vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


15

Protokollierungs- und Auditing-Tools

15.1 Protokollierungstools

Dieses Kapitel stellt Ihnen Tools vor, die Ihnen dabei helfen können, das meiste aus Ihren Log-Dateien herauszuholen.

15.2 Warum noch mehr Logs benutzen?

Wenn Ihr Betriebssystem bereits integrierte Unterstützung für Protokollierung bietet, kommen Sie vielleicht in Versuchung, vom Laden zusätzlicher Protokollierungstools abzusehen. Sie sollten dieser Versuchung widerstehen. Sie können Ihren Log-Dateien nicht immer vertrauen. Tatsächlich ist das Ändern von Log-Dateien eines der ersten Dinge, die Cracker lernen. Diese Praxis ist so weit verbreitet, daß es heute Tools gibt, die den Prozeß automatisieren. Hier sind einige davon:

Hinweis:

wtmp, wtmpx, utmpx und lastlog zeichnen Benutzerinformationen auf und geben sie aus, darunter z.B. zu welcher Zeit dieser oder jener Benutzer auf das System zugriff. Eine last-Eingabe auf root wird eine Ausgabe wie die folgende generieren:

root console Fri Jun 19 17:01 - down (00:01)

root console Fri Jun 12 12:26 - down (4+02:16)

root console Tue May 19 10:45 - down (01:50)

root console Fri May 1 11:23 - down (00:02)

root console Fri Apr 24 09:56 - 09:56 (00:00)

root console Mon Mar 23 02:53 - down (00:01)

root console Mon Mar 23 02:43 - down (00:01)

Wenn ein Eindringen erfolgt, nehmen sich Systemadministratoren diese Log- Dateien vor, um zu sehen, wer wann auf den Rechner zugegriffen hat.

Um Cracker davon abzuhalten, die Einträge in Ihren Log-Dateien zu manipulieren, sollten Sie mindestens ein Protokollierungs-Tool eines Drittanbieters einsetzen. Erstens ist die Cracker-Gemeinde zwar sehr gut vertraut mit betriebssystem-basierten Log-Dateien, aber nur wenige Cracker verfügen über das nötige Wissen oder die nötigen Mittel, um Protokollierungs-Software von Drittanbietern zu umgehen. Zweitens generiert gute Drittanbieter- Software unabhängige Log-Dateien, ohne die Log-Dateien des Betriebssystems als Ausgangspunkt zu benutzen. Sie werden sofort wissen, daß jemand in Ihr System eingedrungen ist, wenn Sie diese Informationen später vergleichen und eine Diskrepanz zwischen den Drittanbieter-Logs und ihren regulären Logs finden.

Dies gilt insbesondere dann, wenn Sie die Drittanbieter-Logs isolieren. Nehmen wir z.B. an, Sie benutzen ein Protokollierungs-Tool eines Drittanbieters, um später die Integrität der betriebssystembasierten Log-Dateien zu überprüfen. Warum nicht diese Drittanbieter-Logs auf ein einmalbeschreibbares Medium speichern? Das ist heute nicht mehr so teuer, und es gibt Ihnen einen Satz zuverlässiger Log-Dateien, und Zuverlässigkeit ist alles.

Hinweis:

Entwickler arbeiten an Methoden, die Cracker davon abhalten können, Log- Dateien zu manipulieren. Z.B. führte 4.4BSD »secure levels« ein, ein System, durch das Kernel- und Systemdateien vor Manipulierung durch Eindringlinge geschützt werden. (Diese Secure-levels können so eingestellt werden, daß selbst root die Daten nicht ändern kann.) Im Juni 1998 wurde das secure level-Schema allerdings geknackt. (Das Problem ist nicht auf Unix beschränkt. Log-Dateien von Windows-NT-Servern können korrumpiert und mit Fehlern überschwemmt werden, wenn sie von einer Utility namens coke angegriffen werden.)

Ein Drittanbieterprodukt zu benutzen ist eine umsichtige Maßnahme, falls Ihre integrierten Protokollierungs-Utilities versagen. Zum Beispiel kürzt auf manchen Versionen von Solaris die wtmpx-Datei eingehende Hostnamen ab und macht damit alle über last erhaltenen Daten fehlerhaft und unvollständig.

Es ist heutzutage eine unter Crackern recht verbreitete Prozedur, Ihre Protokollierungs-Utilities vor einem eigentlichen Angriff außer Gefecht zu setzen. Wenn auf dem Zielrechner beispielsweise Solaris 2.5.x läuft, können Sie syslogd ganz einfach ausschalten, indem Sie ihr eine externe Nachricht von einer nichtexistenten IP-Adresse senden. Ähnliches gilt, wenn syslogd entfernte Nachrichten akzeptiert, dann kann jeder einen falschen Eintrag in die Log- Datei einfügen. Wenn syslogd Log-Einträge von entfernten Rechnern akzeptiert, ist es außerdem möglich, die Logs zu verwirren.

Aus all diesen Gründen sollten Sie den Einsatz eines alternativen Protokollierungssystems in Betracht ziehen. Die nächsten Abschnitte stellen Ihnen einige gute kurz vor.

15.3 Netzwerküberwachung und Datensammlung

Die folgenden Tools geben nicht nur Daten aus Log-Dateien aus, sondern sammeln auch ensprechende Daten aus verschiedenen Quellen.

SWATCH (The System Watcher)

Autor: Stephen E. Hansen und E. Todd Atkins

Plattform: Unix (Perl erforderlich)

URL: ftp://coast.cs.purdue.edu/pub/tools/unix/swatch/

Die Autoren haben SWATCH geschrieben, um die in Unix-Systemen integrierten Protokollierungs-Utilities zu ergänzen. SWATCH bietet daher Protokollierungsmöglichkeiten, die die Ihrer gewöhnlichen syslog weit übertreffen, dazu gehören Echtzeit-Überwachung, -Protokollierung und -Berichtsausgabe. Da SWATCH in Perl geschrieben wurde, ist es sowohl portierbar als auch erweiterbar.

SWATCH hat mehrere einzigartige Merkmale:

Und schließlich basiert SWATCH auf lokalen Konfigurationsdateien. Bequemerweise können mehrere Konfigurationsdateien auf einem Rechner existieren. Obwohl SWATCH ursprünglich nur für Systemadministratoren gedacht war, können daher alle lokalen Benutzer mit entsprechenden Privilegien SWATCH benutzen.

Watcher

Kenneth Ingham

Tel.: +1-505-262-0602

E-Mail: ingham@i-pi.com

URL: http://www.i-pi.com/

Ingham hat Watcher während seiner Zeit am University of New Mexico Computing Center entwickelt, als das Rechenzentrum zu jener Zeit erweitert wurde. Anschließend war der Protokollierungsprozeß, der bis dahin benutzt worden war, nicht mehr angemessen. Ingham suchte nach einem Weg, Logdatei-Überprüfungen zu automatisieren. Watcher war das Resultat seiner Bemühungen.

Watcher analysiert verschiedene Log-Dateien und Prozesse und sucht nach radikal abnormen Aktivitäten. (Der Autor hat diesen Prozeß genügend fein abgestimmt, so daß Watcher die weit unterschiedlichen Resultate von Befehlen wie ps interpretieren kann, ohne gleich Alarm auszulösen.)

Watcher läuft auf Unix-Systemen und erfordert einen C-Compiler.

lsof (List Open Files)

Autor: Vic Abell

Plattform: Unix

URL: ftp://coast.cs.purdue.edu/pub/tools/unix/lsof/

lsof Version 4 verfolgt nicht einfach nur offene Dateien (einschließlich Netzwerkverbindungen, Pipes, Datenströmen usw.), sondern auch die Prozesse, die sie besitzen. lsof läuft auf vielen Unix-Systemen, darunter u.a.:

WebSense

Obwohl WebSense am besten bekannt ist für seine Überwachungsmöglichkeiten, bietet das Produkt auch mächtige Protokollierungsmöglichkeiten. (Diese sind unlängst verbessert worden, da das Produkt dazu entwickelt wurde, eng mit den PIX Firewalls von Cisco zusammenzuarbeiten.)

NetPartners Internet Solutions, Inc.

Tel.: +1-619-505-3044

Fax: +1-619-495-1950

E-Mail: jtrue@netpart.com

URL: http://www.netpart.com/

WebTrends für Firewalls und VPNs

WebTrends Corporation

Tel.: +1-503-294-7025

Fax: +1-503-294-7130

E-Mail: sales@webtrends.com

URL: http://www.webtrends.com/

WebTrends für Firewalls und VPNs verbindet Web-Links, -Benutzung und -Verkehranalyse mit Log-Datei-Analyse. Die folgenden Firewalls sind Proxies und werden unterstützt:

WebTrends kann einige sehr eindrucksvolle Statistiken generieren und schreibt in einer ganzen Reihe von Datenbankberichtsformaten. Dieses Produkt läuft auf Windows NT und Windows 95.

Win-Log Version 1

iNFINITY Software

E-Mail: jcross@griffin.co.uk

URL: http://www.griffin.co.uk/users/jcross/

Win-Log ist ein sehr einfaches Utility für Windows NT. Es protokolliert, wenn, so oft wie und so lange wie Windows NT benutzt wird. Sie können dieses Utility benutzen, um festzustellen, ob jemand Ihren Rechner neu gebootet hat, auch wenn er irgendwie Event Logger umgangen hat.

MLOG

Autor: ABIT Corporation

URL: http://www.marx156.com/$webfile.send.37./MLOG_210.ZIP

MLOG ist ein NetWare-basiertes LAN-Ereignis-Protokollierungs-Utility von ABIT & MG- SOFT, das die höchste Netzwerkbenutzung und die folgenden Protokoll-Pakettypen protokolliert:

MLOG läuft auf dem Pakettreiber (1.09 oder höher)

NOCOL/NetConsole v4.0

NOCOL/NetConsole v4.0 ist eine Familie von selbständigen Applikationen, die vielfache Überwachungsaufgaben ausführen. Diese Familie bietet ein Curses-Interface, das auf einer ganzen Reihe von Terminals gut läuft (es wird kein X benötigt). Sie ist erweiterbar, bietet Unterstützung für ein Perl-Interface und funktioniert auf Netzwerken mit AppleTalk und Novell.

Wegweiser:

NOCOL/NetConsole v.4.0 finden Sie online unter ftp://ftp.navya.com/ pub/vikas/nocol.tar.gz.

PingLogger

PingLogger protokolliert ICMP-Pakete an eine Ausgabedatei. Mit dieser Utility können Sie zuverlässig bestimmen, wer Sie mit ping-Anfragen überschwemmt. Das Utility wurde ursprünglich auf Linux geschrieben und getestet (sie benötigen einen C-Compiler und IP- Header-Dateien), kann aber auch auf anderen Unix-Systemen funktionieren.

Autor: Jeff Thompson

URL: http://ryanspc.com/tools/pinglogger.tar.gz

15.4 Tools für die Analyse von Log-Dateien

Die folgenden Tools untersuchen Log-Dateien, nehmen die Daten daraus und erstellen Berichte.

NestWatch

NestWatch kann Log-Dateien von allen größeren Web-Servern und mehreren Firewalls importieren. NestWatch läuft auf Windows NT und kann Berichte in HTML ausgeben und diese an Server Ihrer Wahl verteilen.

Scandinavian Security Center

Smedegade 78

DK-7800-Horsens

Dänemark

Tel.: +45 7625 4330

Fax: +45 7625 4340

E-Mail: Scansec@sscnet.com

URL: http://www.sscnet.com/nestwatch.html

NetTracker

Sane Solutions, LLC

Tel.: +1-401-295-4809

E-Mail: info@sane.com

URL: http://www.sane.com/products/NetTracker/

NetTracker analysiert sowohl Firewall- als auch Proxy-Dateien. Das Produkt liefert umfassende Filter- und Berichterstellungsfunktionen und kann Daten zu Excel- und Access-Dateiformaten exportieren. Es kann ebenfalls generelle Zugangslog-Dateien analysieren und benutzerdefinierte Berichte formatieren, die sich für die Diagrammdarstellung eignen. NetTracker läuft auf Windows 95/Windows NT. Eine 30-Tage-Trialversion ist im Web erhältlich.

LogSurfer

LogSurfer ist ein umfassendes Analyse-Tool für Log-Dateien. Das Programm untersucht Klartext-Logdateien und führt verschiedene Aktionen durch, die auf dem basieren, was es vorgefunden hat (und den Regeln, die Sie bestimmt haben). Diese Aktionen beinhalten: eine Warnmeldung generieren, ein externes Programm ausführen oder sogar Teile der Log- Dateien herausnehmen und sie an externe Befehle oder Prozesse weiterleiten. LogSurfer braucht einen C-Compiler.

Universität Hamburg, Informatik-Abt.

DFN-CERT

Vogt-Koelln-Strasse 30

22527 Hamburg

URL: ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/logsurfer-1.41.tar-gz.

VBStats

VBStats ist ein mächtiger Logdateien-Analysator für Windows. Das Utility exportiert zum Microsoft-Access-Dateiformat zur weiteren Analyse Ihrer resultierenden Daten. Besonders interessant ist, daß VBStats den Prozeß umgekehrter DNS-Überprüfungen auf besuchende IP-Adressen automatisiert. So erfahren Sie die richtigen Hostnamen. Schon allein aus diesem Grund lohnt sich eine Anschaffung von VBStats. Außerdem kann VBStats sehr fein abgestimmte Berichte über Web-Serverzugänge ausgeben.

Autor: Bob Denny

URL: http://tech.west.ora.com/win-httpd/#vbstat/

Netlog

Netlog, das an der Texas A&M University entwickelt wurde, protokolliert jeden TCP- und UDP-Verkehr. Dieses Tool unterstützt außerdem die Protokollierung von ICMP-Nachrichten (obwohl die Entwickler angeben, daß die Durchführung dieser Protokollierung sehr speicherintensiv ist). Sie brauchen einen C-Compiler, um das Produkt zu benutzen.

Wegweiser:

Netlog finden Sie online unter ftp://coast.cs.purdue.edu/pub/tools/unix/ TAMU/.

Analog

Autor: Stephen Turner

University of Cambridge Statistical Laboratory

URL: http://www.statslab.cam.ac.uk/~sret1/analog/

Analog ist wahrscheinlich das einzige wahre plattformübergreifende Analyse-Tool für Log- Dateien. Analog läuft derzeit auf den folgenden Betriebssystemen:

Analog ist nicht nur plattformübergreifend, sondern bietet auch integrierte Unterstützung für eine ganze Reihe von Sprachen, darunter Englisch, Portugiesisch, Französisch, Deutsch, Schwedisch, Tschechisch, Slowakisch, Slowenisch, Rumänisch und Ungarisch.

Analog bietet außerdem umgekehrte DNS-Überprüfungen (langsam), eine integrierte Script- Sprache (ähnlich den Shell-Sprachen) und zumindest minimale Unterstützung für AppleScript.

Und schließlich unterstützt Analog die meisten der Web-Server-Logdateiformate, darunter Apache, NCSA, WebStar, IIS, W3 Extended, Netscape und Netpresenz.

15.5 Spezialisierte Protokollierungswerkzeuge

Courtney

Autor: Marvin J. Christensen

URL: ftp://ciac.llnl.gov/pub/ciac/sectools/unix/courtney/courtney.tar.Z

Courtney ist ein Perl-Script, das dazu entwickelt wurde, SATAN-Angriffe zu entdecken und zu protokollieren. In der Dokumentation zu Courtney wird beschrieben:

Courtney erhält Eingaben von tcpdump und zählt die Anzahl neuer Dienste, die ein Rechner innerhalb eines bestimmten Zeitrahmens hervorbringt. Wenn ein Rechner sich innerhalb dieses Zeitrahmens mit vielen Diensten verbindet, identifiziert Courtney diesen Rechner als einen potentiellen SATAN-Host.

Hinweis:

Tools wie SATAN (Port-Scanner) öffnen viele Socket-Verbindungen innerhalb kurzer Zeit. Dieses Verhalten ist sehr ungewöhnlich und kann leicht von Aktivitäten legitimer Benutzer unterschieden werden. Tools wie Courtney verlassen sich mehr auf das Verhalten eingehender Hosts (und ihren Regelkreis) als auf die Art der Daten, die übertragen werden.

Systemanforderungen umfassen libpcap-0.0, tcpdump-3.0 und perl5. Wenn Sie starken Netzverkehr auf Ihrem Rechner haben, kann Courtney durchaus viel Systemressourcen brauchen.

Gabriel

Los Altos Technologies, Inc.

Tel.: +1-800-999-Unix

Technischer Support: +1-408-973-7717

Fax: +1-408-973-7707

E-Mail: info@lat.com

URL: http://www.lat.com/

Gabriel dient dem gleichen Zweck wie Courtney - SATAN-Angriffe zu protokollieren und davor zu warnen. Gabriel ist jedoch völlig anders konzipiert und arbeitet auf Basis eines Servers und einer Reihe von Clients, die kontinuierlich Statusberichte ausgeben. Diese Statusberichte zeigen verschiedene Muster von Ressourcenbelegung durch entfernte Hosts. Wenn ein Host eine unangemessene Menge von Ressourcen belegt (oder eine unnormal große Anzahl von Verbindungen verlangt), wird dieser Host als möglicher Angreifer signalisiert. (Anmerkung: Gabriel verläßt sich größtenteils auf syslog.)

Sie brauchen ein generisches Unix-System, einen C-Compiler und Netzwerk-Include- Dateien, um Gabriel laufen zu lassen.

15.6 Zusammenfassung

Unterschätzen Sie niemals die Bedeutung detaillierter Log-Dateien. Sie sind nicht nur dann wichtig, wenn Sie ein Eindringen in Ihr Netzwerk untersuchen, sondern sie sind auch ein wichtiges Beweismittel, wenn Sie einen Angreifer anzeigen wollen. Spärliche Log-Dateien nützen Ihnen nichts.

Die meisten kriminellen Cracker-Fälle der letzten Jahre wurden mit gütlichen Vereinbarungen beendet. Das liegt daran, daß die Eindringlinge meistens Jugendliche waren, die »nur ein bißchen Spaß haben« wollten. Aber diese gütlichen Vereinbarungen werden mehr und mehr verschwinden, wenn wirklich kriminelle Existenzen in das Internet eindringen. Wahre Kriminelle wissen, daß es sehr schwierig ist, einen Fall vor Gericht zu beweisen (insbesondere wenn die Anklage nur wenig Internet-Erfahrung hat). Wenn das Gericht einen Angeklagten verurteilen will, muß es stichhaltige Beweise haben. Der einzige Weg, wie Sie stichhaltige Beweise zur Verfügung stellen können, ist, indem Sie einige todsichere Methoden zur Protokollierung haben.

Verbrechen, die über das Internet begangen werden, unterscheiden sich erheblich von anderen Verbrechen. Bei einem Raubüberfall beispielsweise kann das Opfer den Täter durch Gegenüberstellung identifizieren. Bei einem Einbruch können Fingerabdrücke den Täter überführen. Im Internet dagegen haben Sie weder eine Beschreibung des Täters noch Fingerabdrücke. Daher ist es nahezu unmöglich, einen Fall gegen einen Cracker aufzubauen, wenn Sie keine Log-Dateien vorweisen können.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel