Intrusion Detection und Prevention mit Snort 2 & Co.

Hans-Joachim Baader (hjb)

Cover des Buchs

Einbrüche auf Linux-Servern erkennen und verhindern ist, was das Buch laut seinem Untertitel vermitteln will. Open-Source-Tools sind dafür das Mittel der Wahl.

Die vorliegende zweite Auflage enthält mehr Änderungen gegenüber der ersten, als man vermuten würde. Denn wie der Autor im Vorwort schreibt, hat sich sehr viel getan seit der ersten Auflage, die vor über zwei Jahren erschien. Die beschriebenen Open-Source-Tools werden sehr schnell weiterentwickelt und neue Tools sind hinzugekommen. Daher hat sich Ralf Spenneberg entschlossen, das Buch in wesentlichen Teilen zu überarbeiten. Neben neuen Tools wird in dieser Auflage Wireless LAN mit einbezogen, speziell mit dem Tool Snort-Wireless, zugleich wird viel mehr Wert auf die Einbruchsprävention gelegt, die in der ersten Auflage nur in Ansätzen angesprochen wurde.

Das über 800 Seiten starke Buch ist in sieben Teile gegliedert.

Teil I enthält die Kapitel 1-6 und klärt zunächst die Begriffe Intrusion und Intrusion Detection. Intrusion ist demnach viel allgemeiner zu verstehen, als viele annehmen - nicht nur das Eindringen in ein System ist Intrusion, sondern im Grunde alle Aktivitäten und alle Zugriffe, die nicht erlaubt sind. Intrusion Detection besteht aus den drei Teildisziplinen Angriffs-/Einbruchserkennung, Missbrauchserkennung und Anomalie-Erkennung. Daneben ist noch die Intrusion Prevention zu nennen, also die Verhinderung von Intrusion, der der Autor in den späteren Teilen breiten Raum einräumt. Schon in diesem Teil, der 60 Seiten lang ist, werden, wenn auch nur kurz, rechtliche Aspekte der Intrusion Detection angesprochen - ein Punkt, den man nicht vernachlässigen darf.

Teil II enthält die Kapitel 7-10, die sich jeweils einer Klasse von IDS widmen. In Kapitel 7 geht es darum, ein IDS selbst zusammenzustellen. Das bedeutet die Anwendung grundlegender Tools wie iptables und ngrep, ist aber mehr zum Verständnis der Grundprinzipien als zur produktiven Verwendung geeignet. Kapitel 8 behandelt hostbasierte IDS und stellt zuerst eine Reihe von Loganalyse-Tools vor, danach die komplexeren Programme Tiger, Tripwire, Samhain und Beltane und SNARE. Es folgen in Kapitel 9 die netzwerkbasierten IDSe, namentlich Snort, das in allen Einzelheiten auf 137 Seiten vorgestellt wird, und ARPwatch. Das nächste Kapitel ist Hybrid-Intrusion-Detection-Systemen gewidmet, also IDSe, die eine Kombination der vorigen Typen darstellen. Mit Prelude scheint es nur einen Vertreter dieses Typs zu geben.

Teil III ist wesentlich kürzer als Teil II und enthält die Kapitel 11-13 mit den Themen LIDS, Systrace und Snort-Inline.

Teil IV vertieft in den Kapiteln 14-17 noch einmal die vorgehenden Themen, und zwar im Hinblick auf die Skalierung auf viele Rechner und zentrale Administration. Kapitel 14 erweitert die ohnehin schon umfangreiche Darstellung von Tripwire nochmals, Kapitel 15 baut gar ein Netz aus Snort-Sensoren auf, Kapitel 16 beschreibt einen zentralen Logserver mit dem Log-Daemon msyslogd, Kapitel 17 streift kurz Datenschutzaspekte.

Teil V besteht aus den Kapiteln 18 und 19. Kapitel 18 gibt Ratschläge zum Umgang mit einem Einbruch, Kapitel 19 gibt den Rat, aus dem Vorfall zu lernen. Beide Kapitel sind ziemlich kurz und vermutlich gibt es in anderen Werken oder Artikeln umfangreichere Informationen hierzu.

Teil VI behandelt in Kapitel 20 die Analyse eines Rechners nach einem Einbruch, in Analogie an die Methoden der Kriminalmedizin auch als forensische Analyse bezeichnet. Die Analogie ist sicher nicht abwegig, denn zum einen ist ein Einbruch meist eine Straftat, bei der man die Polizei einschalten sollte, zum anderen liegt mit dem kompromittierten Rechner bzw. einem Abbild seiner Festplatten ein »Leichnam« vor, den es zu obduzieren gilt.

Oft ist der »Leichnam« allerdings noch lebendig, und es wäre falsch, ihn in Panik abzuschalten oder vom Netz zu trennen. Spenneberg beschreibt in diesem Kapitel daher auch, wie man es besser macht und zuerst möglichst viele flüchtige Daten sichert, die nach einem Abschalten verloren wären.

Kapitel 21 beschreibt die Analyse von Netzwerkdaten, meist in dem Fall, daß ein IDS Alarm geschlagen hat. Dazu muß man eine ausreichende Menge des Netzwerk-Traffics protokolliert haben.

Der abschließende Teil VII birgt die Kapitel 22-24 und beschreibt verschiedene Honeypot-Systeme und deren Implementierung. Kapitel 22 klärt die Grundlagen, Kapitel 23 stellt zwei entsprechende freie Programme vor. Kapitel 24 beschreibt dann etwas ausführlicher den Aufbau eines echten Honeypot-Systems. Zu der Honeypot-Thematik gibt es ausführlichere Literatur, doch mit der Darstellung dieses Teils und der Online-Dokumentation kann man sich bereits selbst an ein solches System wagen.

Zehn Anhänge und ein Stichwortverzeichnis runden das Buch ab. Seltsamerweise finden sich darin keine Begriffe aus dem Umfeld von WLAN, abgesehen von Snort-Wireless.

Die dem Buch beiliegende CD hat zwei Funktionen. Zum einen enthält sie ein bootfähiges Rettungssystem auf Basis der Fedora Core 2 Rescue-CD. In dieses wurden alle im Buch besprochenen forensischen Tools integriert, so daß die CD besonders ihren Nutzen haben kann, wenn mit ihr ein kompromittiertes System gebootet wird. Zum anderen sind auf der CD für alle Interessenten die Daten des Honeynet-Projektes enthalten.

Ein Probekapitel gibt es online bei Addison-Wesley. Dort findet man auch das vollständige Inhaltsverzeichnis.

Das Buch beschreibt den »State of the Art«. Neben den namhaften Applikationen werden unzählige Zusatztools vorgestellt, die eine sinnvolle Ergänzung darstellen - sei es zur Loganalyse, zur besseren Verwaltung oder für andere Aufgaben.

»Intrusion Detection und Prevention mit Snort 2 & Co.« ist natürlich nicht das einzige Buch zu dem Thema. Von der Handvoll anderer Bücher, die mir dem Titel nach bekannt sind, ist es aber bei weitem das umfangreichste und in der Neuauflage auch das aktuellste. So viele Informationen aus erster Hand zu dem ganzen Umfeld der Intrusion Detection findet man wohl in keinem anderen Buch. Es sollte bei jedem Administrator, der Linux in Unternehmensnetzen zu verwalten hat, zum Nachschlagen im Regal stehen.

Jahr: 2. Auflage 2005
Autor: Ralf Spenneberg
Preis: 59,95 EUR (D), 61,70 EUR (A)
Umfang: 829 Seiten, mit CD
Verlag: Addison-Wesley
ISBN: 3-8273-2134-4

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Access Control Lists mit ext2 
• Tipps zum vfat-Dateisystem unter Linux