Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 17. September 2001, 00:00

Intrusion Detection am Beispiel von Snort (Teil 1)

Diese Ausarbeitung entstand nicht ohne Grund. Erstens mal trifft sie im Ganzen das Interessengebiet der beiden Autoren und zweitens gibt es kaum deutsche Ausarbeitungen zum Thema Intrusion Detection im Allgemeinen und zu Snort im Besonderen.

Vorwort

Snort wurde zwar schon in mehreren Artikeln in Fachzeitschriften näher behandelt (siehe [2] und [1]), die Autoren sind aber der Ansicht, dass bisher kein Artikel besonders ausführlich auf die Konfiguration eingegangen ist. Allerdings soll das nicht heißen, dass dieser Artikel vollständig ist. Wie viele andere Programme aus dem Open-Source-Bereich ist auch Snort einer fortschreitenden Entwicklung unterworfen. Neue Features werden wahrscheinlich schon nach Vollendung dieses Artikels implementiert sein. Bei Bedarf sind die Autoren aber gern bereit, ein Snort monthly herauszubringen ;). Für neue Features wird zudem in zukünftigen Artikeln mehr als genug Platz sein.

Ein zweiter Anlass war die Vorlesung »Netzwerksicherheit« des Studienganges Informatik an der Fachhochschule Brandenburg unter der Leitung von Prof. Dr. Barbara Wiesner, die das Interesse der Autoren noch weiter anstachelte, um letzten Endes diese Ausarbeitung zu bekommen. Letztere erhebt nicht den Anspruch, vollständig zu sein, perfekt zu sein und auch nicht gut geschrieben zu sein. Kritik, Anmerkungen aber auch Lob sind bei den Autoren sehr willkommen und erwünscht.

Kein Artikel dieses Ausmaßes kann geschrieben werden, ohne dass dafür Zeit geopfert werden muss. Die Autoren haben sehr viel Zeit in diesen Artikel investiert, nicht um einer guten Note willen, sondern des eigenen Interesses wegen. Aus diesem Grund möchten die Autoren den Menschen danken, die am meisten unter der am Computer verbrachten Zeit leiden mussten, danken. Mathias Meyer dankt hier Järdis Anderson, die trotz langen Abenden vor der Bildröhre immer eine Schulter zum Anlehnen hatte und viel Geduld ob des neuen Interessengebietes und des Euphorismus zeigte. Alexis Hildebrandt möchte Zoltan Toth danken, der ihm trotz der vor dem Rechner verbrachten Zeit immer ein leckeres Essen kochte und sich immer fragte, warum diese Ausarbeitung nicht in Word geschrieben wurde.

Es gibt aber auch Personen, die keinen direkten Einfluss auf diesen Artikel hatten, die den Autoren aber durch andere Dinge hilfreich zur Seite standen (bildlich gesehen). Auch diese sollen hier nicht unerwähnt bleiben.

  • Martin Roesch
    Zweifellos eine wichtige Inspiration für diesen Artikel, da in seinem Kopf die Idee zu Snort entstand und auch umgesetzt wurde.
  • Olaf Schreck
    Sein fachlicher Rat in Bezug auf Netzwerke und Intrusion Detection hat uns sehr geholfen.
  • W. Richard Stevens
    Seine grandiosen Bücher, z.B. TCP/IP Illustrated oder Unix Network Programming, haben uns sehr viel Wissen vermittelt und werden dies wohl in Zukunft auch noch tun, da sie sehr umfangreich sind und definitiv in jedes Bücherregal gehören.
  • Donald E. Knuth
    Gibt es etwas, womit dieser Mann sich noch nicht beschäftigt hat? In seinem Kopf ist TEX entstanden, wofür ihm die Autoren am dankbarsten sind, da diese Ausarbeitung damit entstanden ist und keine Ausarbeitung mehr mit etwas anderem entstehen wird, und er hat die Trilogie The Art of Computer Programming geschrieben. Welcher Informatik-Student erinnert sich zudem nicht mit Freuden an Knuth-Morris-Pratt, den legendären Pattern Matching Algorithmus?
  • Matthias Kalle Dalheimer
    Gibt es ein Buch bei O'Reilly, das noch nicht von ihm übersetzt wurde? Besonderer Dank gilt ihm aber hauptsächlich für LATEX- kurz&gut

Um den Leser nicht weiter mit Ausschweifungen zu langweilen, fahren wir lieber mit dem eigentlichen Inhalt dieses Artikels, mit der Intrusion Detection, fort.

1Grundlagen der Intrusion Detection

1.1Einführung in den Begriff

Mit der wachsenden Verbreitung des Internets privat und im Geschäftsleben wächst auch der Bedarf an Sicherheit. Vornehmlich Firmen-Netzwerke sind vielen Angriffs-Versuchen sowohl von innen als auch von außen ausgesetzt. Ein Packet Sniffer kann hier Abhilfe schaffen, indem er den gesamten Netzwerk-Verkehr protokolliert. Aber es kann nicht die Aufgabe des System- bzw. Netzwerk-Administrators sein, den Tag mit der Analyse der protokollierten Daten zu verbringen und etwaige Angriffe zu erkennen, zumal er dafür auch noch die spezifischen Merkmale der Unmengen möglicher Angriffe zur Hand oder besser im Kopf haben müsste. Hier helfen sogenannte Intrusion Detection Systeme weiter, die den Netzwerkverkehr mittlerweile in Echtzeit analysieren und anhand bestimmter Regeln etwaige Angriffe erkennen und bei Bedarf Aktionen ausführen, um den Angriff abzuwenden, ihn zu protokollieren oder den Administrator zu benachrichtigen.

Hier stellt sich aber zuerst die Frage, was eine Intrusion überhaupt ist. Heberlein, Levitt und Mukherjee von der University of California, Davis haben sie 1991 in [3] wie folgt definiert: Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren. Allgemeiner gefasst kann man eine Intrusion als eine Verletzung der Sicherheitsmaßnahmen eines Systems verstehen. Intrusion Detection ist noch ein sehr junges Gebiet der IT-Sicherheit und ist im allgemeinen der Versuch, Methoden zu entwickeln, mit denen Angriffe auf Rechnersysteme erkennbar sind. Frühe Intrusion Detection Systeme versuchten dies anhand der Analyse der vom Betriebssystem zur Verfügung gestellten Protokolldateien, den sogenannten Auditdaten, die dem Administrator meistens auch zur Verfügung stehen. Dass diese Methode stark verbesserungswürdig ist, liegt auf der Hand. Eine andere Möglichkeit, die auch heute ihren Zweck nicht verfehlt, ist die Überprüfung der Integrität von Dateien mit Hilfe von Tripwire, welches unter [4] zu finden ist und dessen Zweck es ist, sicherzustellen, dass Dateien nicht verändert wurden. Heutzutage kommt es nicht nur auf die Analyse von Protokolldaten eines Hosts an, sondern auf die effektive Analyse von teilweise sehr großem Netzwerkaufkommen.

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung