Gut bewacht

Intrusion Detection mit OSSEC

Praxis & Tipps | Praxis

Systeme zur automatischen Einbruchserkennung schlagen Alarm, wenn auf einem Rechner oder im Netz etwas Suspektes passiert. Das freie Intrusion-Detection-System Open Source Security (OSSEC) checkt dazu die Integrität von Dateien, sucht Rootkits, analysiert Log-Dateien und überprüft DNS-Anfragen.

Einbruchserkennung, das klingt einfacher als es ist: Die Grenze zwischen normaler Nutzung und Anzeichen für einen Angriff ist nicht immer scharf zu ziehen. Intrusion-Detection-Systeme versprechen, unautorisierte Zugriffe anhand einer Vielzahl von Indikatoren zu erkennen, zu melden und je nach Konfiguration auch zu blockieren – man spricht dann von Intrusion-Prevention-Systemen (IPS).

Host-basierte Intrusion-Detection-Systeme (HIDS) kann man bereits auf einem einzelnen Server sinnvoll einsetzen. Sie analysieren die Daten auf diesem Rechner, darunter Protokolldateien, Anmeldevorgänge, die Ressourcennutzung sowie die Integrität wichtiger Systemdateien. In diesen Daten suchen HIDS nach sogenannten Indicators of Compromise (IoC) – Indizien, die auf einen Einbruch hinweisen (siehe Kasten auf Seite179). ...

You’ve been hacked

Als Indicator of Compromise (IoC) bezeichnet man Merkmale, die bei einer forensischen Analyse mit hoher Wahrscheinlichkeit auf eine Kompromittierung des Systems hinweisen. Typische IoC sind:

 Virus-Signaturen

 IP-Adressen, DNS-Namen oder URLs bekannter Command&Control-Server

 MD5-Hashes von Malware-Dateien

 Malware-spezifische Windows-Registry-Keys

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Weitere Bilder

  • Ein Skript führt mit wenigen Fragen durch die Installation.
  • Das OSSEC Web User Interface zeigt die aufgelaufenen Alarme an.

Kommentare