63
Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig erkennen • Network Security Monitoring im Detail verstehen und selbst durchführen • Linux-Distribution für Netzwerksicherheitsanalysen: Security Onion installieren und nutzen • Open-Source-Tools im Praxiseinsatz: Bro, Daemonlogger, Dumpcap, Justniffer, Honeyd, Httpry, Netsniff-NG, Sguil, SiLK, Snorby Snort, Squert, Suricata, TShark, Wireshark und mehr Alle Phasen des Network Security Monitoring erklärt: Erfassung, Erkennung und Analyse

Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

  • Upload
    others

  • View
    7

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

Chris Sanders/Jason Smith

Hackingmit Security OnionSicherheit im Netzwerk überwachen: Daten erfassen undsammeln, analysieren und Angriffe rechtzeitig erkennen

• Network Security Monitoring im Detail verstehen und selbst durchführen• Linux-Distribution für Netzwerksicherheitsanalysen:Security Onion installieren und nutzen

• Open-Source-Tools im Praxiseinsatz: Bro, Daemonlogger, Dumpcap,Justniffer, Honeyd, Httpry, Netsniff-NG, Sguil, SiLK, Snorby Snort,Squert, Suricata, TShark, Wireshark und mehr

Alle Phasen des

Network Security Monitoring erklärt:

Erfassung,Erkennung und

Analyse

Page 2: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

Chris Sanders/Jason Smith

Hacking mit Security Onion

60496-3 Titelei.qxp_X 08.08.16 15:33 Seite 1

Page 3: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

Chris Sanders/Jason Smith

Hackingmit Security OnionSicherheit im Netzwerk überwachen: Daten erfassen undsammeln, analysieren und Angriffe rechtzeitig erkennen

• Network Security Monitoring im Detail verstehen und selbst durchführen• Linux-Distribution für Netzwerksicherheitsanalysen: Security Onion installieren und nutzen• Open-Source-Tools im Praxiseinsatz: Bro, Daemonlogger, Dumpcap, Justniffer,Honeyd, Httpry, Netsniff-NG, Sguil, SiLK, Snorby Snort, Squert, Suricata, TShark, Wireshark und mehr

60496-3 Titelei.qxp_X 08.08.16 15:33 Seite 3

Page 4: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

Bibliografische Information der Deutschen Bibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte Daten sind im Internet über http://dnb.ddb.de abrufbar.

Alle Angaben in diesem Buch wurden vom Autor mit größter Sorgfalt erarbeitet bzw. zusammengestellt und unterEinschaltung wirksamer Kontrollmaßnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschließen. DerVerlag und der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, dass sie weder eine Garantie noch die ju-ristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, überneh-men können. Für die Mitteilung etwaiger Fehler sind Verlag und Autor jederzeit dankbar. Internetadressen oderVersionsnummern stellen den bei Redaktionsschluss verfügbaren Informationsstand dar. Verlag und Autor über-nehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertretendenUmständen ergeben. Evtl. beigefügte oder zum Download angebotene Dateien und Informationen dienen aus-schließlich der nicht gewerblichen Nutzung. Eine gewerbliche Nutzung ist nur mit Zustimmung des Lizenzinha-bers möglich.

This edition of Applied Network Security Monitoring by Chris Sanders and Jason Smith is published by arrangement with ELSEVIER INC., a Delaware corporation having its principal place of business at 360 Park Avenue South, New York, NY 10010, USA

ISBN der englischen Originalausgabe: 978-0124172081

© 2016 Franzis Verlag GmbH, 85540 Haar bei München

Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Me-dien. Das Erstellen und Verbreiten von Kopien auf Papier, auf Datenträgern oder im Internet, insbesondere als PDF,ist nur mit ausdrücklicher Genehmigung des Verlags gestattet und wird widrigenfalls strafrechtlich verfolgt.

Die meisten Produktbezeichnungen von Hard- und Software sowie Firmennamen und Firmenlogos, die in diesemWerk genannt werden, sind in der Regel gleichzeitig auch eingetragene Warenzeichen und sollten als solche betrachtet werden. Der Verlag folgt bei den Produktbezeichnungen im Wesentlichen den Schreibweisen der Hersteller.

Autor: Chris Sanders und Jason SmithProgrammleitung: Dr. Markus StäubleSatz: G&U Language & Publishing Services GmbH, Flensburgart & design:www.ideehoch2.deDruck: M.P. Media-Print Informationstechnologie GmbH, 33100 PaderbornPrinted in Germany

ISBN 978-3-645-60496-3

60496-3 Titelei.qxp_X 08.08.16 15:33 Seite 4

Page 5: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

Dieses Buch ist ein Produkt der Stärke, die ich durch Liebe gewonnen habe. Ich widme es Gott, meiner Frau Ellen und allen, die mich weiterhin lieben und unterstützen.

»Aber die auf den HERRN harren, kriegen neue Kraft, dass sie auffahren mit Flügeln wie Adler, dass sie laufen und nicht matt werden, dass sie wandeln und nicht müde werden.«

Jesaja 40:31 (Luther)

Page 6: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig
Page 7: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

7

InhaltsverzeichnisDanksagung .......................................................................................19

Die Autoren ........................................................................................21

Geleitwort ......................................................................................... 25

Vorwort ............................................................................................. 27

Zielpublikum ......................................................................................................28

Voraussetzungen ...............................................................................................29

Der Aufbau dieses Buches .................................................................................30

Hinweis zu IP-Adressen .....................................................................................32

Begleitwebsite ...................................................................................................33

Unterstützung für wohltätige Organisationen ....................................................33

Rural Technology Fund .......................................................................................33

Hackers for Charity ............................................................................................33

Kiva ......................................................................................................................................34

Hope for the Warriors® ..............................................................................................34

Autism Speaks ...................................................................................................34

Kontakt ..............................................................................................................35

1. Network Security Monitoring in der Praxis .................................. 37

1.1 Kernbegriffe des Network Security Monitoring .......................................39

1.1.1 Schützenswerte Güter ............................................................................39

1.1.2 Angreifer ................................................................................................39

1.1.3 Schwachstelle ........................................................................................40

1.1.4 Exploit ....................................................................................................40

1.1.5 Risiko .....................................................................................................40

Page 8: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

8 Inhaltsverzeichnis

1.1.6 Anomalie ................................................................................................40

1.1.7 Zwischenfall ........................................................................................... 41

1.2 Intrusion Detection ................................................................................ 41

1.3 Network Security Monitoring .................................................................42

1.4 Schwachstellen- und bedrohungsorientierte Verteidigung im Vergleich ..45

1.5 Der NSM-Zyklus: Erfassung, Erkennung und Analyse .............................46

1.5.1 Erfassung ...............................................................................................47

1.5.2 Erkennung .............................................................................................47

1.5.3 Analyse ..................................................................................................48

1.6 Kritik an NSM .........................................................................................48

1.7 Die Analytiker ........................................................................................49

1.7.1 Wichtige Fähigkeiten ..............................................................................50

1.7.2 Einteilung von Analytikern .....................................................................52

1.7.3 Messen des Erfolgs ................................................................................53

1.8 Security Onion .......................................................................................57

1.8.1 Installation .............................................................................................57

1.8.2 Security Onion aktualisieren ..................................................................59

1.8.3 NSM-Dienste einrichten .........................................................................59

1.8.4 Security Onion testen ............................................................................60

1.9 Zusammenfassung .................................................................................62

Teil 1: Erfassung 63

2. Die Datenerfassung planen ......................................................... 65

2.1 Applied Collection Framework (ACF) ......................................................66

2.1.1 Bedrohungen identifizieren ....................................................................67

2.1.2 Das Risiko quantifizieren .......................................................................69

2.1.3 Datenquellen identifizieren ....................................................................70

2.1.4 Die Erfassung eingrenzen.......................................................................70

Page 9: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

9Inhaltsverzeichnis

2.2 Fallstudie: Onlinehändler .......................................................................73

2.2.1 Bedrohungen der Organisation identifizieren ........................................74

2.2.2 Das Risiko quantifizieren .......................................................................75

2.2.3 Datenquellen identifizieren ....................................................................77

2.2.4 Die Erfassung eingrenzen....................................................................... 81

2.3 Zusammenfassung .................................................................................83

3. Sensoren ..................................................................................... 85

3.1 NSM-Datentypen ...................................................................................86

3.1.1 Paketdaten (FPC) ...................................................................................86

3.1.2 Sitzungsdaten ........................................................................................86

3.1.3 Statistische Daten ..................................................................................87

3.1.4 Paketstringdaten (PSTR) ........................................................................87

3.1.5 Protokolldaten .......................................................................................87

3.1.6 Alarmdaten ............................................................................................87

3.2 Sensortypen ..........................................................................................89

3.2.1 Nur Erfassung ........................................................................................89

3.2.2 Halbzyklus .............................................................................................89

3.2.3 Vollzyklus ...............................................................................................89

3.3 Sensorhardware .....................................................................................90

3.3.1 CPU ........................................................................................................ 91

3.3.2 Arbeitsspeicher ......................................................................................92

3.3.3 Festplattenplatz .....................................................................................93

3.3.4 Netzwerkschnittstellen ..........................................................................96

3.3.5 Lastenausgleich: Anforderungen für Socketpuffer .................................98

3.3.6 SPAN-Ports und Netzwerk-Taps im Vergleich ..........................................99

3.4 Das Betriebssystem des Sensors ......................................................... 104

Page 10: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

10 Inhaltsverzeichnis

3.5 Platzierung von Sensoren .................................................................... 104

3.5.1 Die richtigen Ressourcen nutzen .......................................................... 105

3.5.2 Ein- und Austrittspunkte ...................................................................... 105

3.5.3 Sichtbarkeit interner IP-Adressen ........................................................ 107

3.5.4 Nähe zu kritischen Elementen ...............................................................110

3.5.5 Sichtfelddiagramme der Sensoren aufstellen ....................................... 111

3.6 Den Sensor absichern ...........................................................................113

3.6.1 Betriebssystem- und Softwareaktualisierungen ...................................114

3.6.2 Das Betriebssystem absichern ..............................................................114

3.6.3 Eingeschränkter Internetzugriff .............................................................115

3.6.4 Minimale Softwareinstallation ..............................................................115

3.6.5 VLAN-Segmentierung ............................................................................115

3.6.6 Host-IDS ...............................................................................................116

3.6.7 Zwei-Faktor-Authentifizierung ...............................................................116

3.6.8 Netzwerk-IDS ........................................................................................116

3.7 Zusammenfassung ................................................................................117

4. Sitzungsdaten ............................................................................ 119

4.1 Flussdatensätze ................................................................................... 120

4.1.1 NetFlow ................................................................................................ 124

4.1.2 IPFIX .................................................................................................... 125

4.1.3 Andere Flusstypen ............................................................................... 125

4.2 Sitzungsdaten erfassen ....................................................................... 126

4.2.1 Hardwareseitige Generierung .............................................................. 126

4.2.2 Softwareseitige Generierung ............................................................... 127

4.3 Flussdaten mit SiLK erfassen und analysieren ..................................... 128

4.3.1 Das Packsystem von SiLK ..................................................................... 129

4.3.2 Flusstypen in SiLK ................................................................................ 130

4.3.3 Die Analysesuite von SiLK .....................................................................131

Page 11: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

11Inhaltsverzeichnis

4.3.4 SiLK in Security Onion installieren ....................................................... 132

4.3.5 Flussdaten mit Rwfilter filtern .............................................................. 132

4.3.6 Verketten von Analysetools .................................................................. 134

4.3.7 Zusätzliche Werkzeuge und Dokumentation ........................................ 138

4.4 Flussdaten mit Argus erfassen und analysieren ................................... 138

4.4.1 Architektur ........................................................................................... 139

4.4.2 Merkmale ............................................................................................. 139

4.4.3 Grundlegender Datenabruf .................................................................. 140

4.4.4 Weitere Informationen über Argus ....................................................... 142

4.5 Überlegungen zur Speicherung von Sitzungsdaten .............................. 142

4.6 Zusammenfassung ............................................................................... 144

5. FPC-Daten ...................................................................................145

5.1 Dumpcap ............................................................................................. 147

5.2 Daemonlogger ..................................................................................... 149

5.3 Netsniff-NG .......................................................................................... 150

5.4 Das passende FPC-Erfassungswerkzeug auswählen ............................ 152

5.5 Die FPC-Datenerfassung planen ........................................................... 153

5.5.1 Speicherplatz ....................................................................................... 153

5.5.2 Den Durchsatz an der Sensorschnittstelle mit Netsniff-NG und Ifpps berechnen ................................................................................... 155

5.5.3 Den Durchsatz an der Sensorschnittstelle mithilfe von Sitzungsdaten berechnen .................................................................... 156

5.6 Den Speicherbedarf für FPC-Daten senken .......................................... 159

5.6.1 Dienste ausschließen ........................................................................... 159

5.6.2 Kommunikation zwischen bestimmten Hosts ausschließen ..................161

5.7 Die Aufbewahrung der FPC-Daten verwalten ........................................ 163

5.7.1 Aufbewahrung nach Zeit ...................................................................... 164

5.7.2 Aufbewahrung nach Umfang ................................................................ 164

5.8 Zusammenfassung ............................................................................... 169

Page 12: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

12 Inhaltsverzeichnis

6. Paketstringdaten ........................................................................ 171

6.1 Was sind Paketstringdaten? ................................................................. 172

6.2 PSTR-Datenerfassung .......................................................................... 174

6.2.1 PSTR-Daten manuell generieren .......................................................... 176

6.2.2 URLsnarf .............................................................................................. 177

6.2.3 Httpry ................................................................................................... 178

6.2.4 Justniffer ...............................................................................................181

6.3 PSTR-Daten anzeigen ........................................................................... 186

6.3.1 Logstash .............................................................................................. 186

6.3.2 Rohtextzerlegung mit BASH-Tools ........................................................ 195

6.4 Zusammenfassung ............................................................................... 198

Teil 2: Erkennung 199

7. Erkennungsmechanismen, Einbruchs indikatoren und Signaturen ..................................................................................201

7.1 Erkennungsmechanismen .................................................................... 201

7.2 Einbruchsindikatoren und Signaturen ..................................................203

7.2.1 Host- und Netzwerkindikatoren ...........................................................204

7.2.2 Statische Indikatoren ...........................................................................205

7.2.3 Variable Indikatoren .............................................................................208

7.2.4 Evolution von Indikatoren und Signaturen ........................................... 210

7.2.5 Signaturen optimieren ......................................................................... 212

7.2.6 Entscheidende Kontextinformationen für Indikatoren und Signaturen .. 214

7.3 Indikatoren und Signaturen verwalten ................................................. 216

7.3.1 Einfache Verwaltung von Indikatoren und Signaturen mit CSV-Dateien .. 217

7.3.2 Masterliste der Indikatoren und Signaturen ......................................... 218

7.3.3 Revisionstabelle für Indikatoren und Signaturen ................................. 221

Page 13: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

13Inhaltsverzeichnis

7.4 Frameworks für Indikatoren und Signaturen ........................................223

7.4.1 OpenIOC ..............................................................................................223

7.4.2 STIX .....................................................................................................226

7.5 Zusammenfassung ...............................................................................228

8. Reputationsgestützte Erkennung .............................................. 229

8.1 Öffentliche Reputationslisten...............................................................230

8.1.1 Gängige öffentliche Reputationslisten ................................................. 231

8.1.2 Häufig auftretende Probleme bei der Verwendung öffentlicher Reputationslisten .................................................................................236

8.2 Automatisieren der reputationsgestützten Erkennung .........................239

8.2.1 Manuelles Abrufen und Erkennen mit BASH-Skripten ..........................239

8.2.2 Collective Intelligence Framework (CIF) ................................................245

8.2.3 Reputationsgestützte IP-Adressenerkennung mit Snort ......................249

8.2.4 Reputationsgestützte IP-Adressenerkennung mit Suricata .................. 251

8.2.5 Reputationserkennung mit Bro ............................................................254

8.3 Zusammenfassung ...............................................................................258

9. Signaturgestützte Erkennung mit Snort und Suricata ................261

9.1 Snort ....................................................................................................262

9.1.1 Die Architektur von Snort .....................................................................263

9.2 Suricata ...............................................................................................265

9.2.1 Die Architektur von Suricata ................................................................266

9.3 IDS-Engines in Security Onion austauschen.........................................268

9.4 Snort und Suricata initialisieren ...........................................................269

9.5 Snort und Suricata konfigurieren .........................................................272

9.5.1 Variablen ..............................................................................................273

9.5.2 Regelsätze definieren ..........................................................................277

9.5.3 Alarmausgabe ......................................................................................284

Page 14: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

14 Inhaltsverzeichnis

9.5.4 Snort-Präprozessoren ..........................................................................287

9.5.5 Zusätzliche Befehlszeilenargumente für den NIDS-Modus ...................288

9.6 IDS-Regeln ...........................................................................................290

9.6.1 Aufbau von Regeln ...............................................................................290

9.6.2 Optimierung von Regeln ......................................................................308

9.7 Snort- und Suricata-Alarme anzeigen................................................... 316

9.7.1 Snorby ................................................................................................. 317

9.7.2 Sguil .................................................................................................... 318

9.8 Zusammenfassung ............................................................................... 318

10. Bro ..............................................................................................319

10.1 Grundprinzipien von Bro ......................................................................320

10.2 # ausführen..........................................................................................322

10.3 Bro-Protokolle ......................................................................................322

10.4 Eigene Erkennungswerkzeuge mit Bro erstellen ..................................327

10.4.1 Dateien extrahieren .............................................................................328

10.4.2 Selektive Dateiextraktion .....................................................................330

10.4.3 Dateien aus laufendem Netzwerkverkehr entnehmen ..........................332

10.4.4 Bro-Code verpacken .............................................................................335

10.4.5 Konfigurationsoptionen hinzufügen .....................................................335

10.4.6 Darknet-Überwachung mit Bro .............................................................338

10.4.7 Das Darknet-Skript erweitern ...............................................................346

10.4.8 Die Standardverarbeitung von Benachrichtigungen aufheben .............346

10.4.9 Benachrichtigungen unterbinden, E-Mails senden und Alarme auslösen – auf die einfache Weise ........................................... 351

10.4.10 Den Bro-Protokollen neue Felder hinzufügen .......................................352

10.5 Zuammenfassung ................................................................................356

Page 15: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

15Inhaltsverzeichnis

11. Anomaliegestützte Erkennung anhand von statistischen Daten.................................................................... 357

11.1 Kommunikationsintensive Hosts mit SiLK finden .................................358

11.2 Diensterkennung mit SiLK ....................................................................362

11.3 Weitere Erkennungsmöglichkeiten mithilfe von Statistiken .................368

11.4 Statistiken mit Gnuplot grafisch darstellen .......................................... 371

11.5 Statistiken mit Google Charts grafisch darstellen ................................375

11.6 Statistiken mit Afterglow grafisch darstellen ........................................380

11.7 Zusammenfassung ...............................................................................386

12. Frühwarn-Honeypots zur Erkennung ......................................... 387

12.1 Frühwarn-Honeypots ...........................................................................388

12.2 Arten von Honeypots ...........................................................................389

12.3 Architektur von Frühwarn-Honeypots ...................................................390

12.3.1 Phase 1: Die zu simulierenden Geräte und Dienste bestimmen ............ 391

12.3.2 Phase 2: Die Platzierung der Honeypots bestimmen ............................ 391

12.3.3 Phase 3: Alarmierung und Protokollierung entwickeln .........................393

12.4 Honeypotplattformen...........................................................................394

12.4.1 Honeyd ................................................................................................395

12.4.2 Der SSH-Honeypot Kippo .....................................................................399

12.4.3 Tom’s Honeypot ...................................................................................404

12.4.4 Honeydocs ...........................................................................................407

12.5 Zusammenfassung ............................................................................... 410

Page 16: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

16 Inhaltsverzeichnis

Teil 3: Analyse 411

13. Paketanalyse ..............................................................................413

13.1 Gestatten: das Paket! ........................................................................... 414

13.2 Paketmathematik ................................................................................. 416

13.2.1 Hexdarstellung von Bytes .................................................................... 416

13.2.2 Hexwerte ins Binär- und Dezimalformat umwandeln ............................ 418

13.2.3 Bytes zählen ........................................................................................ 419

13.3 Pakete zerlegen ...................................................................................422

13.4 Tcpdump für die NSM-Analyse .............................................................428

13.5 Tshark für die Paketanalyse .................................................................432

13.6 Wireshark für die NSM-Analyse ............................................................437

13.6.1 Pakete erfassen ...................................................................................437

13.6.2 Das Format der Zeitanzeige ändern ......................................................439

13.6.3 Übersicht über die Paketerfassung ......................................................440

13.6.4 Protokollhierarchie .............................................................................. 441

13.6.5 Endpunkte und Konversationen ...........................................................442

13.6.6 Streams verfolgen ................................................................................443

13.6.7 E/A-Diagramm .....................................................................................444

13.6.8 Objekte exportieren .............................................................................446

13.6.9 Benutzerdefinierte Spalten hinzufügen................................................447

13.6.10 Zerlegungsoptionen für Protokolle einrichten ......................................449

13.6.11 Erfassungs- und Anzeigefilter ..............................................................450

13.7 Paketfilter ............................................................................................ 451

13.7.1 Berkeley-Paketfilter (BPF) .................................................................... 451

13.7.2 Anzeigefilter von Wireshark .................................................................456

13.8 Zusammenfassung ............................................................................... 461

Page 17: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

17Inhaltsverzeichnis

14. Aufklärung über Freund und Feind............................................. 463

14.1 Der Aufklärungszyklus für NSM ...........................................................463

14.1.1 Definition der Anforderungen ..............................................................464

14.1.2 Planung ................................................................................................465

14.1.3 Erfassung .............................................................................................466

14.1.4 Verarbeitung ........................................................................................466

14.1.5 Analyse ................................................................................................467

14.1.6 Weitergabe ..........................................................................................467

14.2 Aufklärung über eigene Elemente ........................................................467

14.2.1 Anamnese und physische Untersuchung von Netzwerkelementen ......468

14.2.2 Ein Bestandsmodell des Netzwerks aufstellen .....................................469

14.2.3 PRADS (Passive Real-Time Asset Detection System) ............................473

14.3 Aufklärung über Bedrohungen .............................................................480

14.3.1 Recherche über gegnerische Hosts ......................................................482

14.3.2 Recherche über schädliche Dateien .....................................................492

14.4 Zusammenfassung ...............................................................................500

15. Der Analysevorgang ...................................................................501

15.1 Analysemethoden ................................................................................502

15.1.1 Relationale Untersuchung ....................................................................502

15.1.2 Differenzielle Diagnose ........................................................................509

15.1.3 Umsetzen der Analysemethoden ......................................................... 517

15.2 Empfohlene Vorgehensweisen für die Analyse ..................................... 518

15.2.1 Bei Paketen können Sie sich auf nichts verlassen ................................ 518

15.2.2 Machen Sie sich klar, wie die Daten abstrahiert werden ...................... 518

15.2.3 Vier Augen sehen mehr als zwei ........................................................... 519

15.2.4 Laden Sie einen Angreifer niemals zum Tanz ein .................................. 519

15.2.5 Pakete sind von Natur aus gut .............................................................520

Page 18: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

18 Inhaltsverzeichnis

15.2.6 Wireshark macht so wenig einen Analytiker wie ein Teleskop einen Astronomen ................................................................................520

15.2.7 Klassifizierung hilft .............................................................................. 521

15.2.8 Die Zehnerregel ....................................................................................522

15.2.9 Wenn Sie Hufe klappern hören, halten Sie nach Pferden Ausschau – nicht nach Zebras .................................................523

15.3 Morbidität und Mortalität von Zwischenfällen .....................................523

15.3.1 M&M in der Medizin .............................................................................524

15.3.2 M&M in der Informationssicherheit .....................................................524

15.4 Zusammenfassung ...............................................................................530

A. Steuerskripte für Security Onion ................................................531

A.1 Befehle auf oberster Ebene .................................................................. 531

A.2 Befehle zur Serversteuerung................................................................532

A.3 Befehle zur Sensorsteuerung ...............................................................535

B. Wichtige Dateien und Verzeichnisse von Security Onion ........... 539

B.1 Anwendungsverzeichnisse und Konfigurationsdateien ........................539

B.2 Verzeichnisse für Sensordaten ............................................................. 541

C. Paketheader .............................................................................. 543

D. Umrechnungstabelle Dezimalzahlen/Hex/ASCII......................................................... 549

Stichwortverzeichnis .......................................................................551

Page 19: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

19

Danksagung

In 2. Korinther 12, 9 heißt es: »Und er hat zu mir gesagt: Lass dir an meiner Gnade genügen; denn meine Kraft ist in den Schwachen mächtig. Darum will ich mich am allerliebsten rühmen meiner Schwachheit, auf dass die Kraft Christi bei mir wohne.«

Dass ich in der Lage war, dieses Buch zu schreiben, legt Zeugnis davon ab, dass Gottes Kraft in den Schwachen mächtig ist. Es war das schwierigste Projekt, das ich jemals in An-griff genommen habe, und es war mein Glaube an Gott, der mich durchhalten ließ. Seine Hilfe hat dieses Buch und alle meine anderen Projekte möglich gemacht. Ich hoffe sehr, dass mein Werk Zeugnis von seiner großartigen Macht ablegen kann.

Dieses Buch war nur dank der direkten und indirekten Beiträge vieler Menschen möglich. Ich möchte diese Gelegenheit nutzen, ihnen zu danken.

Ellen, du bist meine Liebe, meine Stütze, meine Stärke und mein größter Fan. Nichts von alldem wäre ohne dich möglich gewesen. Ich möchte dir dafür danken, dass du den Stress, die Verzweiflung, die hektischen Stunden und den allgemeinen Wahnsinn ertragen hast, die mit dem Schreiben eines Buches verbunden sind. Ich möchte dir für die Hilfe danken, das Buch Korrektur zu lesen. Da konntest du endlich deinen Abschluss in Anglistik nut-zen. Ich liebe dich und bin so stolz, dein Mann zu sein.

Mama und Papa, wegen eures Einflusses bin ich der Mensch geworden, der ich bin. Alles, was ich tue, ist und bleibt eine Ehrung eures Charakters und eurer Liebe. Ich liebe dich, Papa. Ruhe in Frieden, Mama.

Familie Sanders, wir sind zwar nicht viele, aber unsere gegenseitige Liebe ist enorm und für mich so wichtig. Auch wenn wir weit voneinander entfernt leben, weiß ich, dass ihr mich liebt und mich unterstützt, und dafür danke ich euch.

Familie Perkins, es war wirklich erstaunlich, wie ihr mich in eurem Leben willkommen geheißen habt, und ich fühle mich gesegnet, dass ich eure Liebe und Unterstützung genieße.

Jason Smith, du bist buchstäblich der klügste Mensch, dem ich je begegnet bin. Du bist nicht nur ein großartiger Mitarbeiter und Co-Autor, sondern hast dich auch als großarti-ger Freund erweisen. Ich scheue mich nicht zu sagen, dass du für mich wie ein Bruder bist. Ich bin ewig dankbar für alles.

David Bianco und Liam Randall, ich kann euch nicht genug für eure Beiträge zu diesem Buch danken. Ich schätze sie weit mehr, als ihr euch vorstellen könnt.

Page 20: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

20 Danksagung

Was meine (ehemaligen und jetzigen) Mitarbeiter betrifft, war ich immer der Überzeu-gung, dass man selbst zu einer besseren Person wird, wenn man sich mit guten Menschen umgibt. Ich habe das Glück, mit den hervorragenden Menschen zusammenzuarbeiten, die zu den Besten und Brillantesten in der Branche gehören. Mein besonderer Dank gilt Jimmy, Jay, Suzanne, Teresa, John, Tom, Don, Rad, Larry, Jaime, James, Bob und Alec von der InGuardians-Familie. Ich möchte auch meine besondere Anerkennung für Mike Poor ausdrücken, der das Geleitwort zu diesem Buch geschrieben hat und zu meinen Paketninja-Idolen gehört.

Den Mitarbeitern bei Syngress möchte ich dafür danken, dass sie mir die Gelegenheit ge-boten haben, dieses Buch zu schreiben und meinen Traum wahr werden zu lassen.

Der technische Inhalt und die Richtung, die dieses Buches genommen hat, sind das Produkt von mehr Personen, als ich hier nennen kann, aber ich werde es wenigstens versuchen. Neben den bereits genannten möchte ich auch den folgenden Personen für ihre Beiträge danken, sei es die Begutachtung eines Kapitels oder die Besprechung einer Idee. Ohne euch wäre dies nicht möglich gewesen:

Alexi Valencia, Ryan Clark, Joe Kadar, Stephen Reese, Tara Wink, Doug Burks, Richard Bejtlich, George Jones, Richard Friedberg, Geoffrey Sanders, Emily Sarneso, Mark Thomas, Daniel Ruef, der Rest des CERT-NetSA-Teams, Joel Esler, das Bro-Team, Mila Parkour, Dustin Weber und Daniel Borkmann.

Chris Sanders

Page 21: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

21

Die Autoren

Chris Sanders (Hauptautor)Chris Sanders ist Berater, Autor und Forscher auf dem Gebiet der Informationssicher-heit. Ursprünglich stammt er aus Mayfield in Kentucky, das 30 Meilen südwestlich einer Kleinstadt namens Possum Trot liegt, 40 Meilen südöstlich der Gehöftansamm-lung Monkey's Eyebrow und knapp nördlich einer Kurve, die allen Ernstes den Namen Podunk trägt.

Chris ist leitender Sicherheitsanalytiker bei InGuardins. Er hat umfassende Erfahrung in der Unterstützung von Behörden und militärischen Dienststellen sowie mehrerer Fortune-500-Unternehmen. In mehreren Positionen beim US-Verteidigungsministerium hat Chris erheblich dabei geholfen, die Rolle des CNDSP-Modells (Computer Network Defense Ser-vice Provider) zu fördern und verschiedene NSM- und Aufklärungswerkzeuge zu erstellen, die zurzeit zur Verteidigung der Nation eingesetzt werden.

Chris hat mehrere Bücher und Artikel geschrieben, darunter den internationalen Best-seller Practical Packet Analysis von No Starch Press, der zurzeit seine zweite Auflage er-lebt. Außerdem ist er mit mehreren Branchenzertifizierungen ausgezeichnet worden, darunter SANS GSE und CISSP.

Im Jahr 2008 hat Chris den Rural Technology Fund gegründet. Dabei handelt es sich um eine nicht kommerzielle Organisation nach Artikel 501(c)(3), die Studenten aus länd lichen Gegenden Stipendien auf dem Gebiet der Computertechnologie verleiht. Die Organisation fördert durch verschiedene Programme auch die technologische Entwick-lung in ländlichen Gegenden. Sie hat bereits Tausende von Dollar an Stipendien und Unterstützung für Studenten aus dem ländlichen Raum bereitgestellt.

Wenn Chris nicht gerade bis zu den Knien in Paketen steckt, besucht er die Spiele der Basketballmannschaft Wildcats der University of Kentucky, betätigt sich als Grillmeister und Hobby-Drohnenkonstrukteur und verbringt viel Zeit am Strand. Zurzeit lebt er mit seiner Frau Ellen in Charleston, South Carolina.

Chris unterhält Blogs auf http://www.appliednsm.com und http://www.chrissanders.org. Auf Twitter finden Sie ihn als @chrissanders88.

Page 22: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

22 Die Autoren

Jason Smith (Co-Autor)Jason Smith arbeitet tagsüber als Intrusion-Detection-Analytiker und betätigt sich in sei-ner Freizeit als Schrottingenieur. Er stammt ursprünglich aus Bowling Green in Kentucky und hat seine Karriere mit Data Mining in umfangreichen Datenmengen und der Finite-Element-Methode als aufstrebender Physiker begonnen. Durch schieren Zufall brachte ihn sein Faible für Data Mining zu Informationssicherheit und Network Security Moni-toring, wo er der Faszination der Datenbearbeitung und Automatisierung erlag.

Jason blickt auf eine lange Tätigkeit zurück, bei der er Staats- und Bundesbehörden beim Schutz ihres Perimeternetzwerks geholfen hat. Zurzeit arbeitet er als Sicherheitsingenieur bei Mandiant. Im Rahmen seiner Entwicklungsarbeit hat er mehrere Open-Source-Projekte aufgebaut, die zu den empfohlenen Werkzeugen für das DISA-CNDSP-Programm gehören.

Seine Wochenenden verbringt er regelmäßig in der Garage, um dort alles mögliche zu bauen, von Arcade-Spielautomaten bis zu Monoposto-Rennwagen. Zu seinen anderen Hobbys gehören Hausautomatisierungstechnik, Schusswaffen, Monopoly, Gitarrespie-len und Essen. Jason liebt das ländliche Amerika, ist ein passionierter Autofahrer und wird von einem rücksichtslosen Lernwillen angetrieben. Zurzeit wohnt er in Frankfort, Kentucky.

Sein Blog finden Sie auf http://www.appliednsm.com, und er twittert als @automayt.

David J. Bianco (Mitwirkender)Bevor er Leiter des Hunt Teams bei Mandiant wurde, hat David fünf Jahre damit verbracht, ein aufklärungsgestütztes Erkennungs- und Reaktionsprogramm für ein Fortune-5-Unternehmen aufzubauen. Dabei hat er die Erkennungsstrategien für ein Netzwerk aus fast 600 NSM-Sensoren in mehr als 160 Ländern festgelegt und die Kri-senreaktion auf die schwersten Zwischenfälle geleitet hat, die es in dem Unternehmen gegeben hat, hauptsächlich gezielte Angriffe. Als Blogger, Redner und Autor ist er in der Gemeinschaft der Sicherheitsexperten aktiv.

Sie können David häufig zu Hause antreffen, wo er Doctor Who schaut, einen seiner vier Dudelsäcke spielt oder einfach mit seinen Kindern herumalbert. Er liebt lange Spazier-gänge fast überall, nur nicht am Strand.

David führt ein Blog auf http://detect-respond.blogspot.com und ist als @DavidJBianco auf Twitter unterwegs.

Page 23: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

23 Die Autoren

Liam Randall (Mitwirkender)Liam Randall geschäftsführender Teilhaber bei der Broala LLC in San Francisco, der Bera-tungsgruppe von Bro Core Teams. Er stammt ursprünglich aus Louisville in Kentucky, wo er als Systemadministrator arbeitete, während er bei der Xavier University seinen Bachelor in Informatik machte. Seine erste Arbeit auf dem Gebiet der Sicherung bestand darin, Gerätetreiber und XFS-Software für Geldautomaten zu schreiben.

Zurzeit ist er als Berater für hochvolumige Sicherheitslösungen für Fortune 50, Research and Education Networks, verschiedene Teile der Streitkräfte und andere Organisationen tätig, die sehr auf Sicherheit achten müssen. Er ist als Redner beim Shmoocon, beim Darbycon und eim MIRcon aufgetreten und gibt regelmäßig Bro-Kurse bei Veranstal-tungen zum Thema Sicherheit.

Liam ist Ehemann und Vater und verbringt seine Wochenenden damit, Wein und Käse zu machen, im Garten zu arbeiten und technische Spielereien zu reparieren. Als Liebhaber von Freiluftaktivitäten nehmen seine Frau und er an Triatholons teil, schwimmen lange Strecken und genießen die örtliche Gemeinschaft.

Liam führt ein Blog auf http://liamrandall.com und ist twittert als @Hectaman.

Page 24: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig
Page 25: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

25

Geleitwort

Eine Infrastruktur für Network Security Monitoring aufzubauen und zu betreiben ist ein anspruchsvolles Unterfangen. Chris Sanders und sein Autorenteam haben ein Grundge-rüst für NSM geschaffen und geben dem Leser einen formalen Plan an die Hand, um Network Security Monitoring in die Praxis umzusetzen.

Mittlere und große Organisationen stöhnen unter der Menge der Daten, die sie erfassen. Bei mehr als 100 Millionen Ereignissen in einigen Fällen ist es unverzichtbar, eine Überwa-chungsinfrastruktur und standardisierte Verfahren zur Hand zu haben, die sich an diese Größenordnung anpassen lassen.

Wer suchet, der findet, heißt es, aber auch der Umkehrschluss ist wahr. Ohne Analyse hat es keinen Sinn, Daten zu erfassen, und manchmal nicht einmal, sich um eine Erkennung zu bemühen. Dieses Buch gibt Ihnen die Schlüssel für die einzelnen Schritte des NSM-Zyklus an die Hand: Erfassung, Erkennung und Analyse.

In den 1930er Jahren kämpften viele Piloten aus der zivilen Luftfahrt darum, ihre Fähig-keiten für die Verteidigung des Landes einsetzen zu dürfen. Heute ist es wieder an der Zeit, dass Zivilisten eine aktivere Rolle in der Landesverteidigung übernehmen. Machen Sie sich nichts vor: Wir werden angegriffen. Produzierendes Gewerbe, Chemie, Öl und Gas, Energie und viele kritische Sektoren unserer Gesellschaft leiden unter einer Serie koordi-nierter und systematischer Angriffe. Während die Theoretiker über die Möglichkeiten zu-künftiger kybernetischer Kriegführung philosophieren, stecken die Praktiker an der Front schon bis zum Hals darin.

Ich rufe nicht zu den Waffen, sondern zur Analyse. Haben Sie einen Zwischenfall auf Root-Ebene erlebt? Dann müssen Sie Ihre Protokolle analysieren. Die meisten Netzwerk-angriffe hinterlassen Spuren, und es ist Aufgabe der Systemadministratoren, die Proto-kolle auf Spuren von Einbrüchen zu untersuchen. Allerdings muss auch der Betreiber die Protokolle überprüfen, um die Systemleistung zu verbessern und um eine Analyse für Geschäftszwecke durchzuführen. Schon die Steigerung der Leistung kann den Ertrag stei-gern, ganz zu schweigen davon, was sich mit einer geschäftlichen Analyse erreichen lässt.

Wir bei InGuardians werden zu Hilfe gerufen, wenn es darum geht, auf umfangreiche Ein-brüchen zu reagieren. Die meisten Organisationen protokollieren die relevanten Daten von wichtigen Netzwerkgeräten, Proxys, Firewalls, Systemen und Anwendungen. Diese Daten werden längere Zeit gespeichert, ohne dass das direkt zum geschäftlichen Ertrag beiträgt. In vielen Fällen können wir allein durch die Analyse der Protokolle gegenwärtige und frühere Einbrüche erkennen.

Page 26: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

26 Geleitwort

Wenn Sie das nächste Mal an Ihrer Konsole sitzen, untersuchen Sie einige Protokolle. Viel-leicht denken Sie jetzt: »Ich weiß nicht, wonach ich suchen soll.« Fangen Sie mit dem an, was Sie wissen, was Sie verstehen und was Ihnen gleichgültig ist, und verwerfen Sie es. Alles andere ist von Interesse.

Semper vigilans,Mike Poor

Page 27: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

27

Vorwort

Ich liebe es, Schurken zu fangen. Schon als Kind wollte ich das tun, auf welche Weise auch immer. Ob ich mir das nächstbeste Handtuch als Superheldencape umlegte oder ob ich mit meinen Freunden Räuber und Gendarm spielte, ich genoss die Aufregung, Bösewich-ter aller Arten der Gerechtigkeit zu übergeben. So sehr ich mich auch bemühte, es gelang mir niemals, meine Wut so zu steigern, dass ich mich in ein riesiges, grünes Monster ver-wandelte, und von wie vielen Spinnen ich auch gebissen wurde, entwickelte ich doch nie die Fähigkeit, Spinnweben aus meinen Handgelenken zu verschießen. Ich erkannte auch ziemlich schnell, das ich nicht aus dem Holz war, aus dem Gesetzeshüter geschnitzt sind.

Als mir all dies bewusst wurde und ich auch erkannte, dass ich nicht reich genug war, um mir eine Reihe extravaganter technischer Spielereien zu bauen und in einem Fledermaus-kostüm durch die Nacht zu schwirren, wandte ich mein Interesse Computern zu. Mehrere Jahre später hatte ich eine Position erreicht, in der ich meinem Kindheitstraum nachgehen konnte, Schurken zu fangen, wenn auch nicht auf die Weise, die ich mir ursprünglich vorgestellt hatte.

Ich fange Schurken durch angewandtes Network Security Monitoring (NSM). Das ist, worum es in diesem Buch geht. Der Grundsatz von NSM lautet, dass jegliche Vorbeugung irgendwann versagen wird. Wie viel Zeit Sie auch immer darin investieren, Ihr Netzwerk abzusichern, die Schurken werden eines Tages die Oberhand gewinnen. Wenn das ge-schieht, müssen Sie sowohl technisch als auch organisatorisch so aufgestellt sein, dass Sie die Gegenwart eines Eindringlings erkennen und darauf reagieren können. Sie müssen in der Lage sein, einen Zwischenfall zu deklarieren und die Angreifer aus Ihrem Netzwerk zu vertreiben, bevor sie erheblichen Schaden anrichten können.

»Aber wie kann ich schädliche Dinge erkennen?«

Der Erkenntnisweg des NSM beginnt gewöhnlich mit dieser Frage. Wissenschaftliche Er-kenntnisse entwickeln sich weiter. Noch bis in die 1980er glaubten Mediziner, dass Milch eine Behandlungsform für Magengeschwüre sei. Mit der Zeit fanden Wissenschaftler je-doch heraus, dass Magengeschwüre von dem Bakterium Helicobacter pyroli hervorgerufen werden und dass Milchprodukte ihr Wachstum sogar fördern können.1 Angebliche Fakten ändern sich, und obwohl wir gern glauben wollen, dass die meisten Naturwissenschaf-ten exakte Wissenschaften sind, ist das nicht der Fall. Jegliches wissenschaftliches Wissen beruht auf begründeten Vermutungen, für die die zum jeweiligen Zeitpunkt bestmögli-

1 Jay, C. (3. November 2008). »Why it’s called the practice of medicine«. Abgerufen von http://www.wellsphe-re.com/chronic-pain-article/why-it-s-called-the-practice-of-medicine/466361

Page 28: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

28 Vorwort

chen Daten herangezogen wurden. Wenn im Laufe der Zeit mehr Daten verfügbar werden, können sich Antworten auf alte Fragen ändern und vermeintliche Tatsachen neu definiert werden. Das gilt sowohl für die Medizin als auch für NSM.

Als ich mit der Anwendung von NSM begann, gab es leider noch nicht viele Quellen zu diesem Thema. Ehrlich gesagt, gibt es bis heute nicht viele. Abgesehen von gelegentlichen Blogs von Pionieren der Branche und wenigen ausgewählten Büchern scheinen diejeni-gen, die etwas darüber lernen wollen, sich selbst überlassen zu sein. Verstehen Sie mich nicht falsch: Es gibt massenhaft Bücher über TCP/IP, Paketanalyse und die verschiedenen Intrusion-Detection-Systeme. Das sind zwar alles wichtige Facetten des NSM, aber diese Bücher beschreiben nicht das Prinzip des Network Security Monitoring im Ganzen, eben-so wenig wie Sie aus einem Buch über Schraubenschlüssel herauszufinden lernen, warum ein Auto nicht anspringt.

Dieses Buch ist der Anwendung des NSM gewidmet. Es gibt nicht einfach einen Überblick über die Werkzeuge oder die einzelnen Aspekte des NSM, sondern es beschreibt den Vor-gang und zeigt, wie diese Werkzeuge und Aspekte in der Praxis helfen.

ZielpublikumLetzten Endes ist dieses Buch als Leitfaden dafür gedacht, wie man ein praktizierender NSM-Analytiker werden kann. Zu meinen Aufgaben in meiner Arbeitsstelle gehört auch die Ausbildung neuer Analytiker. Dieses Buch ist nicht nur als Fachbuch für die Öffent-lichkeit gedacht, sondern auch als Lehrbuch für eine solche Ausbildung. Daher bestand mein Ziel darin, dass Sie dieses Buch von vorn bis hinten lesen können, um ein grundle-gendes Verständnis der Kernprinzipien zu gewinnen.

Wenn Sie bereits als Analytiker tätig sind, hoffe ich, dass Ihnen dieses Buch eine Grund-lage bietet, Ihre Analysetechniken zu erweitern, sodass Sie noch wirkungsvoller arbeiten können, als Sie es jetzt schon tun. Ich habe mit mehreren guten Analytikern gearbeitet, die zu großartigen Analytikern werden konnten, weil sie in der Lage waren, ihre Effektivität durch einige der hier vorgestellten Techniken und Informationen zu steigern.

Die wirkungsvolle Ausübung von NSM erfordert eine gewisse Gewandtheit im Umgang mit den verschiedenen Tools. Daher werden in diesem Buch auch einige dieser Werkzeuge besprochen, z. B. das IDS Snort oder die Analysesuite SiLK, allerdings vom Standpunkt der Analytiker aus. Diejenigen, die mit der Installation und Wartung solcher Programme befasst sind, werden feststellen, dass ich dieses Thema nur streife. Stattdessen gebe ich bei Gelegenheit andere Quellen an, in denen die entsprechenden Informationen zu finden sind.

Außerdem konzentriere ich mich in diesem Buch auf kostenlose und Open-Source-Tools. Damit will ich nicht nur denen entgegenkommen, die nicht das Budget für kommerzielle Analysewerkzeuge wie NetWitness oder Arcsight haben, sondern auch die Vorteile der Verwendung von Open-Source-Tools vorführen, die von Analytikern entworfen wurden und mehr Einblicke darin geben, wie diese mit den Daten umgehen.

Page 29: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

29 Vorwort

VoraussetzungenDie erfolgreichsten NSM-Analytiker sind diejenigen, die bereits Erfahrungen in anderen Gebieten der Informationstechnologie gesammelt haben, bevor sie beginnen, auf dem Feld der Sicherheit zu arbeiten. Das liegt daran, dass sie sich dadurch schon einige Fähig-keiten angeeignet haben, die für Analytiker wichtig sind, z. B. ein Verständnis von Sys-temen oder der Verwaltung von Netzwerken. Als Ersatz für solche Erfahrung habe ich eine kurze Liste von Büchern aufgestellt, die ich sehr gern gelesen habe und die meiner Meinung nach Einsichten in einige wichtige Fertigkeiten für Analytiker geben. Ich habe mich bemüht, dieses Buch so zu schreiben, dass nicht allzu viel Vorwissen erforderlich ist, aber empfehle Ihnen trotzdem, einige der folgenden Bücher als Ergänzung zu dem Stoff in diesem Buch zu lesen.

• TCP/IP Illustrated, Vol. 1, Second Edition: The Protocols von Kevin Fall und Dr. Richard Stevens (Addison-Wesley 2011)

Grundkenntnisse in TCP/IP gehören zu den unverzichtbaren Voraussetzungen, um NSM wirkungsvoll betreiben zu können. Dieses klassische Lehrbuch von Dr. Richard Stevens wurde von Kevil Fall um die neuesten Protokolle, Standards und empfohlenen Vorgehensweisen sowie um IPv6, Sicherheitsfibeln für die einzelnen Protokolle usw. ergänzt.

• The Tao of Network Security Monitoring von Richard Bejtlich (Addison-Wesley, 2004).

Richard Bejtlich hat viele der Grundprinzipien von NSM festgelegt, weshalb ich das vorgenannte Werk und seinen Blog in diesem Buch häufig zitieren werden. Sein Buch ist zwar fast zehn Jahre alt, aber ein Großteil des Stoffes ist im Rahmen des NSM nach wie vor gültig.

• Practical Packet Analysis von Chris Sanders (No Starch Press, 2010)

Ich bin nicht über schamlose Eigenwerbung erhaben! Während das Buch von Dr. Stevens ein gründliches Nachschlagewerk zu TCP/IP darstellt, geht Practical Packet Analysis die Paketanalyse aus praktischer Sicht an, wobei Wireshark als Werkzeug der Wahl verwendet wird. Hier geht es darum, Pakete zu untersuchen, und wenn Sie sich Pakete noch nie zuvor genauer angesehen habe, empfehle ich es Ihnen als Grundlehr-buch.

• Counter Hack Reloaded von Ed Skoudis und Tom Liston (Prentice Hall, 2006)

Dieses Buch ist eines der besten allgemeinen Sicherheitsbücher, die Sie kriegen können. Es behandelt Aspekte von praktisch allem, und ich kann es jedem ganz unabhängig von seiner Erfahrung nur empfehlen. Wenn Sie noch nie auf dem Gebiet der Sicherheit gearbeitet haben, ist Counter Hack Reloaded Pflichtlektüre für Sie.

Page 30: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

30 Vorwort

Der Aufbau dieses BuchesDieses Buch ist in die drei Hauptteile Erfassung, Erkennung und Analyse für die drei Kern-gebiete des NSM gegliedert. In den einzelnen Kapiteln gehe ich auf die Werkzeuge, Tech-niken und Prozeduren des entsprechenden Gebiets ein. Als einfacher Junge vom Land aus Kentucky habe ich mich bemüht, in möglichst einfacher Sprache ohne viele Ausschmü-ckungen zu schreiben. Ich habe auch versucht, kompliziertere Vorgänge nach Möglich-keit in eine Folge nachvollziehbarer Schritte zu zerlegen. Wie bei jedem Buch, in dem es um allgemeine Prinzipien geht, werden auch hier nicht sämtliche möglichen Situationen und Grenzfälle abgedeckt. Letzten Endes besteht dieses Buch aus Theorien, die auf den Forschungsarbeiten, Erfahrungen und Meinungen der Autoren beruhen. Wenn ich daher etwas als bewährte oder empfohlene Vorgehensweise bezeichne, kann es durchaus sein, dass Ihre eigenen Forschungen, Erfahrungen und Meinungen Sie zu anderen Schlussfol-gerungen führen. Das sollte Sie nicht beunruhigen, denn schließlich ist NSM angewandte Wissenschaft.

Kapitel 1: Network Security Monitoring in der Praxis

Das erste Kapitel erklärt, was Netword Security Monitoring ist und welche Bedeutung es für die Sicherheit in der modernen Welt spielt. Hierin lernen Sie viele Kernbegriffe und Voraussetzungen kennen, die in diesem Buch verwendet werden.

Teil 1: Erfassung

Kapitel 2: Die Datenerfassung planen

Das erste Kapitel im Teil über die Erfassung gibt eine Einführung in die Datener-fassung und einen Überblick über ihre Wichtigkeit. Hier wird auch das Applied Collection Framework eingeführt, das dazu dient, anhand einer Risikobewertung Entscheidungen darüber zu treffen, welche Daten erfasst werden sollen.

Kapitel 3: Sensoren

In diesem Kapitel wird die entscheidende Hardware für das NSM vorgestellt: die Sensoren. Als Erstes erhalten Sie hier einen kurzen Überblick über die verschiedenen NSM-Datentypen und die Arten von NSM-Sensoren. Dies führt uns zu wichtigen Überlegungen für den Erwerb und die Bereitstellung der Sensoren. Am Ende bespre-chen wir die Platzierung der NSM-Sensoren im Netzwerk. Sie erfahren auch, wie Sie Sichtfelddiagramme für die Analytiker aufstellen.

Kapitel 4: Sitzungsdaten

In diesem Kapitel geht es um die Wichtigkeit von Sitzungsdaten. Außerdem erhalten Sie eine ausführliche Beschreibung der SiLK-Suite zur Erfassung von NetFlow-Daten. Außerdem sehen wir uns kurz die Argus-Suite zur Erfassung und Untersuchung von Sitzungsdaten an.

Kapitel 5: FPC-Daten

Am Anfang dieses Kapitels steht ein Überblick über FPC-Daten. Mit Netsniff-NG, Daemonlogger und Dumpcap lernen Sie verschiedene Tools kennen, um PCAP-Daten

Page 31: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

31 Vorwort

zu erfassen. Anschließend wird erörtert, wie Sie die Speicherung und Pflege von FPC-Daten planen und wie Sie die Menge der zu speichernden Daten einschränken können.

Kapitel 6: Paketstringdaten

Dieses Kapitel gibt eine Einführung in PSTR-Daten (Paketstring) und ihren WErt für die NSM-Analyse. Wir sehen uns verschiedene Methoden an, um mit Werkzeugen wie Httpry und Justniffer PSTR-Daten zu generieren. Außerdem sehen wir uns die Werk-zeuge Logstash und Kibana zur Zerlegung und Anzeige dieser Daten an.

Teil 2: Erkennung

Kapitel 7: Erkennungsmechanismen, Einbruchsindikatoren und Signaturen

In diesem Kapitel geht es um die Beziehung zwischen Erkennungsmechanismen und Einbruchsindikatoren. Wir sehen uns an, wie Indikatoren logisch gegliedert und wie sie zur Einbeziehung in ein NSM-Programm effizient verwaltet werden können. Dazu gehören ein System zur Klassifizierung von Indikatoren sowie Messgrößen, um die Genauigkeit der Indikatoren, die in verschiedenen Erkennungsmechanismen bereit-gestellt wurden, zu berechnen und zu verfolgen. Außerdem sehen wir uns die beiden Formate OpenIOC und STIX für Einbruchsindikatoren an.

Kapitel 8: Reputationsgestützte Erkennung

Der erste Typ von Erkennung, den wir in diesem Teil besprechen, ist die reputati-onsgestützte. Dabei sehen wir uns das Grundprinzip sowie verschiedene Quellen an, mit deren Hilfe Sie herausfinden können, welche Reputation ein Gerät genießt. Sie werden auch erfahren, wie Sie diesen Vorgang mit einfachen BASH-Skripten, mit Snort, Suricata, CIF und Bro automatisieren können.

Kapitel 9: Signaturgestützte Erkennung mit Snort und Suricata

Die signaturgestützte Erkennung ist die herkömmliche Vorgehensweise. Dieses Kapitel gibt eine Einführung darin und beschreibt die Verwendung der Intrusion-Detection-Systeme Snort und Suricata einschließlich einer ausführlichen Erklärung, wie Sie für diese beiden Plattformen IDS-Signaturen anlegen.

Kapitel 10: Bro

Dieses Kapitel beschreibt Bro, eine weit verbreitete anomaliegestützte Erkennungslö-sung. Wir sehen uns die Architektur und die Sprache von Bro sowie mehrere praktische Fälle an, die die Leistungsfähigkeit von Bro als IDS und als Protokollierungs-Engine veranschaulichen.

Kapitel 11: Anomaliegestützte Erkennung anhand von statistischen Daten

In diesem Kapitel besprechen wir die Verwendung von Statistiken, um Anomlien im Netzwerk zu erkennen. Dabei konzentrieren wir uns auf verschiedene NetFlow-Tools wie Rwstats und Rwcount. Außerdem sehen wir uns an, wie Sie Statistiken mithilfe von Gnuplot und der API von Google Charts grafisch darstellen können. Das Kapitel enthält auch mehrere praktische Beispiele für Statistiken, die sich aus NSM-Daten ge-nerieren lassen.

Page 32: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

32 Vorwort

Kapitel 12: Frühwarn-Honeypots zur Erkennung

Honeypots wurden ursprünglich nur zu Forschungszwecken verwendet, doch Früh-warn-Honeypots können auch als wirkungsvolles Erkennungswerkzeug dienen. Die-ses Kapitel gibt einen Überblick über die verschiedenen Arten von Honeypots und zeigt, wie Sie sie in einer NSM-Umgebung einsetzen können. Außerdem sehen wir uns mit Honeyd, Kippo und Tom’s Honeypot einige beliebte Honeypot-Anwendungen an, die sich für diesen Zweck eignen. Auch Honeydocs werden kurz angesprochen.

Teil 3: Analyse

Kapitel 13: Paketanalyse

Die wichtigste Fähigkeit eines NSM-Analytikers besteht darin, Paketdaten zu deuten und zu entziffern. Um das wirkungsvoll tun zu können, sind Grundkenntnisse über den Aufbau von Paketen erforderlich. Diese vermittelt Ihnen dieses Kapitel und stellt Byte für Byte die Felder vor, aus denen ein Paket besteht. Zur Veranschaulichung ver-wenden wir Tcpdump und Wireshark. Des Weiteren beschäftigen wir uns mit Paket-filtertechniken mithilfe von Berkeley-Paketfiltern und Wireshark-Anzeigefiltern.

Kapitel 14: Aufklärung über Freund und Feind

Die Fähigkeit, Informationen über eigene und über gegnerische Systeme einzuholen, kann bei einer Untersuchung den Ausschlag geben. Am Anfang dieses Kapitels steht eine Einführung in den klassischen Aufklärungszyklus und seine Bedeutung für NSM. Danach sehen wir uns Methoden an, um Informationen über eigene Systeme zu ge-winnen, z. B. über Netzwerkscans oder mithilfe von PRADS-Daten. Danach geht es um die verschiedenen Arten der Aufklärung über Bedrohungen und einige der grund-legenden Möglichkeiten der taktischen Aufklärung über gegnerische Hosts.

Kapitel 15: Der Analysevorgang

Im letzten Kapitel geht es um den Analysevorgang als Ganzes. Wir beginnen mit ei-ner Besprechung von zwei Analysemethoden, der relationalen Untersuchung und der differenziellen Diagnose, und geben Beispiele für beide Vorgehensweisen an. Danach geht es darum, wie Sie mithilfe von Morbiditäts- und Mortalitätsbesprechungen Er-kenntnisse aus Zwischenfällen ziehen können. Den Abschluss bildet eine Aufstellung von bewährten Vorgehensweisen für die Analyse.

Hinweis zu IP-AdressenIn den Beispielen in diesem Buch werden IP-Adressen angegeben, sowohl im Text und in den Listings als auch in den Screenshots. Sofern nicht anderes angegeben, wurden diese Adressen zufällig bestimmt. Jegliche Übereinstimmung mit tatsächlichen öffentlichen IP-Adressen ist rein zufällig und steht in keinerlei Zusammenhang mit dem Datenverkehr der Organisationen, denen diese Adressen gehören.

Page 33: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

33 Vorwort

BegleitwebsiteFür einige der Dinge, die wir gern noch in dieses Buch aufgenommen hätten, konnten wir leider keinen Platz mehr finden. Daher haben wir eine Begleitwebsite angelegt, auf der Sie weitere Überlegungen zu den verschiedenen NSM-Themen, Beispielcode und Tipps und Tricks finden. Diese Website finden Sie unter der Adresse http://www.appliednsm.com. Während der Produktion dieses Buches haben wir die Website nicht sehr oft aktualisiert, aber wir haben vor, nach der Veröffentlichung regelmäßig Beiträge zu dem Blog zu leisten. Auch Errata (zur englischen Originalausgabe dieses Buchs) werden Sie dort finden.

Unterstützung für wohltätige OrganisationenWir sind sehr stolz darauf, dass wir unsere Autorenhonorare aus diesem Buch zu 100 % den folgenden fünf Wohltätigkeitsorganisationen spenden.

Rural Technology Fund

Schüler aus ländlichen Gebieten, selbst diejenigen mit hervorragenden Abschlüssen, haben weniger Gelegenheit, sich mit Technologie beschäftigen, als ihre Kommilitonen aus den Städten und Vorstädten. 2008 hat Chris Sanders den Rural Technology Fund gegründet, der versucht, die digitale Lücke zu verkleinern, die zwischen ländlichen Ge-meinden und Städten klafft. Das wird durch ein Stipendiatsprogramm, Gemeindearbeit und die allgemeine Förderung und Befürwortung von Technologie in ländlichen Ge-genden angefast.

Unsere Stipendien sind für Schüler da, die in ländlichen Gemeinden leben, sich für Informa-tik interessieren und eine Ausbildung auf diesem Gebiet anstreben. Ein Teil der Tantiemen aus diesem Buch wird für diese Stipendien und für die Bereitstellung von Raspberry-Pi-Computern in Landschulen aufgewendet.

Weitere Informationen: http://www.ruraltechnfund.org

Hackers for Charity

HFC wurde von Johnny Long gegründet und beschäftigt freiwillige Hacker (es werden kei-ne Fragen gestellt), um ihre Fähigkeiten in kurzen »Mikroprojekten« zu nutzen, mit denen Wohltätigkeitsorganisationen geholfen werden soll, die sich keine traditionellen technischen Ressourcen leisten können. Daneben ist HFC auch in Uganda präsent, um Hilfsorganisati-onen zu unterstützen, die sich für die ärmsten Menschen der Welt einsetzen. Die Gruppe bietet kostenlose Computerkurse, technische Unterstützung, Netzwerkdienste usw. an. Sie hat bereits viele örtliche Schulen mit Computern und Schulungssoftware unterstützt. Über

Page 34: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

34 Vorwort

ihr Lebensmittelprogramm hat die HFC auch Nahrung für ostafrikanische Kinder bereit-gestellt.

Weitere Informationen: http://www.hackersforcharity.org

Kiva

Kiva ist die erste Online-Darlehensorganisation, die es ermöglicht, direkt Geld an Men-schen in Entwicklungsländern zu spenden. Die Vermittlung übernehmen dabei ortsan-sässige Institutionen. Kiva stellt die einzelnen Personen, die ein Darlehen anfordern, mit ihrer Geschichte vor, sodass die Spender wissen, mit wem sie es zu tun haben. Einfach gesagt, ermöglicht Kiva Darlehen, die Leben ändern helfen. Gelder aus dem Verkauf dieses Buches gehen ebenfalls in diese Darlehen ein.

Weitere Informationen: http://www.kiva.org

Hope for the Warriors®

Der Zweck von Hope for the Warriors® besteht darin, die Lebensqualität von 9/11-Vetera-nen, ihrer Familien und der Hinterbliebenen derjenigen zu heben, die in der Erfüllung ihrer Pflicht ums Leben gekommen sind oder dabei schwere körperliche oder seelische Schäden davongetragen haben. Hope for the Warriors® will das Selbstwertgefühl heben, die familiä-ren Bande wiederherstellen und den Mitgliedern der öffentlichen Dienste und des Militärs sowie ihren Familien Hoffnung geben.

Weitere Informationen: http://www.hopeforthewarriors.org

Autism Speaks

Autismus ist eine sehr vielschichtige Störung, die sich in verschiedenen Graden durch Schwierigkeiten in sozialen Beziehungen und der Kommunikation sowie in repetitivem Verhalten zeigt. Die US-Gesundheitsbehörde schätzt, das 1 von 88 amerikanischen Kin-dern eine Form von Autismus aufweist. Die Organisation Autism Speaks setzt sich für die Zukunft all derer ein, die mit einer der Störungen aus dem breiten Spektrum des Autismus zu kämpfen haben. Dazu finanziert sie biomedizinische Forschungen über die Ursachen, die Verhinderung, die Behandlung und Heilung vom Autismus. Außerdem bietet sie eine Interessenvertretung und Unterstützung für Familien mit autistischen Mitgliedern.

Weitere Informationen: http://autismspeaks.org

Page 35: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

35 Vorwort

KontaktMeine mitwirkenden Autoren und ich haben viel Zeit und Mühe in dieses Werk investiert, weshalb wir daran interessiert sind, von den Menschen zu hören, die es gelesen haben und ihre Gedanken darüber mitteilen möchten. Sie können all Ihre Fragen, Kommentare, Beschimpfungen und Heiratsanträge direkt an die folgenden Adressen senden:

Chris Sanders, Hauptautor

E-Mail: [email protected]

Blog: http://www.chrissanders.org; http://www.appliednsm.com

Twitter: @chrissanders88

Jason Smith, Co-Autor

E-Mail: [email protected]

Blog: http://www.appliednsm.com

Twitter: @automayt

David J. Bianco, mitwirkender Autor und Fachgutachter

E-Mail: [email protected]

Blog: http://detect-respond.blogspot.com/; http://www.appliednsm.com

Twitter: @davidjbianco

Liam Randall, fachlicher Mitarbeiter

E-Mail: [email protected]

Blog: http://liamrandall.com; http://www.appliednsm.com

Twitter: @liamrandall

Page 36: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig
Page 37: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

1Network Security Monitoring in der Praxis

Wenn ich mir den derzeitigen Zustand der Sicherheit von Systemen anschaue, die mit dem Internet verbunden sind, fühle ich mich an den Wilden Westen erinnert. Für die Amerika-ner der damaligen Zeit war der Westen eine brachliegende Ressource, ein unermessliches unentdecktes Land, in dem zahllose Gelegenheiten warteten. Als immer mehr Menschen in den Westen zogen, entstanden kleine Gemeinden, und sowohl Einzelpersonen als auch Familien konnten zu Wohlstand gelangen. Mit dem Wohlstand und dem Erfolg kam aber auch unvermeidlich das Verbrechen. Die Städte lagen weit verstreut, aber es gab keine übergreifende Durchsetzung von Recht und Ordnung. Das ermöglichte es Banden von Desperados, von Stadt zu Stadt zu ziehen und dort zu rauben und die örtlichen Ressour-cen zu plündern. Wenn es nicht gerade dem örtlichen Sheriff gelang, sie zu erschießen, wurden diese Kriminellen aufgrund der mangelnden Koordination und Kommunikation zwischen den Vertretern des Gesetzes in den einzelnen Städten nur selten gefasst.

In unserer heutigen Zeit sind wir mit einer ähnlichen Situation konfrontiert. Das Inter-net stellt ebenso ein brachliegendes Land voller Gelegenheiten dar, in dem man mit einem Domänennamen und etwas Knochenfett den amerikanischen Traum verwirklichen kann. Ebenso wie der Westen hat jedoch auch das Internet seine Banden von Desperados. Statt mit Bankräubern und Entführern haben wir es heute mit Botnetbetreibern und Browser-

Page 38: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

38 1 Network Security Monitoring in der Praxis

hijackern zu tun. Außerdem haben wir ebenfalls mit dem Problem zu kämpfen, dass die Durchsetzung von Recht und Ordnung örtlich beschränkt ist. Wir sehen einer weltweiten Bedrohung entgegen, doch jedes Land – und in manchen Fällen sogar einzelne Bundesstaa-ten – wendet seine eigenen, nicht miteinander zu vereinbarenden Gesetze an.

Das Problem im Westen bestand darin, dass die Kriminellen organisiert waren, die Ord-nungshüter dagegen nicht. Während der letzten zehn Jahre hat es auf dem Gebiet der Computersicherheit zwar erhebliche Verbesserungen gegeben, doch die Verteidiger sind immer noch dabei, den Vorsprung der Gruppen aufzuholen, die weltweite kriminelle Netzwerke betreiben. Leider lässt sich dieses Problem nicht über Nacht lösen; falls über-haupt.

Diese Tatsache erlegt die Verantwortung dafür, die Computernetzwerke und die darin ent-haltenen Daten vor Kriminellen zu verteidigen, den Einzelpersonen an der Front auf. Die wirksamste Möglichkeit dazu besteht meiner Ansicht nach in der Anwendung von Net-work Security Monitoring (»Netzwerksicherheitsüberwachung«) oder kurz NSM.

Bei dieser Methode handelt es sich um die Erfassung und Analyse von Netzwerksicher-heitsdaten. Die Informationssicherheit wird traditionell in viele verschiedene Teilgebiete aufgeteilt, aber ich persönlich bevorzuge die Kategorien, die das US-Verteidigungsmi-nisterium in seiner Anweisung 8500.21 für die Verteidigung von Computernetzwerken aufgestellt hat:

Schützen. Der Schwerpunkt dieses Gebiets liegt darauf, Systeme gegen Ausnutzung und Eindringen abzusichern. Zu den typischen Aufgaben in diesem Bereich gehören Schwachstelleneinschätzung, Risikobewertung, Vorgehen gegen Malware, Schulung des Gefahrenbewusstseins der Benutzer und andere allgemeine Maßnahmen zur Informa-tionssicherheit.

Erkennen. Hier geht es darum, laufende und frühere Sicherheitsverletzungen zu erkennen. Dazu gehören die Sicherheitsüberwachung des Netzwerks, das Aufspüren von Angriffen und das Ausgeben von Warnungen.

Reagieren. Der dritte Bereich betrifft die Reaktion auf das Auftreten einer Sicherheitsver-letzung. Diese umfasst die Eindämmung des Zwischenfalls, Netzwerk- und Hostforensik, Malwareanalyse und Berichterstattung über den Zwischenfall.

Erhalten. Im letzten Bereich geht es um die Menschen, Prozesse und Technologien im Zusammenhang mit der Verteidigung von Computernetzwerken. Hierzu zählen Verträge, Stellenbesetzung, Schulung, Entwicklung und Umsetzung von Technologien und Verwal-tung von unterstützenden Systemen.

Wie Sie sich wahrscheinlich schon gedacht haben, geht es in diesem Buch hauptsächlich um die Erkennung. Eine korrekt durchgeführte Netzwerksicherheitsüberwachung kann sich jedoch positiv auf alle Gebiete der Verteidigung von Computernetzwerken auswirken.

1 Anweisung 8500.2 des US-Verteidigungsministeriums, Umsetzung der Informationssicherheit (6. Februar 2003) – http://www.dtic.mil/whs/directives/corres/pdf/850002p.pdf

Page 39: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

39 1.1 Kernbegriffe des Network Security Monitoring

1.1 Kernbegriffe des Network Security MonitoringBevor wir in die Tiefe gehen, müssen wir zunächst verschiedene Begriffe klären, die in diesem Buch ausgiebig verwendet werden. Da es sich bei Network Security Monitoring und Netzwerksicherheit um relativ neue Zweige handelt, ist es bei vielen dieser Begriffe schwierig, allgemein gültige und präzise Definitionen zu finden. Ich habe mich an der Do-kumentation des US-Verteidigungsministeriums, der Literatur zur CISSP-Zertifizierung und anderen Texten zum Network Security Monitoring orientiert. Die Definitionen habe ich größtenteils umformuliert.

1.1.1 Schützenswerte Güter

Schützenswerte Güter sind alles in Ihrer Organisation, was für diese einen Wert hat. Das können Wertgegenstände wie Computer, Server und Netzwerkgeräte sein, aber auch Da-ten, Menschen, Prozesse, geistiges Eigentum und der Ruf der Organisation.

In diesem Buch beschäftige ich mich meistens mit den schützenswerten Gütern im Be-reich Ihres vertrauenswürdigen Netzwerks. Das kann auch Netzwerke außerhalb Ihres eigenen einschließen, die Sie als vertrauenswürdig einschätzen (z. B. von befreundeten Staaten, Tochtergesellschaften oder Partnern in der Lieferantenkette).

1.1.2 Angreifer

Ein Angreifer ist eine Partei mit den Fähigkeiten und der Absicht, Schwachstellen in einem Wert auszunutzen. Dabei sehen sich Einzelpersonen ganz anderen Angreifern ausgesetzt als große Unternehmen, und Kleinstaaten ganz anderen als Supermächten.

Angreifer lassen sich grob in zwei Kategorien einteilen, nämlich strukturierte und nicht strukturierte.

Strukturierte Angreifer nutzen formale Taktiken und Vorgehensweisen, und haben klar definierte Ziele. Dazu gehören unter anderem kriminelle Organisationen, Hacktivisten, Spionagedienste und das Militär. Gewöhnlich handelt es sich um Gruppen, wobei es je-doch durchaus vorkommen kann, dass Einzelpersonen als strukturierte Angreifer auf-treten. Ein strukturierter Angreifer verfolgt fast immer ein bestimmtes Ziel, das aus ganz bestimmten Gründen ausgewählt wurde.

Unstrukturierten Angreifern mangelt es an der Motivation, den Fähigkeiten, den strate-gischen Kenntnissen oder der Erfahrung strukturierter Angreifer. Die typischen Vertreter dieser Kategorie sind Einzelpersonen und kleine, nur locker organisierte Gruppen. Die Ziele werden meistens nur aufgrund der Gelegenheiten ausgewählt, also weil sie leicht angreifbar erscheinen.

Unabhängig von ihrem Umfang oder ihrer Natur haben alle Angriffe eines gemeinsam: Sie wollen etwas von Ihnen stehlen. Das kann Geld sein, aber auch geistiges Eigentum, Ihr Ruf oder auch einfach nur Ihre Zeit.

Page 40: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

40 1 Network Security Monitoring in der Praxis

1.1.3 Schwachstelle

Eine Schwachstelle ist ein Mangel in einer Software, einer Hardware oder einem Verfah-ren, der einem Angreifer die Möglichkeit gibt, nicht autorisierten Zugang zu einem Wert im Netzwerk zu erhalten.

Das kann beispielsweise nicht ordnungsgemäß geschriebener Code sein, der eine Aus-nutzung durch einen Pufferüberlauf ermöglicht, ein aktiver Netzwerkport in einem öf-fentlichen Bereich, der Zugriff auf ein Netzwerk bietet, oder ein schlecht konstruiertes Authentifizierungssystem, in dem ein Angreifer den Nachnamen seines Opfers erraten kann. Denken Sie daran, dass auch Menschen Schwachstellen darstellen können.

1.1.4 Exploit

Ein Exploit ist die Methode, mit der eine Schwachstelle ausgenutzt wird. Bei einer Soft-wareschwachstelle kann es sich um Exploitcode mit einer Schadroutine handeln, durch die der Angreifer über das Netzwerk Aktionen auf dem Zielsystem ausführen kann, z. B. das Öffnen einer Befehlsshell. Wenn eine Webanwendung eine Schwachstelle bei der Verarbei-tung von Ein- und Ausgaben aufweist, können Angreifer dies mithilfe von SQL-Injektion ausnutzen. Wenn sich ein Angreifer Zutritt zu einem Bürogebäude verschafft, indem er hinter einem legitimen Mitarbeiter durch die Tür schlüpft, nachdem dieser sie mit seiner ID-Karte geöffnet hat, kann man das auch als eine Art Exploit betrachten.

1.1.5 Risiko

Risikomanagement ist ein sehr weites Feld, weshalb es auch mehrere verschiedene Defini-tionen von »Risiko« gibt. Die treffendste Definition im Zusammenhang mit Network Se-curity Monitoring besagt, dass es sich beim Risiko um das Maß für die Wahrscheinlichkeit handelt, mit der ein Angreifer eine Schwachstelle ausnutzen wird. Die meisten Manager bevorzugen zwar eine quantifizierbare Größe, doch meistens ist die Quantifizierung von Risiken vergebliche Liebesmüh, da es sehr schwer ist, den Stellenwert von Netzwerken und Daten zu bestimmen.

Ich werde zwar häufig über Maßnahmen sprechen, die das Risiko für einen bestimmten Wert erhöhen oder verringern, aber nur so weit auf Berechnungen zur Quantifizierung von Risiken eingehen, wie nötig ist, um eine Strategie zur Erfassung von Risiken aufzustellen.

1.1.6 Anomalie

Eine Anomalie ist ein beobachtetes Geschehen in einem System oder Netzwerk, das au-ßerhalb des Üblichen liegt. Erkennungswerkzeuge wie Intrusion-Detection-Systeme oder Anwendungen zur Protokolluntersuchung lösen bei Anomalien Alarm aus. Anomalien können Systemabstürze, nicht wohlgeformte Pakete, unübliche Kontakte mit unbekann-

Page 41: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

41 1.2 Intrusion Detection

ten Hostcomputern oder große Datenmengen sein, die in einem kurzen Zeitraum über-tragen werden.

1.1.7 Zwischenfall

Wenn ein Ereignis untersucht wird, kann es als Teil eines Zwischenfalls klassifiziert wer-den. Ein Zwischenfall ist eine Verletzung der Computersicherheitsrichtlinien, der Richtli-nien zur akzeptablen Benutzung oder der Standardsicherheitspraktiken oder eine unmit-telbar bevorstehende Verletzung dieser Art. Einfacher gesagt: Ein Zwischenfall bedeutet, dass in Ihrem Netzwerk etwas Schlimmes passiert ist oder gerade passiert. Das kann die Übernahme eines Computers auf Root-Ebene, die Installation von Malware, ein Denial-of-service-Angriff oder die Ausführung von Schadcode aus einer Phishing-E-Mail sein. Bei Zwischenfällen treten ein oder mehrere Ereignisse auf, aber die meisten Ereignisse stehen nicht in direktem Zusammenhang zu einem Zwischenfall.

1.2 Intrusion DetectionBevor der Begriff »Network Security Monitoring« geprägt wurde, wurde das Gebiet »Erkennen« einfach als »Intrusion Detection« beschrieben, also als das »Aufspüren von Eindringlingen«. Obwohl inzwischen schon seit zehn Jahren von Network Security Mo-nitoring die Rede ist, werden diese beiden Begriffe häufig noch synonym verwendet. In Wirklichkeit aber sind sie nicht gleichbedeutend; Intrusion Detection ist nur ein Teil des modernen Network Security Monitoring.

Als das Gebiet des »Erkennens« noch ganz nach dem alten Modell der Intrusion Detection geformt war, wies es folgende Merkmale auf:

Schwachstellenorientierte Verteidigung. In dem am weitesten verbreiteten Bedrohungsmo-dell nutzen Angreifer, die in ein Netzwerk einbrechen, eine Schwachstelle in der Software aus. Da dieses Modell so einfach und klar umrissen ist, bauten die ersten Intrusion-De-tection-Programme darauf auf: Sie dienten dazu, die Ausnutzung solcher Schwachstellen zu erkennen.

Bevorzugung der Erkennung gegenüber der Erfassung. Der Schwerpunkt in diesem Gebiet lag auf der Erkennung. Es wurde zwar auch eine Datenerfassung durchgeführt, allerdings war sie häufig ungerichtet, und die Erfassungsstrategien waren nicht an den Zielen der Erken-nung ausgerichtet. Diese planlose Datenerfassung zeigte sich in Haltungen wie: »Lieber zu viele Daten als zu wenige!« und: »Erstmal alles erfassen, sortieren kann man es später.«

Größtenteils signaturgestützt. Die Ausnutzung einer Softwareschwachstelle ist oftmals eine ziemlich gleichbleibende Vorgehensweise, die sich sehr leicht in eine Signatur für ein IDS umsetzen lässt. Daher waren herkömmliche Intrusion-Detection-Systeme darauf ange-wiesen, dass die Schwachstellen bekannt waren und Signaturen für die entsprechenden Exploits entwickelt wurden.

Page 42: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

42 1 Network Security Monitoring in der Praxis

Versuche zur Automatisierung der Analyse. Das stark vereinfachende, auf Schwachstellen gestützte Modell zum Erkennen von Eindringversuchen führte zu der Vorstellung, dass man dem von einem IDS hervorgerufenen Alarm mit guter Wahrscheinlichkeit vertrauen konnte. Daher verließ man sich kaum auf menschliche Analytiker, sondern versuchte, die Analyse nach der Erkennung so weit wie möglich zu automatisieren.

Die herkömmliche Intrusion Detection war zu ihrer Zeit mäßig erfolgreich, doch bei der jetzigen Sicherheitslage ist sie nicht mehr wirkungsvoll. Der Hauptgrund dafür ist das Versagen der hauptsächlich auf Schwachstellen ausgerichteten Verteidigung.

Eine der besseren Erklärungen dafür gibt Bejtlich2. Stellen Sie sich vor, dass in mehre-re Häuser in einem Stadtviertel eingebrochen wird. Die Polizei könnte darauf reagieren, indem sie die Häuser in der Nachbarschaft mit Stacheldrahtzäunen umgibt oder dort Stahltüren und Fensterriegel einbauen lässt. Auch dies stellt eine an den Schwachstellen orientierte Vorgehensweise dar. Es ist aber kaum verwunderlich, dass man nie von solchen Maßnahmen der Strafverfolgungsbehörden hört. Der Grund dafür ist, dass entschlossene Verbrecher, die gezielt dieses Viertel aufs Korn genommen haben, einfach nach anderen Schwachstellen in den Häusern suchen werden, die sie ausnutzen können.

1.3 Network Security MonitoringNetwork Security Monitoring hat vor allem dank des Militärs Fortschritte gemacht, das nun einmal von Natur aus zu den größten Vorreitern einer verteidigungsbereiten Haltung zählt. Angesichts der ausgiebigen Nutzung von Informationstechnologie durch das Mili-tär, der Bedeutung militärischer Operationen und der hohen Vertraulichkeit der Daten in diesem Rahmen ist das auch kein Wunder.

Die IO-Doktrin3 (Information Operations) der Vereinigten Staaten besagt, dass die IO-Fähigkeiten eines Befehlshabers für folgende Ziele genutzt werden sollten:

• Zerstören: Ein System oder ein Objekt so beschädigen, dass es keine Funktion mehr ausführen und ohne komplette Neuerstellung nicht wieder in einen nutzbaren Zu-stand zurückgeführt werden kann.

• Stören: Den Informationsfluss unterbinden oder unterbrechen.

• Schwächen: Die Effektivität oder Effizienz von feindlichen Führungs-, Lage- und Kommunikationssystemen sowie Maßnahmen zur Informationsgewinnung herabset-zen. IO kann auch die Moral einer Einheit senken, den Wert eines Ziels verringern oder die Güte der Entscheidungen und Aktionen des Gegners verschlechtern.

• Verweigern: Den Gegner daran hindern, auf wichtige Informationen, Systeme und Dienste zuzugreifen und sie zu nutzen.

2 Bejtlich, Richard, TaoSecurity-Blog, »Real Security is Threat Centric« (November 2009), http://taosecurity.blogspot.com/2009/11/real-security-is-threat-centric.html

3 Veröffentlichung 3-13 des US-Verteidigungsministeriums, »Information Operations« (13. Februar 2006), http://www.carlisle.army.mil/DIME/documents/jp3_13.pdf

Page 43: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

43 1.3 Network Security Monitoring

• Täuschen: Personen etwas glauben lassen, was nicht wahr ist. Die gegnerischen Ent-scheidungsträger durch Manipulation ihrer Wahrnehmung in die Irre führen.

• Ausnutzen: Zugriff auf gegnerische Führungs- und Lagesysteme erlangen, um Informa-tionen zu sammeln oder um falsche oder irreführende Informationen unterzuschieben.

• Beeinflussen: Andere dazu bringen, sich auf eine Weise zu verhalten, die für befreundete Kräfte günstig ist.

• Schützen: Schutzmaßnahmen gegen Spionage und das Abgreifen geheimer Informa-tionen und Ausrüstungsteile treffen.

• Erkennen: Frühere und laufende Einbrüche in Informationssysteme entdecken oder wahrnehmen.

• Wiederherstellen: Informationen und Informationssysteme in den ursprünglichen Zustand zurückversetzen.

• Reagieren: Auf die IO-Angriffe oder Einbrüche des Gegners oder anderer schnell reagieren.

Viele dieser Ziele stehen miteinander in Verbindung. Der Großteil des Network Security Monitoring betrifft das Erkennen, um besser reagieren zu können. Gelegentlich kann das auch Elemente anderer Gebiete einschließen. Bei der Erörterung von Honeypots werden wir uns auch mit Täuschung und Schwächung beschäftigen.

Das Erkennungselement dieser IO-Doktrin steht auch in Übereinstimmung mit der De-finition für Angriffswahrnehmung und Warnung (Attack Sense and Warning, AS&W) des US-Verteidigungsministeriums.4 Demnach ist AS&W die Erkennung, Korrelation, Identifizierung und Charakterisierung eines breiten Spektrums beabsichtigter unauto-risierter Tätigkeiten wie Einbrüche in Computer oder Angriffe darauf, in Verbindung mit der Benachrichtigung der Befehlshaber und Entscheidungsträger, sodass eine geeig-nete Reaktion entwickelt werden kann. Zu AS&W gehören auch die Erfassung und Wei-terleitung von Aufklärungsdaten im Zusammenhang mit Angriffen und Einbrüchen, eingeschränkte Empfehlungen für unmittelbare Reaktionen und eingeschränkte Beur-teilungen der möglichen Auswirkungen.

Network Security Monitoring wird als das neue Modell für das Gebiet des Erkennens angesehen. Seine Eigenschaften weichen erheblich von denen der klassischen Intrusion Detection ab:

Prävention schlägt irgendwann unvermeidlich fehl. Eine der bittersten Realitäten für Vertei-diger besteht darin, dass sie irgendwann verlieren werden. Wie stark die Schutzeinrichtun-gen auch sind und welche vorbeugenden Maßnahmen auch immer unternommen wurden, schließlich wird ein motivierter Angreifer doch eine Möglichkeit zum Eindringen finden.

Nicht nur in der Informationssicherheit gilt, dass die Verteidiger immer mit den Angrei-fern Schritt halten müssen. Wenn der Verteidiger stärkere Bunker baut, so baut der An-greifer stärkere Bomben. Trägt der Verteidiger beschusshemmende Westen, beginnt der

4 Direktive O-8530.1 des US-Verteidigungsministeriums, »Computer Network Defense (CND)« (8. Januar 2001), http://www.doncio.navy.mil/uploads/0623IYM47223.pdf

Page 44: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

44 1 Network Security Monitoring in der Praxis

Angreifer, panzerbrechende Munition zu verwenden. Wenn Verteidiger professionelle Firewalls für Unternehmen einsetzen und ihre Server stets auf dem neuesten Stand halten, sollten sie daher nicht überrascht sein, dass die Angreifer mithilfe von Social-Engineering-Angriffen Fuß im Netzwerk zu fassen versuchen oder Zero-Day-Exploits einsetzen, um Root-Zugriff auf den gepatchten Server zu bekommen.

Erst wenn Sie akzeptieren, dass Ihre Sicherheitsvorkehrungen irgendwann überwunden werden, können Sie Ihre Haltung ändern, sodass Sie sich nicht mehr allein auf Prävention verlassen, sondern sich auch mit Erkennung und Reagieren beschäftigen. Wenn der große Einbruch geschieht, ist Ihre Organisation dann vorbereitet, um wirkungsvoll reagieren und das Leck stopfen zu können.

Zielgerichtete Datenerfassung. Früher wurden Daten aus allen verfügbaren Quellen erfasst und an einem zentralen Ort abgelegt. Die Verwaltung von Installationen nach diesem Mus-ter war jedoch äußerst teuer und bot darüber hinaus keinen echten Wert, da die wirklich brauchbaren Arten von Daten nicht zur Verfügung standen und sich die Erfassungswerk-zeuge nicht an die Größenordnung der Daten anpassen ließen, mit denen sie zu arbeiten gezwungen waren.

So wie ein Gramm Prävention ein Pfund Sanierung aufwiegt, so wiegt ein Gramm Da-tenerfassung ein Pfund Erkennung auf. Wenn Sie den gleichen Grad an Erkennung mit weniger Daten erreichen können, dann sparen Sie dadurch CPU-Zyklen und arbeiten viel effizienter. Außerdem können Sie den menschlichen Analytikern dann nur die Daten ge-ben, die sie auch tatsächlich brauchen, sodass sie ihre Entscheidungen schneller treffen können. Das kann den Unterschied zwischen einem kleinen Einbruch und einem umfas-senden Datenleck ausmachen.

Zyklische Prozesse. Intrusion Detection alter Schule war ein linearer Prozess. Dabei er-hielten Sie eine Alarmmeldung, bestätigten sie und reagierten nach Bedarf. Damit waren sie fertig. Diese lineare Vorgehensweise ist jedoch nicht nur naiv, sondern auch unver-antwortlich. Jeden einzelnen Zwischenfall einzeln zu betrachten, als liefe er im luftleeren Raum auf, hilft nicht, das Netzwerk zu verteidigen. Manche Angriffe dauern zwar wirklich nur wenige Sekunden, doch erfahrene Angreifer gehen oft langsam und methodisch vor. Manchmal benötigen sie Monate, um ihre Ziele zu erreichen.

Um von dieser Einzelbetrachtung wegzukommen, ist es erforderlich, die Erkennung von Einbrüchen und die Reaktion darauf als zyklischen Prozess zu behandeln. Das bedeutet, dass die Datenerfassung in die Erkennung eingeht, die Erkennung in die Analyse und die Analyse wiederum in die Erfassung. Dadurch kann der Verteidiger mit der Zeit Kenntnisse aufbauen, um das Netzwerk besser zu verteidigen.

Bedrohungsorientierte Verteidigung. Alle Merkmale, die ich bis jetzt aufgezählt habe, füh-ren uns zum Prinzip der an den Bedrohungen oder den Angreifern orientierten Verteidi-gung. Bei der schwachstellenorientierten Vorgehensweise liegt der Schwerpunkt auf dem »Wie«, hier aber auf dem »Wer« und »Warum«. Insbesondere müssen Sie sich fragen, wer daran interessiert sein mag, Ihr Netzwerk anzugreifen, und was die Angreifer damit gewinnen können.

Page 45: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

45 1.4 Schwachstellen- und bedrohungsorientierte Verteidigung im Vergleich

Eine bedrohungsorientierte Verteidigung lässt sich viel schwerer durchführen als die frü-here Vorgehensweise, denn dazu sind erstens ausführliche Einsichten in Ihr Netzwerk und zweitens die Möglichkeit erforderlich, Informationen über die Absichten und Fähigkei-ten der Angreifer zu erfassen und zu analysieren. Ersteres lässt sich mit entsprechendem Zeiteinsatz von jeder Organisation mit Leichtigkeit erreichen, doch die zweite Voraus-setzung ist in allen Organisationen außer staatlichen Stellen nur sehr schwer zu erfüllen. Unmöglich ist es aber sicherlich nicht.

Denken Sie noch einmal an unser Beispiel von Einbrüchen in einem Stadtviertel zurück. Statt einer schwachstellenorientierten Vorgehensweise, bei der zusätzliche Schutzmechanis-men wie Stacheldraht und Stahltüren aufgefahren werden, konzentriert sich die Polizei bei einem an den Angreifern orientierten Ansatz darauf, die Häuser, in die eingebrochen wurde, genau zu untersuchen, um nach Ähnlichkeiten oder Gemeinsamkeiten der verschiedenen Einbrüche zu suchen und die wahrscheinlichen Ziele der Einbrecher herauszufinden. An-hand dieser Informationen kann die Polizei dann ein Profil der Kriminellen erstellen. Damit wiederum ist es möglich, in der Verbrecherkartei nach Personen zu suchen, die ähnliche Taktiken angewandt haben. Zusammen mit anderen Fahndungsmaßnahmen kann diese Art von Analyse dazu führen, dass die Täter gefasst werden, was weitere Einbrüche verhindert. Das ist im Grunde genommen die Vorgehensweise der bedrohungsorientierten Verteidi-gung und des Network Security Monitoring.

1.4 Schwachstellen- und bedrohungsorientierte Verteidigung im VergleichStellen Sie sich einmal vor, das Tor beim Eishockey würde nicht von einem Torwart vertei-digt, sondern von einer Backsteinmauer geschützt. Das mag zu Anfang nach einer idealen Lösung aussehen. Die schwachstellenorientierte Denkschule bevorzugt die Steinmauer. Sie erscheint zunächst undurchdringlich, da sie den Großteil des Tors abdeckt und die angreifende Mannschaft nur zum Ziel gelangen kann, wenn sie die Mauer durchbricht. Mit der Zeit jedoch durchschlagen vereinzelte Schüsse die Mauer. Ganze Steine können aus dem Verbund herausbrechen. Natürlich könnte man diese Steine wieder ersetzen, aber während man an der einen Stelle einen Stein einfügt, kann sich an einer anderen Stelle schon wieder ein Stein lösen.

Bedrohungsorientierte Personen dagegen bevorzugen die Verteidigung durch einen Tor-wart. Es ist dabei natürlich wichtig, dass der Torwart alle Schüsse abfängt. Wenn jedoch gelegentlich ein Puck durchgeht, kann er erkennen, dass er beispielsweise tief an seiner rechten Seite hereingekommen ist. Wenn er es wieder mit demselben Stürmer zu tun be-kommt, wird er sein besonderes Augenmerk auf diese Stelle richten, sodass es weniger wahrscheinlich ist, dass der Gegner ein weiteres Tor erzielt.

Der große Unterschied besteht darin, dass die Steinmauer ihre Taktik nie ändert und nicht dazulernen kann. Ein Torwart dagegen macht sich nach und nach mit den Gewohnheiten

Page 46: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

46 1 Network Security Monitoring in der Praxis

der einzelnen Stürmer vertraut. Dadurch kann er lernen, sich anpassen und immer erfolg-reicher werden.

Sowohl bei der schwachstellen- als auch bei der bedrohungsorientierten Verteidigung be-steht das Ziel darin, das Netzwerk zu schützen, doch auf unterschiedliche Weise. Eine Übersicht über diese Unterschiede finden Sie in Tabelle 1.1.

Tabelle 1.1: Schwachstellen- und bedrohungsorientierte Verteidigung

Schwachstellenorientiert BedrohungsorientiertStützt sich auf Prävention Akzeptiert, dass Prävention irgendwann versa-

gen wird

Schwerpunkt auf Erkennung Schwerpunkt auf Datenerfassung

Sieht alle Bedrohungen gleich an Geht davon aus, dass Angreifer unterschiedli-che Werkzeuge, Taktiken und Verfahrensweisen einsetzen

Analysiert jeden Angriff für sich allein Kombiniert die aus den verschiedenen Angriffen gewonnenen Erkenntnisse

Verlässt sich sehr stark auf die signatur-gestützte Erkennung

Nutzt Daten aus allen Quellen

Bis dahin unbekannte Bedrohungen können nur sehr schwer erkannt werden

Gegnerische Aktivitäten auch jenseits der be-kannten Signaturen können gut erkannt werden

Linearer Prozess Zyklischer Prozess

1.5 Der NSM-Zyklus: Erfassung, Erkennung und AnalyseDer Zyklus des Network Security Monitoring besteht aus drei deutlich voneinander un-terscheidbaren Phasen: Erfassung, Erkennung und Analyse (siehe Abb. 1.1). Dieses Buch ist in drei Teile gegliedert, die sich jeweils einer dieser Phasen widmen.

Abbildung 1.1: Der NSM-Zyklus

Page 47: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

47 1.5 Der NSM-Zyklus: Erfassung, Erkennung und Analyse

1.5.1 Erfassung

Am Anfang des NMS-Zyklus steht der wichtigste Schritt: die Erfassung. Sie erfolgt mit einer Kombination aus Hardware und Software, um Daten für die NSM-Erkennung und -Analyse zu generieren, zu gliedern und zu speichern. Die Datenerfassung ist der wichtigs-te Teil des Zyklus, da sie bestimmt, wie gut eine Organisation die Erkennung und Analyse durchführen kann.

Es gibt verschiedene Arten von NMS-Daten und verschiedene Vorgehensweisen, um sie zu erfassen. Zu den gebräuchlichsten Kategorien gehören Inhaltsdaten, Sitzungsdaten, statistische Daten, Paketstringdaten und Alarmdaten. Je nach den Bedürfnissen der Orga-nisation, der Netzwerkarchitektur und den verfügbaren Ressourcen können diese Daten entweder hauptsächlich für die Erkennung oder ausschließlich für die Analyse oder für beide Zwecke genutzt werden.

Aufgrund des erforderlichen starken Personaleinsatzes gehört die Erfassung am Anfang zu den arbeitsintensivsten Elementen des NSM-Zyklus. Für eine wirkungsvolle Erfassung sind gemeinsame Anstrengungen der Organisationsführung, des Informationssicher-heitsteams und der Netzwerk- und Systemadministratoren erforderlich.

Die Datenerfassung schließt unter anderem folgende Aufgaben ein:

• Festlegen, wo das größte Risiko in der Organisation liegt

• Bedrohungen der Ziele der Organisation identifizieren

• Relevante Datenquellen identifizieren

• Die Auswahl der zu erfassenden Datenquellen verfeinern

• SPAN-Ports zur Erfassung von Paketdaten einrichten

• SAN-Speicher für die Aufbewahrung von Protokollen bereitstellen

• Hardware und Software für die Datenerfassung einrichten

1.5.2 Erkennung

Bei der Erkennung werden die erfassten Daten untersucht und bei unerwarteten Ereignis-sen und Daten Alarme ausgelöst. Das geschieht gewöhnlich mithilfe einer Erkennungs-methode, die sich auf Signaturen, Anomalien oder Statistiken stützt. Als Ergebnis werden Alarmdaten generiert.

Die Erkennung wird meistens durch entsprechende Software durchgeführt. Zu den am häufigsten verwendeten Softwarepaketen für diesen Zweck gehören die Netzwerk-Intrusi-on-Detection Systeme (NIDS) Snort IDS und Bro IDS und die Host-Intrusion-Detection-Systeme (HIDS) OSSEC, AIDE und McAfee HIPS. Einige Anwendungen zur Verwaltung von Sicherheitsinformationen und -ereignissen (Security Information and Event Manage-ment, SIEM) nutzen sowohl Netzwerk- als auch Hostdaten für eine Erkennung auf der Grundlage korrelierter Ereignisse.

Page 48: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

57 1.8 Security Onion

die gesamte Organisation davon profitiert. Das kann zu einer Organisation führen, die nicht auf einen starken Führer fixiert ist, sondern in der eine Gruppe von Führern mit unterschiedlichen Stärken und Schwächen harmonisch zusammenwirkt, um ein gemeinsa-mes Ziel zu erreichen. Das mag ein bisschen nach Wolkenkuckucksheim klingen, doch mit der richtigen Geisteshaltung und mit dem Engagement aller Beteiligen kann eine solche Umgebung Wirklichkeit werden.

1.8 Security OnionIm weiteren Verlauf dieses Buches werden wir über die Theorie hinausgehen und uns mehrere praktische Beispiele ansehen. Zur Vereinheitlichung verwende ich für alle Bei-spiele Security Onion, eine Linux-Distribution für Intrusion Detection und Network Security Monitoring. Security Onion wird von Doug Burks und einer Handvoll wei-terer Beteiligten hergestellt und gehört zu meinen Lieblingsinstrumenten zum Lehren und Lernen. Dank der einfachen Einrichtung können Sie eine komplette NSM-Suite zum Erfassen, Erkennen und Analysieren in weniger als einer Viertelstunde bereitstellen. Security Onion ist jedoch nicht nur ein Weiterbildungswerkzeug. In verschiedenen klei-neren Organisationen habe ich diese Distribution schon im Produktionseinsatz gesehen. Ich selbst benutze sie für mein Büro zu Hause und mein Heimnetzwerk.

1.8.1 Installation

Wenn Sie die Beispiele in diesem Buch nachvollziehen wollen, müssen Sie Security Onion herunterladen und installieren. Mehrere der besprochenen Werkzeuge sind darin bereits vorinstalliert, z. B. Sort, Bro und Argus. Wenn Sie noch einen alten Computer und eini-ge zusätzliche Netzwerkkarten haben, können Sie sie in Ihrem Netzwerk installieren, um echten Datenverkehr zu untersuchen. Zum Durcharbeiten dieses Buches reicht es jedoch, Security Onion in einer virtuellen Maschine zu installieren. VMWare Player und Virtual-Box sind dafür hervorragend geeignet.

Nachdem Sie die Virtualisierungssoftware heruntergeladen haben, müssen Sie die ISO-Datei für Security Onion herunterladen. Die neueste Version finden Sie unter einem Link auf http://ssecurityonion.blogspot.com/. Diese Seite nennt auch eine große Menge hilfrei-cher Quellen zur Installation und Konfiguration der verschiedenen Elemente von Security Onion. Gehen Sie nach Abschluss des Downloads wie folgt vor:

1. Erstellen Sie eine neue virtuelle Maschine. Sehen Sie dabei mindestens 1 GB RAM für jede überwachte Netzwerkschnittstelle und mindestens 2 GB insgesamt vor. Vergewis-sern Sie sich außerdem, dass die Netzwerkschnittstellen mit der virtuellen Maschine verbunden sind.

2. Stellen Sie die heruntergeladene ISO-Datei als virtuelles CD/DVD-Laufwerk in Ihrer Virtualisierungssoftware bereit.

Page 49: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

58 1 Network Security Monitoring in der Praxis

Starten Sie die VM. Wenn Ihr Betriebssystem läuft, wählen Sie das Symbol Install Secu-rityOnion auf dem Desktop, um mit der Installation des neuen Betriebssystems auf der virtuellen Festplatte zu beginnen.

Folgen Sie den Anweisungen des XUbuntu-Installers. Während der Installation werden Sie um eine Reihe von Angaben gebeten, z. B. nach der gewünschten Festplattenpartitio-nierung, Ihrer Zeitzone, Ihrem Internetanschluss, dem Namen des Systems sowie einem Benutzernamen und einem Passwort für Ihr Benutzerkonto (siehe Abb. 1.2). Sie können die meisten dieser Optionen nach Belieben einrichten. Wählen Sie aber nicht die Opti-on, Ihren Benutzerordner zu verschlüsseln, und aktivieren Sie nicht die automatischen Updates. Diese Optionen sind standardmäßig deaktiviert. Nach Abschluss der XUbuntu-Installation werden Sie aufgefordert, das System neu zu starten.

Abbildung 1.2: Benutzerangaben während der Installation von Security Onion

Damit ist die Installation des Betriebssystems abgeschlossen.

Page 50: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

59 1.8 Security Onion

1.8.2 Security Onion aktualisieren

Nachdem Sie die Installation abgeschlossen und die virtuelle Maschine neu gestartet ha-ben, müssen Sie als Nächstes Security Onion auf den neuesten Stand bringen. Auch wenn Sie die ISO-Datei gerade erst heruntergeladen haben, kann es sein, dass es Aktualisie-rungen für einzelne SO-Pakete gibt. Um die Aktualisierung auszulösen, geben Sie an der Befehlszeile Folgendes ein:

sudo apt-get update && sudo apt-get dist-upgrade

Je nachdem, wie viele Aktualisierungen seit der letzten ISO-Datei freigegeben wurden, kann der Vorgang eine Weile dauern. Wenn er abgeschlossen ist, ist Ihre Installation von Security Onion auf dem neuesten Stand.

1.8.3 NSM-Dienste einrichten

Um die NSM-Dienste nutzen zu können, müssen Sie einen automatischen Einrichtungs-vorgang ausführen. Melden Sie sich bei Security Onion an und gehen Sie dann folgender-maßen vor:

1. Starten Sie den Einrichtungsvorgang, indem Sie auf dem Desktop auf das Symbol Setup klicken.

2. Nachdem Sie Ihr Passwort eingegeben haben, werden Sie gefragt, ob Sie etc/network/interfaces konfigurieren möchten. Wählen Sie Yes. Bei mehreren Netzwerkschnittstel-len werden Sie aufgefordert, eine davon als Verwaltungsschnittstelle auszuwählen, also als diejenige, über die Sie auf das System zugreifen; bei nur einer einzigen Schnittstelle wird automatisch diese als Verwaltungsschnittstelle eingerichtet. Fahren Sie fort, in-dem Sie die Option Static IP Address wählen und die IP-Adresse, die Subnetzmaske, das Standardgateway, die Adresse des DNS-Servers und den lokalen Domänennamen eingeben. Nachdem Sie diese Angaben bestätigt haben, wird das System neu gestartet.

Bericht von der FrontAuch wenn Sie es gewohnt sind, Ihre Netzwerkschnittstellen manuell einzu-richten, ist es äußerst ratsam, diesen Schritt von SO ausführen zu lassen. Das Betriebssystem führt dabei mehrere Optimierungen durch, damit Ihre Überwa-chungsschnittstellen korrekt eingerichtet werden, um alle möglichen Arten von Netzwerkdatenverkehr zu erfassen.

3. Starten Sie den Einrichtungsvorgang erneut, indem Sie abermals auf das Symbol Setup auf dem Desktop klicken.

4. Überspringen Sie die Netzwerkkonfiguration, da Sie sie bereits erledigt haben.

Page 51: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

60 1 Network Security Monitoring in der Praxis

5. Wählen Sie Quick Setup. (Sie können natürlich auch Advanced Setup wählen, aber für unsere Zwecke reicht die Schnelleinrichtung. Die erweiterten Optionen können Sie sich gern auf eigene Faust ansehen.)

6. Wenn Sie über mehrere Schnittstellen verfügen, werden Sie dazu aufgefordert, die gewünschten Überwachungsschnittstellen auszuwählen.

7. Geben Sie einen Benutzernamen und ein Passwort für die verschiedenen NSM-Dienste an.

8. Wenn Sie zur Aktivierung von ELSA aufgefordert werden, wählen Sie Yes.

9. Am Ende werden Sie dazu aufgefordert, die Konfiguration des Sensors zu bestätigen (siehe Abb. 1.3). Klicken Sie auf Yes, proceed with the changes!, um Security Onion auf-zufordern, die Änderungen zu übernehmen.

Abbildung 1.3: Bestätigen der Konfiguration

Nach Abschluss der Einrichtung teilt Ihnen Security Onion die Speicherorte verschiede-ner wichtiger Protokoll- und Konfigurationsdateien mit. Wenn Sie bei der Einrichtung Probleme haben oder feststellen, dass einer der Dienste nicht richtig gestartet wurde, können Sie sich das Einrichtungsprotokoll unter /var/log/nsm/sosetup.log ansehen. Sofern nicht anders angegeben, wird im weiteren Verlauf dieses Buches vorausgesetzt, dass Sie die Schnelleinrichtung von Security Onion abgeschlossen haben.

1.8.4 Security Onion testen

Die schnellste Möglichkeit, sich zu vergewissern, dass die NSM-Dienste in Security Onion laufen, besteht darin, Snort einen Alarm generieren zu lassen. Dazu sollten Sie zunächst den von Snort verwendeten Regelsatz mithilfe des Befehls sudo rule-update

Page 52: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

61 1.8 Security Onion

aktualisieren. Dadurch werden mithilfe des Dienstprogramms PulledPork die neuesten Regeln von Emerging Threats heruntergeladen, eine neue SID-Zuordnung erstellt (um den Regelnamen eindeutige Bezeichner zuzuordnen) und Snort neu gestartet, damit die neuen Regeln in Kraft treten. In Abb. 1.4 sehen Sie einen Teil der Ausgabe dieses Befehls.

Abbildung 1.4: Ausgabe bei einer Regelaktualisierung

Um die NSM-Dienste zu testen, starten Sie Snorby, indem Sie auf das zugehörige Symbol auf dem Desktop klicken. Sie werden dazu aufgefordert, sich mit der während der Einrich-tung angegebenen E-Mail-Adresse und dem zugehörigen Passwort anzumelden. Klicken Sie danach auf die Registerkarte Events am oberen Bildschirmrand. Sehr wahrscheinlich ist das Fenster zu diesem Zeitpunkt leer.

Um eine Snort-Warnung auszulösen, öffnen Sie im Browserfenster eine neue Registerkarte und rufen dort http://www.testmyids.com auf.

Wenn Sie jetzt wieder zur Snorby-Registerkarte wechseln und die Seite Events aktualisieren, sollten Sie einen Alarm mit der Ereignissignatur GPL ATTACK_RESPONSE id check retur-ned root sehen (siehe Abb. 1.5). Wenn das der Fall ist, haben Sie die NSM-Umgebung von Security Onion erfolgreich eingerichtet. Sie können den Alarm gern genauer untersuchen,

Page 53: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

62 1 Network Security Monitoring in der Praxis

indem Sie darauf klicken und sich die Ausgabe in Snorby ansehen. In späteren Kapiteln werden uns noch genauer mit Snorby beschäftigen.

Abbildung 1.5: Der Snort-Testalarm in Snorby

Diese Alarmmeldung sollte ziemlich schnell erscheinen. Wenn Sie sie nach einigen Minuten immer noch nicht sehen, funktioniert etwas nicht richtig. Informieren Sie sich auf der Web-site zu Security Onion über die Fehlerbehebung. Wenn Sie das Problem dadurch nicht lösen können, schauen Sie in die Mailingliste von Security Onion oder im zugehörigen IRC-Kanal #securityonion auf Freenode.

Die beschriebenen Vorgänge sind bis Security 12.04 gültig, der aktuellen Version während der Abfassung dieses Buches. Sollte sich der Vorgang geändert haben, schlagen Sie im SO-Wiki unter https://code.google.com/p/security-onion/w/list nach. Wir werden im Verlauf dieses Buches noch häufiger auf Security Onion eingehen. Wenn Sie noch mehr darüber erfahren wollen, ist das SO-Wiki die beste Informationsquelle.

1.9 ZusammenfassungIn diesem Kapitel haben Sie Network Security Monitoring, bedrohungsorientierte Sicher-heit und verwandte Prinzipien kennengelernt. Wir haben uns auch Security Onion angese-hen und ausführlich beschrieben, wie Sie eine NSM-Umgebung in wenigen Minuten instal-lieren und einrichten. Für Neulinge in Sachen NSM ist es von entscheidender Bedeutung, die in diesem Kapitel vorgestellten Prinzipien genau zu verstehen, da sie die Grundlage für die Anwendung von NSM bilden. Der Rest dieses Buches ist in drei Teile gegliedert, die sich jeweils mit den einzelnen Elementen des NSM-Zyklus beschäftigen: Erfassung, Erkennung und Analyse.

Page 54: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

551

Stichwortverzeichnis

AAbuse.ch 231Afterglow 380Alarmdaten

Anzeigen 316Ausgabe 284Einführung 87Formate 285Paketprotokollierung 286Sguil 318Snorby 317Systemprotokoll 285Unified2 286

AnalyseAlternative Analyse 527Analysetools verketten 134Analyse widerstreitender Hypothesen

528Angreifer nicht einladen 519Argus 138Aufgaben von Sensoren 86Datenabstraktion 518Differenzielle Diagnose 509, 512Einführung 48Empfohlene Vorgehensweisen 518Häufigste Diagnose 512Klassifizierung 521Methoden 502Methoden umsetzen 517Morbidität und Mortalität 523Normale Kommunikation 516Paketanalyse 413, 518

Relationale Untersuchung 502, 505Rote-Zellen-Analyse 527SiLK 131Tcpdump 428Tshark 432Überprüfung der zentralen Annahmen

528Vorgang 501Was-wäre-wenn-Analyse 527Wireshark 437Zehnerregel 522Zweites Paar Augen 519

AnalytikerBerufliches Vorwärtskommen 55Fähigkeiten 50Klassifizierung 52Spezialisierung 50Superstars 55

Anamnese 468Angreifer 39Anomalien

Anomaliegestützte Erkennung 357Definition 40Kommunikationsintensive Hosts 358

Anzeigefilter 450, 456Applied Collection Framework 66Argus

Architektur 139Daten abrufen 140ra 140

AufklärungAnalysephase 467Anamnese 468

Page 55: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

552 Stichwortverzeichnis

Anforderungen 464Aufklärungszyklus 463Bedrohungen 480Bestandsmodell 469Domänennamen 486Eigene Elemente 467Erfassungsphase 466Gegnerische Hosts 482Interne Datenquellen 482Interner Portscan 470IP-Adressen 483Netzwerkelemente 468Öffentlich verfügbare Quellen 483,

492Operativ 480OSINT 483Planung 465PRADS 473, 476Recherche 482, 492Reputation 489Schädliche Dateien 492Strategisch 480Taktisch 481Verarbeitung 466Weitergabe 467whois 486

Authentifizierung 116

BBASH-Tools 195, 239Bedrohungen

Aufklärung 480Bedrohungsorientierte Verteidigung

45Identifizieren 67, 74

Berechnete Indikatoren 205Bro

Ausführen 322Benachrichtigungen unterdrücken

342

bro-cut 325Code verpacken 335Darknet 338Dateien aus laufendem Netzwerk-

verkehr entnehmen 332Dateien extrahieren 328Eigene Erkennungswerkzeuge erstel-

len 327Einführung 319E-Mail-Benachrichtigungen 350Felder hinzufügen 352Intel-Framework 255Konfigurationsoptionen 335Protokolle 322Reputationserkennung 254Selektive Dateiextraktion 330Skripterstellung 327Skripte testen 344Standardverarbeitung von Benach-

richtigungen aufheben 346Unterstützte Protokolle 320

CCollective Intelligence Framework 245CSV-Dateien 217Cuckoo 494

DDaemonlogger 149Darknet 338Datenquellen 70, 77Datentypen 86, 88Diensterkennung 362Differenzielle Diagnose 509, 512DNS-Namensauflösung 428Domains by IP 491Dsniff 177Dumpcap 147

Page 56: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

553 Stichwortverzeichnis

EE/A-Diagramm 444Einbruchsindikatoren. Siehe IndikatorenElementare Indikatoren 205E-Mail-Benachrichtigungen 350Endpunkte 442Entmilitarisierte Zone 73Ereignisfilterung 308Erfassung

Argus 138Aufgaben von Sensoren 85Daemonlogger 149Datenquellen identifizieren 70, 77Dienste ausschließen 159DNS-Namensauflösung unterdrücken

428Dumpcap 147Einführung 47Eingrenzen 70, 81Fallstudie 73Httpry 178Justniffer 181Netsniff-NG 150Planen 65, 153PSTR 174SiLK 128Sitzungsdaten 126Speicherbedarf senken 159Speicherplatz 153URLsnarf 177Wireshark 437

Erfassungsfilter 450Erkennung

Anomaliegestützte Erkennung 357Aufgaben von Sensoren 85Bro 254Diensterkennung 362Eigene Erkennungswerkzeuge erstel-

len 327Einführung 47E-Mail-Benachrichtigungen 350Erkennungsmechanismen 201Frühwarn-Honeypots 387

IP-Adressenerkennung 249, 251Kommunikationsintensive Hosts 358Reputationsgestützte Erkennung 229Reputationsgestützte Erkennung auto-

matisieren 239Schädliche Domänen in FPC-Daten

erkennen 243Schädliche IP-Adressen in Sitzungs-

daten erkennen 242Signaturgestützte Erkennung 261Snort 249Statistische Daten 368Suricata 251

Erkennungsfilter 311Exploits 40

FFalsch negativ 212Falsch positiv 212Fehlalarme 212

Alarme unterdrücken 310Benachrichtigungen in Bro unter-

drücken 342Reputationslisten 238

FilterAnzeigefilter 450, 456Berkeley-Paketfilter 451BPF 431, 451Einzelne Protokollfelder 454Ereignisfilter 308Erfassungsfilter 450Erkennungsfilter 311Flussdaten 132GROK 189Ländercodes 136Paketfilter 451Rwfilter 132, 136, 358Tcpdump 431Tshark 435Vergleichsoperatoren 457Wireshark 450, 456

Page 57: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

554 Stichwortverzeichnis

FlussdatenArgus 138Filtern 132Flussdatensätze 120SiLK 128Typen 124

FPCAufbewahrung der Daten 163Daemonlogger 149Datenerfassung planen 153Dumpcap 147Durchsatz der Sensorschnittstelle

berechnen 155Einführung 86, 145Netsniff-NG 150PCAP 145Schädliche Domänen erkennen 243Speicherbedarf senken 159Speicherplatz 153Werkzeug auswählen 152

Fprobe 127Führung als Dienst 56

GGemeinsam genutzte Server 237GeoIP 136, 355Gnuplot 371Google Charts 375GROK 189

HHäufigste Diagnose 512Hexadezimalformat 416Honeyd 395Honeydocs 407Honeypots

Alarmierung und Protokollierung 393Architektur 390Arten 389Definition 387Frühwarn-Honeypots 388Funktionsumfang 397

Honeyd 395Kippo 399Persönlichkeit 396Planen 390Plattformen 394Platzierung 391Regeln 398, 403Simulierte Geräte und Dienste 391Tom’s Honeypot 404

Hostindikatoren 204Httpry 178

IIndikatoren

Abfragen 247Berechnete Indikatoren 205Bereitstellen 248CSV-Dateien 217Definition 203Elementare Indikatoren 205Evolution 210Frameworks 223Hostindikatoren 204Kontextinformationen 214Masterliste 218Netzwerkindikatoren 204Revisionstabelle 221Statische Indikatoren 205Variable Indikatoren 208Verhaltensindikatoren 205Verwaltung 216

Intel-Framework 255Intrusion Detection

Alarme unterdrücken 310Altes Modell 41IDS-Regeln 290IDS-Systeme für Sensoren 116Öffentliche Quellen für Regeln 280Regeln aktualisieren 281Regelsätze 277Signaturgestützte Erkennung 261Snort 262Suricata 265

Page 58: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

555 Stichwortverzeichnis

IO-Doktrin 42IP-Adressen

Aufklärung 483IP-Adressvariablen für IDS-Regeln

273Registraturen 483Reputation 489Reputationsgestützte Erkennung 249,

251Schädliche IP-Adressen in Sitzungs-

daten erkennen 242Sichtbarkeit interner IP-Adressen 107Snort 249

IPFIX 125IP-Header 420IPVoid 489

JJustniffer 181

KKibana 188Kippo 399Konversationen 442Kultur des Lernens 54

LLändercodes 136Lastenausgleich 98Lincoln, Abraham 66Logstash 186

MMalware Domain List 231Malware Hash Registry 499Malwaresandboxes 493Malwr.com 494Masterliste 218

MaxMind 136, 355MIME 330Morbidität und Mortalität 523

NNDIS-Modus 264NetFlow-Daten 124

Fprobe 127Netsniff-NG 150Netzwerkindikatoren 204Nibbles 416NIDS-Modus 288Nmap 470Normale Kommunikation 516NoVirusThanks 489NSM

Aufklärungszyklus 463Datentypen 86Dienste einrichten 59Einführung 42Erfolg messen 53Kritik 48NSM-Zyklus 46Terminologie 39

OOpenIOC 223OSINT 483

PPaketdaten. Siehe FPCPakete

Analyse 518Einführung 414Ethernetheader 422Feldzuordnung 420Hexformat 415IP-Header 420IP-Version 424Paketanalyse 413

Page 59: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

556 Stichwortverzeichnis

Paketfilter 451Paketheader 543Paketmathematik 416Portangaben 427Protokollfeld 424TTL-Feld 421Zerlegen 422

Paketprotokollierung 286Paketstringdaten. Siehe PSTRPCAP

Einführung 145PCAP-NG 146Selektive Dateiextraktion 330

PF_Ring 267PhishTank 233Ports 427Portvariablen 276PRADS 473, 476, 538Protokolldaten 87PSTR

BASH-Tools 195Daten anzeigen 186Daten manuell generieren 176Einführung 87, 171Erfassen 174Httpry 178Justniffer 181Speicherbedarf 175URLsnarf 177Werkzeuge 175

PulledPork 281

RRegeln

Aktualisieren 281, 538Alarme unterdrücken 310Aufbau 290Ereignisfilterung 308Erkennungsfilter 311Honeypots 398, 403HTTP-Datenverkehr 303IDS-Regeln 290

Inhaltsuntersuchung 298Klassifizierung 296Kommunikationsfluss 306Modifikatoren 299Öffentliche Quellen 280Optimieren 308Optionen 293Priorität 296PulledPork 281Regelheader 291Regelsätze 277Regelverwaltung in Security Onion

282Reguläre Ausdrücke 305, 314Reihenfolge der Inhaltssuche 302Schnelle Mustersuche 314Schwachstellen 313Testen 315Unerwünschten Datenverkehr aus-

schließen 312Verweise 294

Reguläre AusdrückeInhaltssuche 314In Regeln 305

Relationale Untersuchung 502, 505Reputation

Aufklärung 489Automatische Blockierung 236Automatisieren der reputationsge-

stützten Erkennung 239BASH-Skripte 239Bro 254Collective Intelligence Framework

245Fehlalarme 238Gemeinsam genutzte Server 237IP-Adressen 489IP-Adressenerkennung 249, 251Malware Domain List 231Öffentliche Reputationslisten 230Pflege der Listen 237PhishTank 233Probleme bei der Verwendung öffent-

licher Reputationslisten 236

Page 60: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

557 Stichwortverzeichnis

Schädliche Domänen in FPC-Daten erkennen 243

Schädliche IP-Adressen in Sitzungs-daten erkennen 242

Snort 249Spamhaus-Sperrlisten 234SpyEye Tracker 231Suricata 251Tor-Austrittsknotenliste 233Werbenetzwerke 238Whitelists 238ZeuS Tracker 231

Revisionstabellen 221Risiko

Definition 40Quantifizieren 69, 75

Rwcount 134Rwfilter 358

Flussdaten filtern 132Ländercodes 136

Rwflockpack 129Rwstats 136

Kommunikationsintensive Hosts finden 358

Netzwerkelemente aufspüren 366

SSchnelle Mustersuche 314Schwachstellen

Definition 40Regeln schreiben 313Schwachstellenorientierte Verteidi-

gung 45Security Onion

Aktualisieren 59Argus 139Befehlszeilenargumente für Snort/

Suricata 288Dateien und Verzeichnisse 539IDS-Engines austauschen 268Installation 57Logstash 188

NSM-Dienste einrichten 59PRADS 473Regelverwaltung 282Sensorsteuerung 535Serversteuerung 532SiLK installieren 132Snort 262Steuerskripte 531Testen 60Wireshark 147

Selektive Dateiextraktion 330Sensoren

Absichern 113Aktualisieren 114Arbeitsspeicher 92Aufgaben im NSM-Zyklus 85Authentifizierung 116Befehle zur Sensorsteuerung 535Betriebssystem 104CPU 91Durchsatz der Schnittstelle berechnen

155Ein- und Austrittspunkte 105Festplattenplatz 93Halbzyklus 89Hardware 90IDS 116Internetzugriff 115Lastenausgleich 98Netzwerkschnittstellen 96Platzierung 104Reine Erfassungssensoren 89Sichtbarkeit interner IP-Adressen 107Sichtfelddiagramme 111Socketpuffer 98Typen 89VLAN-Segmentierung 115Vollzyklus 89

Sguil 318, 474Sichtfelddiagramme 111Signaturen

CSV-Dateien 217Definition 203Evolution 210

Page 61: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

558 Stichwortverzeichnis

Frameworks 223Genauigkeit 213ID 294Kontextinformationen 214Masterliste 218Optimieren 212Regelsätze 277Revisionstabelle 221Signaturgestützte Erkennung 261Verwaltung 216

SiLKAnalysesuite 131Diensterkennung 362Flussdaten 128Flusstypen 130Installieren 132Kommunikationsintensive Hosts

finden 358Netzwerkelemente aufspüren 366Packsystem 129Rwfilter 132Rwflockpack 129

SitzungsdatenDurchsatz der Sensorschnittstelle

berechnen 156Einführung 86, 119Erfassen 126Flussdatensätze 120Fprobe 127Hardwareseitige Generierung 126IPFIX 125NetFlow 124Netzwerkelemente aufspüren 366Schädliche IP-Adressen erkennen

242SiLK 128Softwareseitige Generierung 127Speichern 142YAF 128

Sniffer-Modus 263Snorby 317

SnortAlarmausgabe 284Alarme anzeigen 316Architektur 263Befehlszeilenargumente 288Einführung 262Installieren 269IP-Adressvariablen 273Konfigurieren 272NIDS-Modus 264, 288Portvariablen 276Präprozessoren 287Regeldateien 277Reputationsgestützte IP-Adressen-

erkennung 249Sniffer-Modus 263

Socketpuffer 98Spamhaus-Sperrlisten 234SPAN-Ports 99SpyEye Tracker 231Statische Indikatoren 205Statistische Daten

Afterglow 380Anomaliegestützte Erkennung 357Einführung 87Erkennungsmöglichkeiten 368Gnuplot 371Google Charts 375Grafisch darstellen 371, 375, 380

STIX 226Streams 443Superstars 55Suricata

Alarmausgabe 284Alarme anzeigen 316Architektur 266Befehlszeilenargumente 288Einführung 265Installieren 269IP-Adressvariablen 273Konfigurieren 272Regeldateien 279

Systemprotokoll 285

Page 62: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

559 Stichwortverzeichnis

TTaps

Aggregierend/nicht aggregierend 101Vergleich mit SPAN-Ports 99

TcpdumpAusgabe 429Filter 431NSM-Analyse 428Paketanalyse 415Pakete abgreifen 428Snapshotlänge 430

Team Cymru 499Teamwork 54ThreatExpert 497Tom’s Honeypot 404Tor-Austrittsknotenliste 233Tshark 432

UUnified2 286URLsnarf 177URLVoid 489

VVariable Indikatoren 208Vergleichsoperatoren 457Verhaltensindikatoren 205VirusTotal 493VLAN-Segmentierung 115

WWahr negativ 212Wahr positiv 212Werbenetzwerke 238Whitelists 238whois 486Wireshark

Anzeigefilter 456Benutzerdefinierte Spalten 447Dumpcap 147E/A-Diagramm 444Endpunkte 442Filter 450Konversationen 442NSM-Analyse 437Objekte exportieren 446Paketanalyse 415Paketerfassung 437, 440Protokollhierarchie 441Streams 443Zeitanzeige 439Zerlegungsoptionen 449

YYAF 128

ZZehnerregel 522ZeuS Tracker 231Zwei-Faktor-Authentifizierung 116

Page 63: Chris Sanders/Jason Smith Hacking...Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig

Chris Sanders/Jason Smith

40,– EUR [D] / 41,20 EUR [A]ISBN 978-3-645-60496-3

Aus dem Inhalt:• Network Security Monitoring(NSM) in der Praxis

• Flussdaten mit SiLK erfassenund analysieren

• Frameworks für Indikatorenund Signaturen

• Automatisieren der reputations-gestützten Erkennung

• Reputationserkennung mit Bro

• Signaturgestützte Erkennungmit Snort und Suricata

• Die Architektur von Snortund Suricata

• KommunikationsintensiveHosts mit SiLK finden

• Frühwarn-Honeypots zurErkennung

• Tcpdump, TShark undWireshark für die NSM-Analyse

Besuchen Sie unsere Website www.franzis.de

Sie können noch so viel in Hardware, Software und Abwehr-mechanismen investieren, absolute Sicherheit für Ihre IT-Infrastruktur wird es nicht geben. Wenn Hacker sich wirklichanstrengen, werden sie auch in Ihr System gelangen. Solltedas geschehen, müssen Sie sowohl technisch als auch organi-satorisch so aufgestellt sein, dass Sie die Gegenwart einesHackers erkennen und darauf reagieren können. Sie müssenin der Lage sein, einen Zwischenfall zu deklarieren und die Angreifer aus Ihrem Netzwerk zu vertreiben, bevor sie erheblichen Schaden anrichten. Das ist Network Security Monitoring (NSM).

Lernen Sie von dem leitenden Sicherheitsanalytiker Sandersdie Feinheiten des Network Security Monitoring kennen.

Konzepte verstehen und Network Security Monitoring mit Open-Source-Tools durchführen Lernen Sie die drei NSM-Phasen kennen, um diese in der Praxisanzuwenden. Die praktische Umsetzung der NSM erfolgt mitvielen Open-Source-Werkzeugen wie z. B. Bro, Daemonlogger,Dumpcap, Justniffer, Honeyd, Httpry, Netsniff-NG, Sguil, SiLK,Snorby Snort, Squert, Suricata, TShark und Wireshark. Anhandvon ausführlichen Beispielen lernen Sie, die Tools effizient inIhrem Netzwerk einzusetzen.

Hackingmit Security Onion

Die beschriebenen Analyseszenarien werden anhandvon Netzwerkdiagrammen anschaulich visualisiert.

Die für das Network Security Monitoring eingesetzten Tools werden auch überScreenshots beschrieben (im Bild: Wireshark).