Prozesse anzeigen
Uwe Walter
info at warp-factor.de
Sam Dez 8 05:03:10 GMT 2007
Am Samstag, den 08.12.2007, 02:32 +0100 schrieb Gerhard Gaußling:
> tripwire ist übrigens so ein angeblich "mäßig sicheres" IDS, das u.a.
> mit MD5 arbeitet.
Bei tripwire würde ich nicht von einem IDS sprechen. Als
Intrusion-Detection wird die *aktive* Überwachung bezeichnet, die
tripwire ganz eindeutig nicht leistet. Dieser Integritätschecker dient
nur dem Abgleich, aber keiner Liveüberwachung.
Nehmen wir snort als Beispiel. Es schaltet die Ethernetkarte in den
Promiscous Mode und überwacht die Datenpakete, die darüber fließen.
Weiter hat es eine Signaturdatenbank, auf die es die durchfließenden
Pakete abprüft.
Der erste Punkt ist, dass solche Signaturen *nur* bekannte
Angriffsvarianten abbilden können. Neue bleiben somit unentdeckt. In der
Vergangenheit hat es sogar schon Angriffe gegeben, bei denen Snort durch
gefakte Signaturen ausgetrickst wurde. Es kann also lediglich der
Analyse dienen und würde meines Erachtens nur auf einem Honeypot, bzw.
in einem Honeynet Sinn machen.
Der zweite Punkt ist, dass für diese Prüfung natürlich auch Rechenzeit
benötigt wird. Wird die Karte in den promiscous Mode geschaltet, dann
bedeutet das ja, dass die Daten in eine höhere Schicht geholt werden,
mit der Signaturliste verglichen und danach wieder zurück auf den
Netzwerklayer müssen. Somit arbeitet ein Produktiv-System nicht mit der
tatsächlich verfügbaren Netzwerkleistung. Dies stellt meiner Ansicht
ganz klar einen Nachteil dar.
> "Tripwire is a form of intrusion detection [...]
Das finde ich in der Tat etwas unglücklich formuliert, auch wenn ganz
klar hier steht "... a form of ...".
> It creates a 'secure'
> (normally kept on a read-only disk/diskette along w/ the tripwire
> executable) database [...]
"Secure" in dem Sinne, dass ich die Datenbank sowie die Policy und das
executable auf ein anderes System bringe, auf dem der Angreifer daran
nicht rumfummeln kann. Wenn ich richtig paranoid bin, dann nehme ich
auch gleich noch die shared libs mit, aber das wäre dann schon ein Bissl
abgedreht. ;-)
> http://de.wikipedia.org/wiki/Kryptologische_Hash-Funktion.
> http://de.wikipedia.org/wiki/MD5
Die Sicherheit von MD5 als Hash-Funktion zum verschlüsseln von irgendwas
steht außer Frage. Die Tools das zu knacken gibt es schon seit einigen
Jahren. Aber für die Integritätsprüfung ist ein MD5 Hasch allemal sicher
genug.
Natürlich kenne ich die von Dir genannten Artikel, und sogar die
Folgenden.
http://de.wikipedia.org/wiki/Kollisionsangriff
http://de.wikipedia.org/wiki/Preimage-Angriff
> "So kann ein bestehendes, mit MD5 erzeugtes Zertifikat nach wie vor
> nicht gefälscht werden."
Das stimmt so leider nicht ganz, wie vor allem der Preimage-Angriff
zeigt. Aber es *dauert*!
> Hattest Du es nicht als einzige Möglichkeit gesehen, im Falle eines
> Einbruchs darauf aufmerksam zu werden?
> [...]
> Irgendwie scheint es mir, dass Du Dich hier widersprichst?
Wenn ich's genau bedenke, hast Du sogar Recht ja. Aber Intrusion
Detection hat nach meiner Ansicht nichts mit System Hardening zu tun.
Ein sehr intereassenter Artikel zum Thema ist auch der Folgende.
http://www.bsi.de/literat/studien/ids02/gr1.htm
Ich folge da aber doch eher dem Beispiel der NSA, die ja am liebsten
alles und jeden kontrollieren würden. Zumal hier ein Ansatz verfolgt
wird, der direkt an der Wurzel sitzt.
http://www.nsa.gov/selinux/
Sinnvoll gerade auch auf Systemen, wo ich den Benutzern auf die Finger
schauen muss. So kann ich dann zwischendurch mal ermahnend den
Zeigefinger heben: "Du du du, was machst' denn da?".
> Oder ist das der ganz alltägliche Verfolgungswahn eines Admins? ;-)
Natürlich! :D
Ich muss schon zugeben, dass der erste Gedanke immer in Richtung Angriff
geht, wenn etwas mal nicht so läuft wie erwartet. Aber glücklicherweise
kann ich dann in 98% Prozent der Fälle wieder aufatmen und mir denken:
"Na siehste, hat ja doch was gebracht sich quadratische Augen zu
holen." :-)
Gruß Uwe