Gut bewacht

Intrusion Detection mit OSSEC

Praxis & Tipps | Praxis

Systeme zur automatischen Einbruchserkennung schlagen Alarm, wenn auf einem Rechner oder im Netz etwas Suspektes passiert. Das freie Intrusion-Detection-System Open Source Security (OSSEC) checkt dazu die Integrität von Dateien, sucht Rootkits, analysiert Log-Dateien und überprüft DNS-Anfragen.

Einbruchserkennung, das klingt einfacher als es ist: Die Grenze zwischen normaler Nutzung und Anzeichen für einen Angriff ist nicht immer scharf zu ziehen. Intrusion-Detection-Systeme versprechen, unautorisierte Zugriffe anhand einer Vielzahl von Indikatoren zu erkennen, zu melden und je nach Konfiguration auch zu blockieren – man spricht dann von Intrusion-Prevention-Systemen (IPS).

Host-basierte Intrusion-Detection-Systeme (HIDS) kann man bereits auf einem einzelnen Server sinnvoll einsetzen. Sie analysieren die Daten auf diesem Rechner, darunter Protokolldateien, Anmeldevorgänge, die Ressourcennutzung sowie die Integrität wichtiger Systemdateien. In diesen Daten suchen HIDS nach sogenannten Indicators of Compromise (IoC) – Indizien, die auf einen Einbruch hinweisen (siehe Kasten auf Seite179). ...

You’ve been hacked

Als Indicator of Compromise (IoC) bezeichnet man Merkmale, die bei einer forensischen Analyse mit hoher Wahrscheinlichkeit auf eine Kompromittierung des Systems hinweisen. Typische IoC sind:

 Virus-Signaturen

 IP-Adressen, DNS-Namen oder URLs bekannter Command&Control-Server

 MD5-Hashes von Malware-Dateien

 Malware-spezifische Windows-Registry-Keys

Sie möchten wissen, wie es weitergeht?

Gut bewacht

2,49 €*

c't 08/2015, Seite 178 (ca. 5 redaktionelle Seiten)
Direkt nach dem Kauf steht Ihnen der Artikel als PDF zum Download zur Verfügung.

Artikel-Vorschau
  1. OSSEC
  2. Installation
  3. Integrität von Dateien
  4. Überwachung in Echtzeit
  5. Rootcheck
  6. Forensische Analyse
  7. Malware-Erkennung per DNS
  8. DNS-Analyse
  9. Rechtekontrolle
  10. Log-Analyse
  11. Ein eigener Decoder
  12. Echtzeit-Abwehr
  13. Tägliche Benachrichtigung
  14. Falscher Alarm
  15. „IDS ist tot“ …
  16. You’ve been hacked

Lesen Sie hier die Verbraucherinformationen

* Alle Preise verstehen sich inklusive der gesetzlichen MwSt.

Als c't-Plus-Abonnent gratis lesen

weiterführende Links

Weitere Bilder

  • Ein Skript führt mit wenigen Fragen durch die Installation.
  • Das OSSEC Web User Interface zeigt die aufgelaufenen Alarme an.

Kommentare

Anzeige
Anzeige