erfolgsmoment für einen Cracker, wenn er zum Beispiel über einen Buffer-Overflow in ein fremdes System eindringt. Nun beginnt für ihn aber die dröge Arbeit: Da er nicht weiß, ob und wann ihn ein Update aussperren wird, muss er ein Rootkit als komfortablen Zugang installieren.

Dabei bringt er zusätzliche Software in das System und führt sie aus, was dem Systemverwalter per »ps« auffallen kann. Die geöffneten Netzwerkports, über die eine Fernsteuerung läuft, zeigt »netstat« an. Ein Angreifer muss also verhindern, dass sein Programm in den Ausgaben gängiger Admintools auftaucht.

Dafür existieren Strategien, die traditionelle tauscht einfach die Programmdateien von »ps« , »netstat« und Co. aus. Modernere, so genannte Kernelrootkits, installieren ein eigenes Kernelmodul, dass die Sichtbarkeit der Rootkit-Prozesse bereits im Kernel blockiert.

Frech vom Eindringling ersetzte Linux-Tools könnte der Admin an den veränderten Modification- und Creation-Zeiten, den Dateigrößen oder anderen Inodes der Binaries erkennen. In der Praxis wird ihm dies nie auffallen, weil die manuelle Kontrolle viel zu aufwändig wäre. Genau dafür bieten die klassischen HIDS Tripwire ([2], das Linux-Magazin hatte 2001 dazu einen erschöpfenden Fünfteiler veröffentlicht), Aide [3] oder das neuere Afick [4],[5] ihre Dienste an.

Die Syntax der Konfigurationsdateien der drei Tools ähnelt sich. Das in Perl geschriebene Afick wirbt sogar mit seiner Tripwire-Kompatibilität. Alle drei Tools legen bei ihrem ersten Durchlauf eine Liste über relevante Dateien und deren Modification- und Creation-Zeiten, Größe, Inode-Nummer, Berechtigungen und so weiter an. Der Vergleich mit späteren Läufen soll zwischenzeitlich stattgefundene Hacks aufdecken.

Hash mich

Fähige Angreifer konstruieren ihr Schadprogramm aber so, dass die Dateigröße identisch ist, setzen Zugriffszeiten mit »touch« identisch, erhalten Dateirechte und packen geänderte Datei in denselben Inode (»cat newps > ps« ). Daher merken sich Dateisystem-HIDS neben den sichtbaren Daten auch den Hashwert der Datei (siehe Hashfunktionen-Artikel in dieser Ausgabe).

Aide erlaubt sogar mehrere Hashverfahren parallel anzuwenden, um Kollisionen noch weniger wahrscheinlich zu machen: Für MD5 beträgt sie rechnerisch unter 2-64, für SHA-256 unter 2-128, die Wahrscheinlichkeit für eine Kollision in beiden Verfahren gleichzeitig damit unter 2-192, also rund 1,5*10-58. Zum Vergleich: Bei Lotto 6 aus 49 den Jackpot zu gewinnen hat eine Wahrscheinlichkeit von 7*10-9.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Samhain 3.0.0 verwendet Inotify

    Die freie Intrusion-Detection-Software Samhain ist in Version 3.0.0 erhältlich.

  • Rootkits

    Rootkits ermöglichen es Angreifern, einen Rechner komplett zu kontrollieren. Dieser Beitrag beschreibt die Tricks, mit denen sich Eindringlinge Zugang zum Linux-Kern verschaffen. Daneben gibt er eine Anleitung, wie man den Kernel gegen solche Angriffe härtet.

  • SIM-IDS mit Prelude

    Das hybride Security-Information-Management-System (SIM) Prelude empfängt sowohl Host- als auch Netzwerk-basierte IDS-Meldungen und zeigt diese in einem übersichtlichen Webinterface an. Selbst komplexe, korrelierte Alarme von unterschiedlichen Endgeräten mit eigenen Plugins sind da kein Problem.

  • Einführung

    Ganz ohne konkreten Anlass macht Sysadmin-Kolumnist Charly ab und an einen kleinen Rundgang um seine Server und schaut nach Angreifern. Dafür hat er ein kleines Instrumentarium paratliegen.

  • Bitparade

    Wer Logdateien überwachen möchte, könnte zu einem dicken Hund wie Nagios oder Icinga greifen. Doch auch leichtgewichtige Alternativen wittern Bedrohungen, lassen sich aber wesentlich flotter einrichten. Das Linux-Magazin geht mit fünf dieser kleinen Wachhunde auf den Trainingsparcours.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.