Intrusion Detection mit AIDE

Intrusion Detection mit AIDE

25. Juni 2004 - Ein Server verhält sich ungewöhnlich. Hacker oder nur eine volle Festplatte? AIDE gibt die richtige Antwort.
Artikel erschienen in IT Magazine 2004/13

Nichts ist sicher, so lautet ein Grundsatz für Serveradministratoren. Sobald man eine Maschine ans Internet hängt, startet man einen Wettlauf zwischen Administrator und potentiellen Angreifern.
So ist die beste Freundin eines Serveradministrators wohl oder übel Paranoia. Denn bei der grossen Anzahl von täglich auftauchenden Sicherheitslücken oder der teils komplexen Konfiguration einiger Software, muss man immer damit rechnen, dass eine kleine Ritze offen bleibt, durch die sich ein Angreifer Zutritt zum System verschaffen kann. Verhält sich dann ein System aus irgendeinem, vielleicht sogar harmlosen Grund etwas anders, muss untersucht werden, ob es sich nur um eine Amok laufende Software, eine vollgelaufene Festplatte oder einen Angreifer handelt, dessen Rootkit sich bereits still und heimlich im Kernel eingenistet hat.




Genauso, wie es Intrusion-Detection-Systeme für Netzwerke gibt, existieren auch derartige Lösungen für einzelne Server. Diese Software kann bei der Analyse und Verifizierung von Systemzuständen helfen. Zu dieser Klasse der Host-based-Intrusion-Detection-Systeme gehört auch das freie AIDE, das den designierten Nachfolger des Urgesteins Tripwire darstellt.


Schlank und schnell

Die Funktionsweise von AIDE, was für Advanced Intrusion Detection Environment steht, ist vergleichsweise einfach: In einer zentralen Konfigurationsdatei (aide.conf) werden die zu überwachenden Verzeichnisse und Dateien spezifiziert. Dabei lassen sich unter anderem die Rechte, Inode-Nummern, Benutzer- und Gruppenzugehörigkeit oder die Dateigrösse überwachen. Dazu gibt es noch weitere Optionen, welche die Zustände der Datei genauer unter die Lupe nehmen.





Anhand dieser Konfigurationsdatei wird eine Datei erzeugt, welche kryptografische Prüfsummen aller definierten Dateien und Ordner enthält. Dabei wird einer der folgenden Hashing-Algorithmen verwendet: SHA1, MD5, RMD160 oder Tiger. Sobald dieser Vorgang abgeschlossen ist, der meist nur wenige Sekunden dauert, ist AIDE einsatzbereit. Mit einem aide --check lässt sich dann die Integrität des Systems verifizieren. Werden Unterschiede zum Hash-File gefunden, berichtet AIDE diese.
Bei der Erstellung der Konfigurationsdatei ist darauf zu achten, dass häufig wechselnde Verzeichnisse und Dateien von der Überwachung ausgeklammert werden. Dazu gehören beispielsweise /home oder /var/spool/mail. Das Log-Verzeichnis /var/log, in dem sich Dateien ebenfalls häufig ändern, kann man dagegen mit einer angepassten Regel überwachen. Logfiles haben es nämlich an sich, zu wachsen und rotiert zu werden. Dies lässt sich mit den Einstellungen berücksichtigen, womit auch die Logfiles überwacht werden. Sollte ein Angreifer seine Spuren verwischen wollen, indem er die Logfiles frisiert, kann auch dies entdeckt werden.

 
Seite 1 von 2

Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER