Hacking Mit Security Onion Sicherheit Im Netzwerk Überwachen: Daten Erfassen Und Sammeln, Analysieren Und Angriffe Rechtzeitig Erkennen

Alle Phasen des Network Security Monitoring erklärt: Erfassung, Erkennung und Analyse

Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig erkennen

• Network Security Monitoring im Detail verstehen und selbst durchführen • Linux-Distribution für Netzwerksicherheitsanalysen: Security Onion installieren und nutzen • Open-Source-Tools im Praxiseinsatz: Bro, Daemonlogger, Dumpcap, Justniffer, Honeyd, Httpry, Netsniff-NG, Sguil, SiLK, Snorby Snort, Squert, Suricata, TShark, Wireshark und mehr 60496-3 Titelei.qxp_X 08.08.16 15:33 Seite 1

Chris Sanders/Jason Smith Hacking mit Security Onion 60496-3 Titelei.qxp_X 08.08.16 15:33 Seite 3

Chris Sanders/Jason Smith Hacking mit Security Onion Sicherheit im Netzwerk überwachen: Daten erfassen und sammeln, analysieren und Angriffe rechtzeitig erkennen

Bibliografische Information der Deutschen Bibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte Daten sind im Internet über http://dnb.ddb.de abrufbar.

Alle Angaben in diesem Buch wurden vom Autor mit größter Sorgfalt erarbeitet bzw. zusammengestellt und unter Einschaltung wirksamer Kontrollmaßnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschließen. Der Verlag und der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, dass sie weder eine Garantie noch die ju- ristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, überneh- men können. Für die Mitteilung etwaiger Fehler sind Verlag und Autor jederzeit dankbar. Internetadressen oder Versionsnummern stellen den bei Redaktionsschluss verfügbaren Informationsstand dar. Verlag und Autor über- nehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertretenden Umständen ergeben. Evtl. beigefügte oder zum Download angebotene Dateien und Informationen dienen aus- schließlich der nicht gewerblichen Nutzung. Eine gewerbliche Nutzung ist nur mit Zustimmung des Lizenzinha- bers möglich.

This edition of Applied Network Security Monitoring by Chris Sanders and Jason Smith is published by arrangement with ELSEVIER INC., a Delaware corporation having its principal place of business at 360 Park Avenue South, New York, NY 10010, USA

ISBN der englischen Originalausgabe: 978-0124172081

Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Me- dien. Das Erstellen und Verbreiten von Kopien auf Papier, auf Datenträgern oder im Internet, insbesondere als PDF, ist nur mit ausdrücklicher Genehmigung des Verlags gestattet und wird widrigenfalls strafrechtlich verfolgt.

Die meisten Produktbezeichnungen von Hard- und Software sowie Firmennamen und Firmenlogos, die in diesem Werk genannt werden, sind in der Regel gleichzeitig auch eingetragene Warenzeichen und sollten als solche betrachtet werden. Der Verlag folgt bei den Produktbezeichnungen im Wesentlichen den Schreibweisen der Hersteller.

Autor: Chris Sanders und Jason Smith Programmleitung: Dr. Markus Stäuble Satz: G&U Language & Publishing Services GmbH, Flensburg art & design: www.ideehoch2.de Druck: M.P. Media-Print Informationstechnologie GmbH, 33100 Paderborn Printed in Germany

ISBN 978-3-645-60496-3 Dieses Buch ist ein Produkt der Stärke, die ich durch Liebe gewonnen habe. Ich widme es Gott, meiner Frau Ellen und allen, die mich weiterhin lieben und unterstützen. »Aber die auf den HERRN harren, kriegen neue Kraft, dass sie auffahren mit Flügeln wie Adler, dass sie laufen und nicht matt werden, dass sie wandeln und nicht müde werden.« Jesaja 40:31 (Luther)

Inhaltsverzeichnis

Danksagung...... 19

Die Autoren...... 21

Geleitwort...... 25

Vorwort...... 27 Zielpublikum...... 28 Voraussetzungen...... 29 Der Aufbau dieses Buches...... 30 Hinweis zu IP-Adressen...... 32 Begleitwebsite...... 33 Unterstützung für wohltätige Organisationen...... 33 Rural Technology Fund...... 33 Hackers for Charity...... 33 Kiva ...... 34 Hope for the Warriors®...... 34 Autism Speaks...... 34 Kontakt...... 35

1. Network Security Monitoring in der Praxis...... 37 1.1 Kernbegriffe des Network Security Monitoring...... 39 1.1.1 Schützenswerte Güter...... 39 1.1.2 Angreifer...... 39 1.1.3 Schwachstelle...... 40 1.1.4 Exploit...... 40 1.1.5 Risiko...... 40 8 Inhaltsverzeichnis

1.1.6 Anomalie...... 40 1.1.7 Zwischenfall...... 41 1.2 Intrusion Detection...... 41 1.3 Network Security Monitoring...... 42 1.4 Schwachstellen- und bedrohungsorientierte Verteidigung im Vergleich...45 1.5 Der NSM-Zyklus: Erfassung, Erkennung und Analyse...... 46 1.5.1 Erfassung...... 47 1.5.2 Erkennung...... 47 1.5.3 Analyse...... 48 1.6 Kritik an NSM...... 48 1.7 Die Analytiker...... 49 1.7.1 Wichtige Fähigkeiten...... 50 1.7.2 Einteilung von Analytikern...... 52 1.7.3 Messen des Erfolgs...... 53 1.8 Security Onion...... 57 1.8.1 Installation...... 57 1.8.2 Security Onion aktualisieren...... 59 1.8.3 NSM-Dienste einrichten...... 59 1.8.4 Security Onion testen...... 60 1.9 Zusammenfassung...... 62

Teil 1: Erfassung 63

2. Die Datenerfassung planen...... 65 2.1 Applied Collection Framework (ACF)...... 66 2.1.1 Bedrohungen identifizieren...... 67 2.1.2 Das Risiko quantifizieren...... 69 2.1.3 Datenquellen identifizieren...... 70 2.1.4 Die Erfassung eingrenzen...... 70 Inhaltsverzeichnis 9

2.2 Fallstudie: Onlinehändler...... 73 2.2.1 Bedrohungen der Organisation identifizieren...... 74 2.2.2 Das Risiko quantifizieren...... 75 2.2.3 Datenquellen identifizieren...... 77 2.2.4 Die Erfassung eingrenzen...... 81 2.3 Zusammenfassung...... 83

3. Sensoren...... 85 3.1 NSM-Datentypen...... 86 3.1.1 Paketdaten (FPC)...... 86 3.1.2 Sitzungsdaten...... 86 3.1.3 Statistische Daten...... 87 3.1.4 Paketstringdaten (PSTR)...... 87 3.1.5 Protokolldaten...... 87 3.1.6 Alarmdaten...... 87 3.2 Sensortypen...... 89 3.2.1 Nur Erfassung...... 89 3.2.2 Halbzyklus...... 89 3.2.3 Vollzyklus...... 89 3.3 Sensorhardware...... 90 3.3.1 CPU...... 91 3.3.2 Arbeitsspeicher...... 92 3.3.3 Festplattenplatz...... 93 3.3.4 Netzwerkschnittstellen...... 96 3.3.5 Lastenausgleich: Anforderungen für Socketpuffer...... 98 3.3.6 SPAN-Ports und Netzwerk-Taps im Vergleich...... 99 3.4 Das Betriebssystem des Sensors...... 104 10 Inhaltsverzeichnis

3.5 Platzierung von Sensoren...... 104 3.5.1 Die richtigen Ressourcen nutzen...... 105 3.5.2 Ein- und Austrittspunkte...... 105 3.5.3 Sichtbarkeit interner IP-Adressen...... 107 3.5.4 Nähe zu kritischen Elementen...... 110 3.5.5 Sichtfelddiagramme der Sensoren aufstellen...... 111 3.6 Den Sensor absichern...... 113 3.6.1 Betriebssystem- und Softwareaktualisierungen...... 114 3.6.2 Das Betriebssystem absichern...... 114 3.6.3 Eingeschränkter Internetzugriff...... 115 3.6.4 Minimale Softwareinstallation...... 115 3.6.5 VLAN-Segmentierung...... 115 3.6.6 Host-IDS...... 116 3.6.7 Zwei-Faktor-Authentifizierung...... 116 3.6.8 Netzwerk-IDS...... 116 3.7 Zusammenfassung...... 117

4. Sitzungsdaten...... 119 4.1 Flussdatensätze...... 120 4.1.1 NetFlow...... 124 4.1.2 IPFIX...... 125 4.1.3 Andere Flusstypen...... 125 4.2 Sitzungsdaten erfassen...... 126 4.2.1 Hardwareseitige Generierung...... 126 4.2.2 Softwareseitige Generierung...... 127 4.3 Flussdaten mit SiLK erfassen und analysieren...... 128 4.3.1 Das Packsystem von SiLK...... 129 4.3.2 Flusstypen in SiLK...... 130 4.3.3 Die Analysesuite von SiLK...... 131 Inhaltsverzeichnis 11

4.3.4 SiLK in Security Onion installieren...... 132 4.3.5 Flussdaten mit Rwfilter filtern...... 132 4.3.6 Verketten von Analysetools...... 134 4.3.7 Zusätzliche Werkzeuge und Dokumentation...... 138 4.4 Flussdaten mit Argus erfassen und analysieren...... 138 4.4.1 Architektur...... 139 4.4.2 Merkmale...... 139 4.4.3 Grundlegender Datenabruf...... 140 4.4.4 Weitere Informationen über Argus...... 142 4.5 Überlegungen zur Speicherung von Sitzungsdaten...... 142 4.6 Zusammenfassung...... 144

5. FPC-Daten...... 145 5.1 Dumpcap...... 147 5.2 Daemonlogger...... 149 5.3 Netsniff-NG...... 150 5.4 Das passende FPC-Erfassungswerkzeug auswählen...... 152 5.5 Die FPC-Datenerfassung planen...... 153 5.5.1 Speicherplatz...... 153 5.5.2 Den Durchsatz an der Sensorschnittstelle mit Netsniff-NG und Ifpps berechnen...... 155 5.5.3 Den Durchsatz an der Sensorschnittstelle mithilfe von Sitzungsdaten berechnen...... 156 5.6 Den Speicherbedarf für FPC-Daten senken...... 159 5.6.1 Dienste ausschließen...... 159 5.6.2 Kommunikation zwischen bestimmten Hosts ausschließen...... 161 5.7 Die Aufbewahrung der FPC-Daten verwalten...... 163 5.7.1 Aufbewahrung nach Zeit...... 164 5.7.2 Aufbewahrung nach Umfang...... 164 5.8 Zusammenfassung...... 169 12 Inhaltsverzeichnis

6. Paketstringdaten...... 171 6.1 Was sind Paketstringdaten?...... 172 6.2 PSTR-Datenerfassung...... 174 6.2.1 PSTR-Daten manuell generieren...... 176 6.2.2 URLsnarf...... 177 6.2.3 Httpry...... 178 6.2.4 Justniffer...... 181 6.3 PSTR-Daten anzeigen...... 186 6.3.1 Logstash...... 186 6.3.2 Rohtextzerlegung mit BASH-Tools...... 195 6.4 Zusammenfassung...... 198

Teil 2: Erkennung 199

7. Erkennungsmechanismen, Einbruchsindikator en und Signaturen...... 201 7.1 Erkennungsmechanismen...... 201 7.2 Einbruchsindikatoren und Signaturen...... 203 7.2.1 Host- und Netzwerkindikatoren...... 204 7.2.2 Statische Indikatoren...... 205 7.2.3 Variable Indikatoren...... 208 7.2.4 Evolution von Indikatoren und Signaturen...... 210 7.2.5 Signaturen optimieren...... 212 7.2.6 Entscheidende Kontextinformationen für Indikatoren und Signaturen... 214 7.3 Indikatoren und Signaturen verwalten...... 216 7.3.1 Einfache Verwaltung von Indikatoren und Signaturen mit CSV-Dateien... 217 7.3.2 Masterliste der Indikatoren und Signaturen...... 218 7.3.3 Revisionstabelle für Indikatoren und Signaturen...... 221 Inhaltsverzeichnis 13

7.4 Frameworks für Indikatoren und Signaturen...... 223 7.4.1 OpenIOC...... 223 7.4.2 STIX...... 226 7.5 Zusammenfassung...... 228

8. Reputationsgestützte Erkennung...... 229 8.1 Öffentliche Reputationslisten...... 230 8.1.1 Gängige öffentliche Reputationslisten...... 231 8.1.2 Häufig auftretende Probleme bei der Verwendung öffentlicher Reputationslisten...... 236 8.2 Automatisieren der reputationsgestützten Erkennung...... 239 8.2.1 Manuelles Abrufen und Erkennen mit BASH-Skripten...... 239 8.2.2 Collective Intelligence Framework (CIF)...... 245 8.2.3 Reputationsgestützte IP-Adressenerkennung mit Snort...... 249 8.2.4 Reputationsgestützte IP-Adressenerkennung mit Suricata...... 251 8.2.5 Reputationserkennung mit Bro...... 254 8.3 Zusammenfassung...... 258

9. Signaturgestützte Erkennung mit Snort und Suricata...... 261 9.1 Snort...... 262 9.1.1 Die Architektur von Snort...... 263 9.2 Suricata...... 265 9.2.1 Die Architektur von Suricata...... 266 9.3 IDS-Engines in Security Onion austauschen...... 268 9.4 Snort und Suricata initialisieren...... 269 9.5 Snort und Suricata konfigurieren...... 272 9.5.1 Variablen...... 273 9.5.2 Regelsätze definieren...... 277 9.5.3 Alarmausgabe...... 284 14 Inhaltsverzeichnis

9.5.4 Snort-Präprozessoren...... 287 9.5.5 Zusätzliche Befehlszeilenargumente für den NIDS-Modus...... 288 9.6 IDS-Regeln...... 290 9.6.1 Aufbau von Regeln...... 290 9.6.2 Optimierung von Regeln...... 308 9.7 Snort- und Suricata-Alarme anzeigen...... 316 9.7.1 Snorby...... 317 9.7.2 Sguil...... 318 9.8 Zusammenfassung...... 318

10. Bro...... 319 10.1 Grundprinzipien von Bro...... 320 10.2 # ausführen...... 322 10.3 Bro-Protokolle...... 322 10.4 Eigene Erkennungswerkzeuge mit Bro erstellen...... 327 10.4.1 Dateien extrahieren...... 328 10.4.2 Selektive Dateiextraktion...... 330 10.4.3 Dateien aus laufendem Netzwerkverkehr entnehmen...... 332 10.4.4 Bro-Code verpacken...... 335 10.4.5 Konfigurationsoptionen hinzufügen...... 335 10.4.6 Darknet-Überwachung mit Bro...... 338 10.4.7 Das Darknet-Skript erweitern...... 346 10.4.8 Die Standardverarbeitung von Benachrichtigungen aufheben...... 346 10.4.9 Benachrichtigungen unterbinden, E-Mails senden und Alarme auslösen – auf die einfache Weise...... 351 10.4.10 Den Bro-Protokollen neue Felder hinzufügen...... 352 10.5 Zuammenfassung...... 356 Inhaltsverzeichnis 15

11. Anomaliegestützte Erkennung anhand von statistischen Daten...... 357 11.1 Kommunikationsintensive Hosts mit SiLK finden...... 358 11.2 Diensterkennung mit SiLK...... 362 11.3 Weitere Erkennungsmöglichkeiten mithilfe von Statistiken...... 368 11.4 Statistiken mit Gnuplot grafisch darstellen...... 371 11.5 Statistiken mit Google Charts grafisch darstellen...... 375 11.6 Statistiken mit Afterglow grafisch darstellen...... 380 11.7 Zusammenfassung...... 386

12. Frühwarn-Honeypots zur Erkennung...... 387 12.1 Frühwarn-Honeypots...... 388 12.2 Arten von Honeypots...... 389 12.3 Architektur von Frühwarn-Honeypots...... 390 12.3.1 Phase 1: Die zu simulierenden Geräte und Dienste bestimmen...... 391 12.3.2 Phase 2: Die Platzierung der Honeypots bestimmen...... 391 12.3.3 Phase 3: Alarmierung und Protokollierung entwickeln...... 393 12.4 Honeypotplattformen...... 394 12.4.1 Honeyd...... 395 12.4.2 Der SSH-Honeypot Kippo...... 399 12.4.3 Tom’s Honeypot...... 404 12.4.4 Honeydocs...... 407 12.5 Zusammenfassung...... 410 16 Inhaltsverzeichnis

Teil 3: Analyse 411

13. Paketanalyse...... 413 13.1 Gestatten: das Paket!...... 414 13.2 Paketmathematik...... 416 13.2.1 Hexdarstellung von Bytes...... 416 13.2.2 Hexwerte ins Binär- und Dezimalformat umwandeln...... 418 13.2.3 Bytes zählen...... 419 13.3 Pakete zerlegen...... 422 13.4 Tcpdump für die NSM-Analyse...... 428 13.5 Tshark für die Paketanalyse...... 432 13.6 Wireshark für die NSM-Analyse...... 437 13.6.1 Pakete erfassen...... 437 13.6.2 Das Format der Zeitanzeige ändern...... 439 13.6.3 Übersicht über die Paketerfassung...... 440 13.6.4 Protokollhierarchie...... 441 13.6.5 Endpunkte und Konversationen...... 442 13.6.6 Streams verfolgen...... 443 13.6.7 E/A-Diagramm...... 444 13.6.8 Objekte exportieren...... 446 13.6.9 Benutzerdefinierte Spalten hinzufügen...... 447 13.6.10 Zerlegungsoptionen für Protokolle einrichten...... 449 13.6.11 Erfassungs- und Anzeigefilter...... 450 13.7 Paketfilter...... 451 13.7.1 Berkeley-Paketfilter (BPF)...... 451 13.7.2 Anzeigefilter von Wireshark...... 456 13.8 Zusammenfassung...... 461 Inhaltsverzeichnis 17

14. Aufklärung über Freund und Feind...... 463 14.1 Der Aufklärungszyklus für NSM...... 463 14.1.1 Definition der Anforderungen...... 464 14.1.2 Planung...... 465 14.1.3 Erfassung...... 466 14.1.4 Verarbeitung...... 466 14.1.5 Analyse...... 467 14.1.6 Weitergabe...... 467 14.2 Aufklärung über eigene Elemente...... 467 14.2.1 Anamnese und physische Untersuchung von Netzwerkelementen...... 468 14.2.2 Ein Bestandsmodell des Netzwerks aufstellen...... 469 14.2.3 PRADS (Passive Real-Time Asset Detection System)...... 473 14.3 Aufklärung über Bedrohungen...... 480 14.3.1 Recherche über gegnerische Hosts...... 482 14.3.2 Recherche über schädliche Dateien...... 492 14.4 Zusammenfassung...... 500

15. Der Analysevorgang...... 501 15.1 Analysemethoden...... 502 15.1.1 Relationale Untersuchung...... 502 15.1.2 Differenzielle Diagnose...... 509 15.1.3 Umsetzen der Analysemethoden...... 517 15.2 Empfohlene Vorgehensweisen für die Analyse...... 518 15.2.1 Bei Paketen können Sie sich auf nichts verlassen...... 518 15.2.2 Machen Sie sich klar, wie die Daten abstrahiert werden...... 518 15.2.3 Vier Augen sehen mehr als zwei...... 519 15.2.4 Laden Sie einen Angreifer niemals zum Tanz ein...... 519 15.2.5 Pakete sind von Natur aus gut...... 520 18 Inhaltsverzeichnis

15.2.6 Wireshark macht so wenig einen Analytiker wie ein Teleskop einen Astronomen...... 520 15.2.7 Klassifizierung hilft...... 521 15.2.8 Die Zehnerregel...... 522 15.2.9 Wenn Sie Hufe klappern hören, halten Sie nach Pferden Ausschau – nicht nach Zebras...... 523 15.3 Morbidität und Mortalität von Zwischenfällen...... 523 15.3.1 M&M in der Medizin...... 524 15.3.2 M&M in der Informationssicherheit...... 524 15.4 Zusammenfassung...... 530

A. Steuerskripte für Security Onion...... 531 A.1 Befehle auf oberster Ebene...... 531 A.2 Befehle zur Serversteuerung...... 532 A.3 Befehle zur Sensorsteuerung...... 535

B. Wichtige Dateien und Verzeichnisse von Security Onion...... 539 B.1 Anwendungsverzeichnisse und Konfigurationsdateien...... 539 B.2 Verzeichnisse für Sensordaten...... 541

C. Paketheader...... 543

D. Umrechnungstabelle Dezimalzahlen/Hex/ASCII...... 549

Stichwortverzeichnis...... 551 19

Danksagung

In 2. Korinther 12, 9 heißt es: »Und er hat zu mir gesagt: Lass dir an meiner Gnade genügen; denn meine Kraft ist in den Schwachen mächtig. Darum will ich mich am allerliebsten rühmen meiner Schwachheit, auf dass die Kraft Christi bei mir wohne.« Dass ich in der Lage war, dieses Buch zu schreiben, legt Zeugnis davon ab, dass Gottes Kraft in den Schwachen mächtig ist. Es war das schwierigste Projekt, das ich jemals in An- griff genommen habe, und es war mein Glaube an Gott, der mich durchhalten ließ. Seine Hilfe hat dieses Buch und alle meine anderen Projekte möglich gemacht. Ich hoffe sehr, dass mein Werk Zeugnis von seiner großartigen Macht ablegen kann. Dieses Buch war nur dank der direkten und indirekten Beiträge vieler Menschen möglich. Ich möchte diese Gelegenheit nutzen, ihnen zu danken. Ellen, du bist meine Liebe, meine Stütze, meine Stärke und mein größter Fan. Nichts von alldem wäre ohne dich möglich gewesen. Ich möchte dir dafür danken, dass du den Stress, die Verzweiflung, die hektischen Stunden und den allgemeinen Wahnsinn ertragen hast, die mit dem Schreiben eines Buches verbunden sind. Ich möchte dir für die Hilfe danken, das Buch Korrektur zu lesen. Da konntest du endlich deinen Abschluss in Anglistik nutzen. Ich liebe dich und bin so stolz, dein Mann zu sein. Mama und Papa, wegen eures Einflusses bin ich der Mensch geworden, der ich bin. Alles, was ich tue, ist und bleibt eine Ehrung eures Charakters und eurer Liebe. Ich liebe dich, Papa. Ruhe in Frieden, Mama. Familie Sanders, wir sind zwar nicht viele, aber unsere gegenseitige Liebe ist enorm und für mich so wichtig. Auch wenn wir weit voneinander entfernt leben, weiß ich, dass ihr mich liebt und mich unterstützt, und dafür danke ich euch. Familie Perkins, es war wirklich erstaunlich, wie ihr mich in eurem Leben willkommen geheißen habt, und ich fühle mich gesegnet, dass ich eure Liebe und Unterstützung genieße. Jason Smith, du bist buchstäblich der klügste Mensch, dem ich je begegnet bin. Du bist nicht nur ein großartiger Mitarbeiter und Co-Autor, sondern hast dich auch als großarti- ger Freund erweisen. Ich scheue mich nicht zu sagen, dass du für mich wie ein Bruder bist. Ich bin ewig dankbar für alles. David Bianco und Liam Randall, ich kann euch nicht genug für eure Beiträge zu diesem Buch danken. Ich schätze sie weit mehr, als ihr euch vorstellen könnt. 20 Danksagung

Was meine (ehemaligen und jetzigen) Mitarbeiter betrifft, war ich immer der Überzeu- gung, dass man selbst zu einer besseren Person wird, wenn man sich mit guten Menschen umgibt. Ich habe das Glück, mit den hervorragenden Menschen zusammenzuarbeiten, die zu den Besten und Brillantesten in der Branche gehören. Mein besonderer Dank gilt Jimmy, Jay, Suzanne, Teresa, John, Tom, Don, Rad, Larry, Jaime, James, Bob und Alec von der InGuardians-Familie. Ich möchte auch meine besondere Anerkennung für Mike Poor ausdrücken, der das Geleitwort zu diesem Buch geschrieben hat und zu meinen Paketninja-Idolen gehört. Den Mitarbeitern bei Syngress möchte ich dafür danken, dass sie mir die Gelegenheit ge- boten haben, dieses Buch zu schreiben und meinen Traum wahr werden zu lassen. Der technische Inhalt und die Richtung, die dieses Buches genommen hat, sind das Produkt von mehr Personen, als ich hier nennen kann, aber ich werde es wenigstens versuchen. Neben den bereits genannten möchte ich auch den folgenden Personen für ihre Beiträge danken, sei es die Begutachtung eines Kapitels oder die Besprechung einer Idee. Ohne euch wäre dies nicht möglich gewesen: Alexi Valencia, Ryan Clark, Joe Kadar, Stephen Reese, Tara Wink, Doug Burks, Richard Bejtlich, George Jones, Richard Friedberg, Geoffrey Sanders, Emily Sarneso, Mark Thomas, Daniel Ruef, der Rest des CERT-NetSA-Teams, Joel Esler, das Bro-Team, Mila Parkour, Dustin Weber und Daniel Borkmann. Chris Sanders 21

Die Autoren

Chris Sanders (Hauptautor) Chris Sanders ist Berater, Autor und Forscher auf dem Gebiet der Informationssicher- heit. Ursprünglich stammt er aus Mayfield in Kentucky, das 30 Meilen südwestlich einer Kleinstadt namens Possum Trot liegt, 40 Meilen südöstlich der Gehöftansamm- lung Monkey's Eyebrow und knapp nördlich einer Kurve, die allen Ernstes den Namen Podunk trägt. Chris ist leitender Sicherheitsanalytiker bei InGuardins. Er hat umfassende Erfahrung in der Unterstützung von Behörden und militärischen Dienststellen sowie mehrerer Fortune- 500-Unternehmen. In mehreren Positionen beim US-Verteidigungsministerium hat Chris erheblich dabei geholfen, die Rolle des CNDSP-Modells (Computer Network Defense Ser- vice Provider) zu fördern und verschiedene NSM- und Aufklärungswerkzeuge zu erstellen, die zurzeit zur Verteidigung der Nation eingesetzt werden. Chris hat mehrere Bücher und Artikel geschrieben, darunter den internationalen Best- seller Practical Packet Analysis von No Starch Press, der zurzeit seine zweite Auflage erlebt. Außerdem ist er mit mehreren Branchenzertifizierungen ausgezeichnet worden, darunter SANS GSE und CISSP. Im Jahr 2008 hat Chris den Rural Technology Fund gegründet. Dabei handelt es sich um eine nicht kommerzielle Organisation nach Artikel 501(c)(3), die Studenten aus ländlichen Gegenden Stipendien auf dem Gebiet der Computertechnologie verleiht. Die Organisation fördert durch verschiedene Programme auch die technologische Entwick- lung in ländlichen Gegenden. Sie hat bereits Tausende von Dollar an Stipendien und Unterstützung für Studenten aus dem ländlichen Raum bereitgestellt. Wenn Chris nicht gerade bis zu den Knien in Paketen steckt, besucht er die Spiele der Basketballmannschaft Wildcats der University of Kentucky, betätigt sich als Grillmeister und Hobby-Drohnenkonstrukteur und verbringt viel Zeit am Strand. Zurzeit lebt er mit seiner Frau Ellen in Charleston, South Carolina. Chris unterhält Blogs auf http://www.appliednsm.com und http://www.chrissanders.org. Auf Twitter finden Sie ihn als @chrissanders88. 22 Die Autoren

Jason Smith (Co-Autor) Jason Smith arbeitet tagsüber als Intrusion-Detection-Analytiker und betätigt sich in seiner Freizeit als Schrottingenieur. Er stammt ursprünglich aus Bowling Green in Kentucky und hat seine Karriere mit Data Mining in umfangreichen Datenmengen und der Finite- Element-Methode als aufstrebender Physiker begonnen. Durch schieren Zufall brachte ihn sein Faible für Data Mining zu Informationssicherheit und Network Security Moni- toring, wo er der Faszination der Datenbearbeitung und Automatisierung erlag. Jason blickt auf eine lange Tätigkeit zurück, bei der er Staats- und Bundesbehörden beim Schutz ihres Perimeternetzwerks geholfen hat. Zurzeit arbeitet er als Sicherheitsingenieur bei Mandiant. Im Rahmen seiner Entwicklungsarbeit hat er mehrere Open-Source-Projekte aufgebaut, die zu den empfohlenen Werkzeugen für das DISA-CNDSP-Programm gehören. Seine Wochenenden verbringt er regelmäßig in der Garage, um dort alles mögliche zu bauen, von Arcade-Spielautomaten bis zu Monoposto-Rennwagen. Zu seinen anderen Hobbys gehören Hausautomatisierungstechnik, Schusswaffen, Monopoly, Gitarrespie- len und Essen. Jason liebt das ländliche Amerika, ist ein passionierter Autofahrer und wird von einem rücksichtslosen Lernwillen angetrieben. Zurzeit wohnt er in Frankfort, Kentucky. Sein Blog finden Sie auf http://www.appliednsm.com, und er twittert als @automayt.

David J. Bianco (Mitwirkender) Bevor er Leiter des Hunt Teams bei Mandiant wurde, hat David fünf Jahre damit verbracht, ein aufklärungsgestütztes Erkennungs- und Reaktionsprogramm für ein Fortune-5-Unternehmen aufzubauen. Dabei hat er die Erkennungsstrategien für ein Netzwerk aus fast 600 NSM-Sensoren in mehr als 160 Ländern festgelegt und die Kri- senreaktion auf die schwersten Zwischenfälle geleitet hat, die es in dem Unternehmen gegeben hat, hauptsächlich gezielte Angriffe. Als Blogger, Redner und Autor ist er in der Gemeinschaft der Sicherheitsexperten aktiv. Sie können David häufig zu Hause antreffen, wo er Doctor Who schaut, einen seiner vier Dudelsäcke spielt oder einfach mit seinen Kindern herumalbert. Er liebt lange Spazier- gänge fast überall, nur nicht am Strand. David führt ein Blog auf http://detect-respond.blogspot.com und ist als @DavidJBianco auf Twitter unterwegs. Die Autoren 23

Liam Randall (Mitwirkender) Liam Randall geschäftsführender Teilhaber bei der Broala LLC in San Francisco, der Bera- tungsgruppe von Bro Core Teams. Er stammt ursprünglich aus Louisville in Kentucky, wo er als Systemadministrator arbeitete, während er bei der Xavier University seinen Bachelor in Informatik machte. Seine erste Arbeit auf dem Gebiet der Sicherung bestand darin, Gerätetreiber und XFS-Software für Geldautomaten zu schreiben. Zurzeit ist er als Berater für hochvolumige Sicherheitslösungen für Fortune 50, Research and Education Networks, verschiedene Teile der Streitkräfte und andere Organisationen tätig, die sehr auf Sicherheit achten müssen. Er ist als Redner beim Shmoocon, beim Darbycon und eim MIRcon aufgetreten und gibt regelmäßig Bro-Kurse bei Veranstal- tungen zum Thema Sicherheit. Liam ist Ehemann und Vater und verbringt seine Wochenenden damit, Wein und Käse zu machen, im Garten zu arbeiten und technische Spielereien zu reparieren. Als Liebhaber von Freiluftaktivitäten nehmen seine Frau und er an Triatholons teil, schwimmen lange Strecken und genießen die örtliche Gemeinschaft. Liam führt ein Blog auf http://liamrandall.com und ist twittert als @Hectaman.

Geleitwort

Eine Infrastruktur für Network Security Monitoring aufzubauen und zu betreiben ist ein anspruchsvolles Unterfangen. Chris Sanders und sein Autorenteam haben ein Grundge- rüst für NSM geschaffen und geben dem Leser einen formalen Plan an die Hand, um Network Security Monitoring in die Praxis umzusetzen. Mittlere und große Organisationen stöhnen unter der Menge der Daten, die sie erfassen. Bei mehr als 100 Millionen Ereignissen in einigen Fällen ist es unverzichtbar, eine Überwa- chungsinfrastruktur und standardisierte Verfahren zur Hand zu haben, die sich an diese Größenordnung anpassen lassen. Wer suchet, der findet, heißt es, aber auch der Umkehrschluss ist wahr. Ohne Analyse hat es keinen Sinn, Daten zu erfassen, und manchmal nicht einmal, sich um eine Erkennung zu bemühen. Dieses Buch gibt Ihnen die Schlüssel für die einzelnen Schritte des NSM- Zyklus an die Hand: Erfassung, Erkennung und Analyse. In den 1930er Jahren kämpften viele Piloten aus der zivilen Luftfahrt darum, ihre Fähig- keiten für die Verteidigung des Landes einsetzen zu dürfen. Heute ist es wieder an der Zeit, dass Zivilisten eine aktivere Rolle in der Landesverteidigung übernehmen. Machen Sie sich nichts vor: Wir werden angegriffen. Produzierendes Gewerbe, Chemie, Öl und Gas, Energie und viele kritische Sektoren unserer Gesellschaft leiden unter einer Serie koordi- nierter und systematischer Angriffe. Während die Theoretiker über die Möglichkeiten zu- künftiger kybernetischer Kriegführung philosophieren, stecken die Praktiker an der Front schon bis zum Hals darin. Ich rufe nicht zu den Waffen, sondern zur Analyse. Haben Sie einen Zwischenfall auf Root-Ebene erlebt? Dann müssen Sie Ihre Protokolle analysieren. Die meisten Netzwerk- angriffe hinterlassen Spuren, und es ist Aufgabe der Systemadministratoren, die Proto- kolle auf Spuren von Einbrüchen zu untersuchen. Allerdings muss auch der Betreiber die Protokolle überprüfen, um die Systemleistung zu verbessern und um eine Analyse für Geschäftszwecke durchzuführen. Schon die Steigerung der Leistung kann den Ertrag steigern, ganz zu schweigen davon, was sich mit einer geschäftlichen Analyse erreichen lässt. Wir bei InGuardians werden zu Hilfe gerufen, wenn es darum geht, auf umfangreiche Ein- brüchen zu reagieren. Die meisten Organisationen protokollieren die relevanten Daten von wichtigen Netzwerkgeräten, Proxys, Firewalls, Systemen und Anwendungen. Diese Daten werden längere Zeit gespeichert, ohne dass das direkt zum geschäftlichen Ertrag beiträgt. In vielen Fällen können wir allein durch die Analyse der Protokolle gegenwärtige und frühere Einbrüche erkennen. 26 Geleitwort

Wenn Sie das nächste Mal an Ihrer Konsole sitzen, untersuchen Sie einige Protokolle. Viel- leicht denken Sie jetzt: »Ich weiß nicht, wonach ich suchen soll.« Fangen Sie mit dem an, was Sie wissen, was Sie verstehen und was Ihnen gleichgültig ist, und verwerfen Sie es. Alles andere ist von Interesse. Semper vigilans, Mike Poor 27

Vorwort

Ich liebe es, Schurken zu fangen. Schon als Kind wollte ich das tun, auf welche Weise auch immer. Ob ich mir das nächstbeste Handtuch als Superheldencape umlegte oder ob ich mit meinen Freunden Räuber und Gendarm spielte, ich genoss die Aufregung, Bösewich- ter aller Arten der Gerechtigkeit zu übergeben. So sehr ich mich auch bemühte, es gelang mir niemals, meine Wut so zu steigern, dass ich mich in ein riesiges, grünes Monster ver- wandelte, und von wie vielen Spinnen ich auch gebissen wurde, entwickelte ich doch nie die Fähigkeit, Spinnweben aus meinen Handgelenken zu verschießen. Ich erkannte auch ziemlich schnell, das ich nicht aus dem Holz war, aus dem Gesetzeshüter geschnitzt sind. Als mir all dies bewusst wurde und ich auch erkannte, dass ich nicht reich genug war, um mir eine Reihe extravaganter technischer Spielereien zu bauen und in einem Fledermaus- kostüm durch die Nacht zu schwirren, wandte ich mein Interesse Computern zu. Mehrere Jahre später hatte ich eine Position erreicht, in der ich meinem Kindheitstraum nachgehen konnte, Schurken zu fangen, wenn auch nicht auf die Weise, die ich mir ursprünglich vorgestellt hatte. Ich fange Schurken durch angewandtes Network Security Monitoring (NSM). Das ist, worum es in diesem Buch geht. Der Grundsatz von NSM lautet, dass jegliche Vorbeugung irgendwann versagen wird. Wie viel Zeit Sie auch immer darin investieren, Ihr Netzwerk abzusichern, die Schurken werden eines Tages die Oberhand gewinnen. Wenn das geschieht, müssen Sie sowohl technisch als auch organisatorisch so aufgestellt sein, dass Sie die Gegenwart eines Eindringlings erkennen und darauf reagieren können. Sie müssen in der Lage sein, einen Zwischenfall zu deklarieren und die Angreifer aus Ihrem Netzwerk zu vertreiben, bevor sie erheblichen Schaden anrichten können. »Aber wie kann ich schädliche Dinge erkennen?« Der Erkenntnisweg des NSM beginnt gewöhnlich mit dieser Frage. Wissenschaftliche Er- kenntnisse entwickeln sich weiter. Noch bis in die 1980er glaubten Mediziner, dass Milch eine Behandlungsform für Magengeschwüre sei. Mit der Zeit fanden Wissenschaftler jedoch heraus, dass Magengeschwüre von dem Bakterium Helicobacter pyroli hervorgerufen werden und dass Milchprodukte ihr Wachstum sogar fördern können.1 Angebliche Fakten ändern sich, und obwohl wir gern glauben wollen, dass die meisten Naturwissenschaf- ten exakte Wissenschaften sind, ist das nicht der Fall. Jegliches wissenschaftliches Wissen beruht auf begründeten Vermutungen, für die die zum jeweiligen Zeitpunkt bestmögli-

1 Jay, C. (3. November 2008). »Why it’s called the practice of medicine«. Abgerufen von http://www.wellsphe- re.com/chronic-pain-article/why-it-s-called-the-practice-of-medicine/466361 28 Vorwort

chen Daten herangezogen wurden. Wenn im Laufe der Zeit mehr Daten verfügbar werden, können sich Antworten auf alte Fragen ändern und vermeintliche Tatsachen neu definiert werden. Das gilt sowohl für die Medizin als auch für NSM. Als ich mit der Anwendung von NSM begann, gab es leider noch nicht viele Quellen zu diesem Thema. Ehrlich gesagt, gibt es bis heute nicht viele. Abgesehen von gelegentlichen Blogs von Pionieren der Branche und wenigen ausgewählten Büchern scheinen diejenigen, die etwas darüber lernen wollen, sich selbst überlassen zu sein. Verstehen Sie mich nicht falsch: Es gibt massenhaft Bücher über TCP/IP, Paketanalyse und die verschiedenen Intrusion-Detection-Systeme. Das sind zwar alles wichtige Facetten des NSM, aber diese Bücher beschreiben nicht das Prinzip des Network Security Monitoring im Ganzen, ebenso wenig wie Sie aus einem Buch über Schraubenschlüssel herauszufinden lernen, warum ein Auto nicht anspringt. Dieses Buch ist der Anwendung des NSM gewidmet. Es gibt nicht einfach einen Überblick über die Werkzeuge oder die einzelnen Aspekte des NSM, sondern es beschreibt den Vor- gang und zeigt, wie diese Werkzeuge und Aspekte in der Praxis helfen.

Zielpublikum Letzten Endes ist dieses Buch als Leitfaden dafür gedacht, wie man ein praktizierender NSM-Analytiker werden kann. Zu meinen Aufgaben in meiner Arbeitsstelle gehört auch die Ausbildung neuer Analytiker. Dieses Buch ist nicht nur als Fachbuch für die Öffent- lichkeit gedacht, sondern auch als Lehrbuch für eine solche Ausbildung. Daher bestand mein Ziel darin, dass Sie dieses Buch von vorn bis hinten lesen können, um ein grundle- gendes Verständnis der Kernprinzipien zu gewinnen. Wenn Sie bereits als Analytiker tätig sind, hoffe ich, dass Ihnen dieses Buch eine Grund- lage bietet, Ihre Analysetechniken zu erweitern, sodass Sie noch wirkungsvoller arbeiten können, als Sie es jetzt schon tun. Ich habe mit mehreren guten Analytikern gearbeitet, die zu großartigen Analytikern werden konnten, weil sie in der Lage waren, ihre Effektivität durch einige der hier vorgestellten Techniken und Informationen zu steigern. Die wirkungsvolle Ausübung von NSM erfordert eine gewisse Gewandtheit im Umgang mit den verschiedenen Tools. Daher werden in diesem Buch auch einige dieser Werkzeuge besprochen, z. B. das IDS Snort oder die Analysesuite SiLK, allerdings vom Standpunkt der Analytiker aus. Diejenigen, die mit der Installation und Wartung solcher Programme befasst sind, werden feststellen, dass ich dieses Thema nur streife. Stattdessen gebe ich bei Gelegenheit andere Quellen an, in denen die entsprechenden Informationen zu finden sind. Außerdem konzentriere ich mich in diesem Buch auf kostenlose und Open-Source-Tools. Damit will ich nicht nur denen entgegenkommen, die nicht das Budget für kommerzielle Analysewerkzeuge wie NetWitness oder Arcsight haben, sondern auch die Vorteile der Verwendung von Open-Source-Tools vorführen, die von Analytikern entworfen wurden und mehr Einblicke darin geben, wie diese mit den Daten umgehen. Vorwort 29

Voraussetzungen Die erfolgreichsten NSM-Analytiker sind diejenigen, die bereits Erfahrungen in anderen Gebieten der Informationstechnologie gesammelt haben, bevor sie beginnen, auf dem Feld der Sicherheit zu arbeiten. Das liegt daran, dass sie sich dadurch schon einige Fähig- keiten angeeignet haben, die für Analytiker wichtig sind, z. B. ein Verständnis von Sys- temen oder der Verwaltung von Netzwerken. Als Ersatz für solche Erfahrung habe ich eine kurze Liste von Büchern aufgestellt, die ich sehr gern gelesen habe und die meiner Meinung nach Einsichten in einige wichtige Fertigkeiten für Analytiker geben. Ich habe mich bemüht, dieses Buch so zu schreiben, dass nicht allzu viel Vorwissen erforderlich ist, aber empfehle Ihnen trotzdem, einige der folgenden Bücher als Ergänzung zu dem Stoff in diesem Buch zu lesen. •• TCP/IP Illustrated, Vol. 1, Second Edition: The Protocols von Kevin Fall und Dr. Richard Stevens (Addison-Wesley 2011) Grundkenntnisse in TCP/IP gehören zu den unverzichtbaren Voraussetzungen, um NSM wirkungsvoll betreiben zu können. Dieses klassische Lehrbuch von Dr. Richard Stevens wurde von Kevil Fall um die neuesten Protokolle, Standards und empfohlenen Vorgehensweisen sowie um IPv6, Sicherheitsfibeln für die einzelnen Protokolle usw. ergänzt. •• The Tao of Network Security Monitoring von Richard Bejtlich (Addison-Wesley, 2004). Richard Bejtlich hat viele der Grundprinzipien von NSM festgelegt, weshalb ich das vorgenannte Werk und seinen Blog in diesem Buch häufig zitieren werden. Sein Buch ist zwar fast zehn Jahre alt, aber ein Großteil des Stoffes ist im Rahmen des NSM nach wie vor gültig. •• Practical Packet Analysis von Chris Sanders (No Starch Press, 2010) Ich bin nicht über schamlose Eigenwerbung erhaben! Während das Buch von Dr. Stevens ein gründliches Nachschlagewerk zu TCP/IP darstellt, geht Practical Packet Analysis die Paketanalyse aus praktischer Sicht an, wobei Wireshark als Werkzeug der Wahl verwendet wird. Hier geht es darum, Pakete zu untersuchen, und wenn Sie sich Pakete noch nie zuvor genauer angesehen habe, empfehle ich es Ihnen als Grundlehr- buch. •• Counter Hack Reloaded von Ed Skoudis und Tom Liston (Prentice Hall, 2006) Dieses Buch ist eines der besten allgemeinen Sicherheitsbücher, die Sie kriegen können. Es behandelt Aspekte von praktisch allem, und ich kann es jedem ganz unabhängig von seiner Erfahrung nur empfehlen. Wenn Sie noch nie auf dem Gebiet der Sicherheit gearbeitet haben, ist Counter Hack Reloaded Pflichtlektüre für Sie. 30 Vorwort

Der Aufbau dieses Buches Dieses Buch ist in die drei Hauptteile Erfassung, Erkennung und Analyse für die drei Kern- gebiete des NSM gegliedert. In den einzelnen Kapiteln gehe ich auf die Werkzeuge, Tech- niken und Prozeduren des entsprechenden Gebiets ein. Als einfacher Junge vom Land aus Kentucky habe ich mich bemüht, in möglichst einfacher Sprache ohne viele Ausschmü- ckungen zu schreiben. Ich habe auch versucht, kompliziertere Vorgänge nach Möglich- keit in eine Folge nachvollziehbarer Schritte zu zerlegen. Wie bei jedem Buch, in dem es um allgemeine Prinzipien geht, werden auch hier nicht sämtliche möglichen Situationen und Grenzfälle abgedeckt. Letzten Endes besteht dieses Buch aus Theorien, die auf den Forschungsarbeiten, Erfahrungen und Meinungen der Autoren beruhen. Wenn ich daher etwas als bewährte oder empfohlene Vorgehensweise bezeichne, kann es durchaus sein, dass Ihre eigenen Forschungen, Erfahrungen und Meinungen Sie zu anderen Schlussfol- gerungen führen. Das sollte Sie nicht beunruhigen, denn schließlich ist NSM angewandte Wissenschaft. Kapitel 1: Network Security Monitoring in der Praxis Das erste Kapitel erklärt, was Netword Security Monitoring ist und welche Bedeutung es für die Sicherheit in der modernen Welt spielt. Hierin lernen Sie viele Kernbegriffe und Voraussetzungen kennen, die in diesem Buch verwendet werden.

Teil 1: Erfassung Kapitel 2: Die Datenerfassung planen Das erste Kapitel im Teil über die Erfassung gibt eine Einführung in die Datener- fassung und einen Überblick über ihre Wichtigkeit. Hier wird auch das Applied Collection Framework eingeführt, das dazu dient, anhand einer Risikobewertung Entscheidungen darüber zu treffen, welche Daten erfasst werden sollen. Kapitel 3: Sensoren In diesem Kapitel wird die entscheidende Hardware für das NSM vorgestellt: die Sensoren. Als Erstes erhalten Sie hier einen kurzen Überblick über die verschiedenen NSM-Datentypen und die Arten von NSM-Sensoren. Dies führt uns zu wichtigen Überlegungen für den Erwerb und die Bereitstellung der Sensoren. Am Ende besprechen wir die Platzierung der NSM-Sensoren im Netzwerk. Sie erfahren auch, wie Sie Sichtfelddiagramme für die Analytiker aufstellen. Kapitel 4: Sitzungsdaten In diesem Kapitel geht es um die Wichtigkeit von Sitzungsdaten. Außerdem erhalten Sie eine ausführliche Beschreibung der SiLK-Suite zur Erfassung von NetFlow-Daten. Außerdem sehen wir uns kurz die Argus-Suite zur Erfassung und Untersuchung von Sitzungsdaten an. Kapitel 5: FPC-Daten Am Anfang dieses Kapitels steht ein Überblick über FPC-Daten. Mit Netsniff-NG, Daemonlogger und Dumpcap lernen Sie verschiedene Tools kennen, um PCAP-Daten Vorwort 31

zu erfassen. Anschließend wird erörtert, wie Sie die Speicherung und Pflege von FPC- Daten planen und wie Sie die Menge der zu speichernden Daten einschränken können. Kapitel 6: Paketstringdaten Dieses Kapitel gibt eine Einführung in PSTR-Daten (Paketstring) und ihren WErt für die NSM-Analyse. Wir sehen uns verschiedene Methoden an, um mit Werkzeugen wie Httpry und Justniffer PSTR-Daten zu generieren. Außerdem sehen wir uns die Werk- zeuge Logstash und Kibana zur Zerlegung und Anzeige dieser Daten an.

Teil 2: Erkennung Kapitel 7: Erkennungsmechanismen, Einbruchsindikatoren und Signaturen In diesem Kapitel geht es um die Beziehung zwischen Erkennungsmechanismen und Einbruchsindikatoren. Wir sehen uns an, wie Indikatoren logisch gegliedert und wie sie zur Einbeziehung in ein NSM-Programm effizient verwaltet werden können. Dazu gehören ein System zur Klassifizierung von Indikatoren sowie Messgrößen, um die Genauigkeit der Indikatoren, die in verschiedenen Erkennungsmechanismen bereitgestellt wurden, zu berechnen und zu verfolgen. Außerdem sehen wir uns die beiden Formate OpenIOC und STIX für Einbruchsindikatoren an. Kapitel 8: Reputationsgestützte Erkennung Der erste Typ von Erkennung, den wir in diesem Teil besprechen, ist die reputati- onsgestützte. Dabei sehen wir uns das Grundprinzip sowie verschiedene Quellen an, mit deren Hilfe Sie herausfinden können, welche Reputation ein Gerät genießt. Sie werden auch erfahren, wie Sie diesen Vorgang mit einfachen BASH-Skripten, mit Snort, Suricata, CIF und Bro automatisieren können. Kapitel 9: Signaturgestützte Erkennung mit Snort und Suricata Die signaturgestützte Erkennung ist die herkömmliche Vorgehensweise. Dieses Kapitel gibt eine Einführung darin und beschreibt die Verwendung der Intrusion-Detection- Systeme Snort und Suricata einschließlich einer ausführlichen Erklärung, wie Sie für diese beiden Plattformen IDS-Signaturen anlegen. Kapitel 10: Bro Dieses Kapitel beschreibt Bro, eine weit verbreitete anomaliegestützte Erkennungslö- sung. Wir sehen uns die Architektur und die Sprache von Bro sowie mehrere praktische Fälle an, die die Leistungsfähigkeit von Bro als IDS und als Protokollierungs-Engine veranschaulichen. Kapitel 11: Anomaliegestützte Erkennung anhand von statistischen Daten In diesem Kapitel besprechen wir die Verwendung von Statistiken, um Anomlien im Netzwerk zu erkennen. Dabei konzentrieren wir uns auf verschiedene NetFlow-Tools wie Rwstats und Rwcount. Außerdem sehen wir uns an, wie Sie Statistiken mithilfe von Gnuplot und der API von Google Charts grafisch darstellen können. Das Kapitel enthält auch mehrere praktische Beispiele für Statistiken, die sich aus NSM-Daten generieren lassen. 32 Vorwort

Kapitel 12: Frühwarn-Honeypots zur Erkennung Honeypots wurden ursprünglich nur zu Forschungszwecken verwendet, doch Früh- warn-Honeypots können auch als wirkungsvolles Erkennungswerkzeug dienen. Die- ses Kapitel gibt einen Überblick über die verschiedenen Arten von Honeypots und zeigt, wie Sie sie in einer NSM-Umgebung einsetzen können. Außerdem sehen wir uns mit Honeyd, Kippo und Tom’s Honeypot einige beliebte Honeypot-Anwendungen an, die sich für diesen Zweck eignen. Auch Honeydocs werden kurz angesprochen.

Teil 3: Analyse Kapitel 13: Paketanalyse Die wichtigste Fähigkeit eines NSM-Analytikers besteht darin, Paketdaten zu deuten und zu entziffern. Um das wirkungsvoll tun zu können, sind Grundkenntnisse über den Aufbau von Paketen erforderlich. Diese vermittelt Ihnen dieses Kapitel und stellt Byte für Byte die Felder vor, aus denen ein Paket besteht. Zur Veranschaulichung verwenden wir Tcpdump und Wireshark. Des Weiteren beschäftigen wir uns mit Paket- filtertechniken mithilfe von Berkeley-Paketfiltern und Wireshark-Anzeigefiltern. Kapitel 14: Aufklärung über Freund und Feind Die Fähigkeit, Informationen über eigene und über gegnerische Systeme einzuholen, kann bei einer Untersuchung den Ausschlag geben. Am Anfang dieses Kapitels steht eine Einführung in den klassischen Aufklärungszyklus und seine Bedeutung für NSM. Danach sehen wir uns Methoden an, um Informationen über eigene Systeme zu gewinnen, z. B. über Netzwerkscans oder mithilfe von PRADS-Daten. Danach geht es um die verschiedenen Arten der Aufklärung über Bedrohungen und einige der grund- legenden Möglichkeiten der taktischen Aufklärung über gegnerische Hosts. Kapitel 15: Der Analysevorgang Im letzten Kapitel geht es um den Analysevorgang als Ganzes. Wir beginnen mit einer Besprechung von zwei Analysemethoden, der relationalen Untersuchung und der differenziellen Diagnose, und geben Beispiele für beide Vorgehensweisen an. Danach geht es darum, wie Sie mithilfe von Morbiditäts- und Mortalitätsbesprechungen Er- kenntnisse aus Zwischenfällen ziehen können. Den Abschluss bildet eine Aufstellung von bewährten Vorgehensweisen für die Analyse.

Hinweis zu IP-Adressen In den Beispielen in diesem Buch werden IP-Adressen angegeben, sowohl im Text und in den Listings als auch in den Screenshots. Sofern nicht anderes angegeben, wurden diese Adressen zufällig bestimmt. Jegliche Übereinstimmung mit tatsächlichen öffentlichen IP- Adressen ist rein zufällig und steht in keinerlei Zusammenhang mit dem Datenverkehr der Organisationen, denen diese Adressen gehören. Vorwort 33

Begleitwebsite Für einige der Dinge, die wir gern noch in dieses Buch aufgenommen hätten, konnten wir leider keinen Platz mehr finden. Daher haben wir eine Begleitwebsite angelegt, auf der Sie weitere Überlegungen zu den verschiedenen NSM-Themen, Beispielcode und Tipps und Tricks finden. Diese Website finden Sie unter der Adresse http://www.appliednsm.com. Während der Produktion dieses Buches haben wir die Website nicht sehr oft aktualisiert, aber wir haben vor, nach der Veröffentlichung regelmäßig Beiträge zu dem Blog zu leisten. Auch Errata (zur englischen Originalausgabe dieses Buchs) werden Sie dort finden.

Unterstützung für wohltätige Organisationen Wir sind sehr stolz darauf, dass wir unsere Autorenhonorare aus diesem Buch zu 100 % den folgenden fünf Wohltätigkeitsorganisationen spenden.

Rural Technology Fund Schüler aus ländlichen Gebieten, selbst diejenigen mit hervorragenden Abschlüssen, haben weniger Gelegenheit, sich mit Technologie beschäftigen, als ihre Kommilitonen aus den Städten und Vorstädten. 2008 hat Chris Sanders den Rural Technology Fund gegründet, der versucht, die digitale Lücke zu verkleinern, die zwischen ländlichen Ge- meinden und Städten klafft. Das wird durch ein Stipendiatsprogramm, Gemeindearbeit und die allgemeine Förderung und Befürwortung von Technologie in ländlichen Ge- genden angefast. Unsere Stipendien sind für Schüler da, die in ländlichen Gemeinden leben, sich für Informa- tik interessieren und eine Ausbildung auf diesem Gebiet anstreben. Ein Teil der Tantiemen aus diesem Buch wird für diese Stipendien und für die Bereitstellung von Raspberry-Pi- Computern in Landschulen aufgewendet. Weitere Informationen: http://www.ruraltechnfund.org

Hackers for Charity HFC wurde von Johnny Long gegründet und beschäftigt freiwillige Hacker (es werden keine Fragen gestellt), um ihre Fähigkeiten in kurzen »Mikroprojekten« zu nutzen, mit denen Wohltätigkeitsorganisationen geholfen werden soll, die sich keine traditionellen technischen Ressourcen leisten können. Daneben ist HFC auch in Uganda präsent, um Hilfsorganisati- onen zu unterstützen, die sich für die ärmsten Menschen der Welt einsetzen. Die Gruppe bietet kostenlose Computerkurse, technische Unterstützung, Netzwerkdienste usw. an. Sie hat bereits viele örtliche Schulen mit Computern und Schulungssoftware unterstützt. Über 34 Vorwort

ihr Lebensmittelprogramm hat die HFC auch Nahrung für ostafrikanische Kinder bereitgestellt. Weitere Informationen: http://www.hackersforcharity.org

Kiva Kiva ist die erste Online-Darlehensorganisation, die es ermöglicht, direkt Geld an Men- schen in Entwicklungsländern zu spenden. Die Vermittlung übernehmen dabei ortsan- sässige Institutionen. Kiva stellt die einzelnen Personen, die ein Darlehen anfordern, mit ihrer Geschichte vor, sodass die Spender wissen, mit wem sie es zu tun haben. Einfach gesagt, ermöglicht Kiva Darlehen, die Leben ändern helfen. Gelder aus dem Verkauf dieses Buches gehen ebenfalls in diese Darlehen ein. Weitere Informationen: http://www.kiva.org

Hope for the Warriors® Der Zweck von Hope for the Warriors® besteht darin, die Lebensqualität von 9/11-Vetera- nen, ihrer Familien und der Hinterbliebenen derjenigen zu heben, die in der Erfüllung ihrer Pflicht ums Leben gekommen sind oder dabei schwere körperliche oder seelische Schäden davongetragen haben. Hope for the Warriors® will das Selbstwertgefühl heben, die familiä- ren Bande wiederherstellen und den Mitgliedern der öffentlichen Dienste und des Militärs sowie ihren Familien Hoffnung geben. Weitere Informationen: http://www.hopeforthewarriors.org

Autism Speaks Autismus ist eine sehr vielschichtige Störung, die sich in verschiedenen Graden durch Schwierigkeiten in sozialen Beziehungen und der Kommunikation sowie in repetitivem Verhalten zeigt. Die US-Gesundheitsbehörde schätzt, das 1 von 88 amerikanischen Kin- dern eine Form von Autismus aufweist. Die Organisation Autism Speaks setzt sich für die Zukunft all derer ein, die mit einer der Störungen aus dem breiten Spektrum des Autismus zu kämpfen haben. Dazu finanziert sie biomedizinische Forschungen über die Ursachen, die Verhinderung, die Behandlung und Heilung vom Autismus. Außerdem bietet sie eine Interessenvertretung und Unterstützung für Familien mit autistischen Mitgliedern. Weitere Informationen: http://autismspeaks.org Vorwort 35

Kontakt Meine mitwirkenden Autoren und ich haben viel Zeit und Mühe in dieses Werk investiert, weshalb wir daran interessiert sind, von den Menschen zu hören, die es gelesen haben und ihre Gedanken darüber mitteilen möchten. Sie können all Ihre Fragen, Kommentare, Beschimpfungen und Heiratsanträge direkt an die folgenden Adressen senden:

Chris Sanders, Hauptautor E-Mail: [email protected] Blog: http://www.chrissanders.org; http://www.appliednsm.com Twitter: @chrissanders88

Jason Smith, Co-Autor E-Mail: [email protected] Blog: http://www.appliednsm.com Twitter: @automayt

David J. Bianco, mitwirkender Autor und Fachgutachter E-Mail: [email protected] Blog: http://detect-respond.blogspot.com/; http://www.appliednsm.com Twitter: @davidjbianco

Liam Randall, fachlicher Mitarbeiter E-Mail: [email protected] Blog: http://liamrandall.com; http://www.appliednsm.com Twitter: @liamrandall

Network Security Monitoring in der Praxis

Wenn ich mir den derzeitigen Zustand der Sicherheit von Systemen anschaue, die mit dem Internet verbunden sind, fühle ich mich an den Wilden Westen erinnert. Für die Amerika- ner der damaligen Zeit war der Westen eine brachliegende Ressource, ein unermessliches unentdecktes Land, in dem zahllose Gelegenheiten warteten. Als immer mehr Menschen in den Westen zogen, entstanden kleine Gemeinden, und sowohl Einzelpersonen als auch Familien konnten zu Wohlstand gelangen. Mit dem Wohlstand und dem Erfolg kam aber auch unvermeidlich das Verbrechen. Die Städte lagen weit verstreut, aber es gab keine übergreifende Durchsetzung von Recht und Ordnung. Das ermöglichte es Banden von Desperados, von Stadt zu Stadt zu ziehen und dort zu rauben und die örtlichen Ressour- cen zu plündern. Wenn es nicht gerade dem örtlichen Sheriff gelang, sie zu erschießen, wurden diese Kriminellen aufgrund der mangelnden Koordination und Kommunikation zwischen den Vertretern des Gesetzes in den einzelnen Städten nur selten gefasst. In unserer heutigen Zeit sind wir mit einer ähnlichen Situation konfrontiert. Das Inter- net stellt ebenso ein brachliegendes Land voller Gelegenheiten dar, in dem man mit einem Domänennamen und etwas Knochenfett den amerikanischen Traum verwirklichen kann. Ebenso wie der Westen hat jedoch auch das Internet seine Banden von Desperados. Statt mit Bankräubern und Entführern haben wir es heute mit Botnetbetreibern und Browser- 38 1 Network Security Monitoring in der Praxis

hijackern zu tun. Außerdem haben wir ebenfalls mit dem Problem zu kämpfen, dass die Durchsetzung von Recht und Ordnung örtlich beschränkt ist. Wir sehen einer weltweiten Bedrohung entgegen, doch jedes Land – und in manchen Fällen sogar einzelne Bundesstaa- ten – wendet seine eigenen, nicht miteinander zu vereinbarenden Gesetze an. Das Problem im Westen bestand darin, dass die Kriminellen organisiert waren, die Ord- nungshüter dagegen nicht. Während der letzten zehn Jahre hat es auf dem Gebiet der Computersicherheit zwar erhebliche Verbesserungen gegeben, doch die Verteidiger sind immer noch dabei, den Vorsprung der Gruppen aufzuholen, die weltweite kriminelle Netzwerke betreiben. Leider lässt sich dieses Problem nicht über Nacht lösen; falls über- haupt. Diese Tatsache erlegt die Verantwortung dafür, die Computernetzwerke und die darin ent- haltenen Daten vor Kriminellen zu verteidigen, den Einzelpersonen an der Front auf. Die wirksamste Möglichkeit dazu besteht meiner Ansicht nach in der Anwendung von Net- work Security Monitoring (»Netzwerksicherheitsüberwachung«) oder kurz NSM. Bei dieser Methode handelt es sich um die Erfassung und Analyse von Netzwerksicher- heitsdaten. Die Informationssicherheit wird traditionell in viele verschiedene Teilgebiete aufgeteilt, aber ich persönlich bevorzuge die Kategorien, die das US-Verteidigungsmi- nisterium in seiner Anweisung 8500.21 für die Verteidigung von Computernetzwerken aufgestellt hat: Schützen. Der Schwerpunkt dieses Gebiets liegt darauf, Systeme gegen Ausnutzung und Eindringen abzusichern. Zu den typischen Aufgaben in diesem Bereich gehören Schwachstelleneinschätzung, Risikobewertung, Vorgehen gegen Malware, Schulung des Gefahrenbewusstseins der Benutzer und andere allgemeine Maßnahmen zur Informa- tionssicherheit. Erkennen. Hier geht es darum, laufende und frühere Sicherheitsverletzungen zu erkennen. Dazu gehören die Sicherheitsüberwachung des Netzwerks, das Aufspüren von Angriffen und das Ausgeben von Warnungen. Reagieren. Der dritte Bereich betrifft die Reaktion auf das Auftreten einer Sicherheitsver- letzung. Diese umfasst die Eindämmung des Zwischenfalls, Netzwerk- und Hostforensik, Malwareanalyse und Berichterstattung über den Zwischenfall. Erhalten. Im letzten Bereich geht es um die Menschen, Prozesse und Technologien im Zusammenhang mit der Verteidigung von Computernetzwerken. Hierzu zählen Verträge, Stellenbesetzung, Schulung, Entwicklung und Umsetzung von Technologien und Verwal- tung von unterstützenden Systemen. Wie Sie sich wahrscheinlich schon gedacht haben, geht es in diesem Buch hauptsächlich um die Erkennung. Eine korrekt durchgeführte Netzwerksicherheitsüberwachung kann sich jedoch positiv auf alle Gebiete der Verteidigung von Computernetzwerken auswirken.

1 Anweisung 8500.2 des US-Verteidigungsministeriums, Umsetzung der Informationssicherheit (6. Februar 2003) – http://www.dtic.mil/whs/directives/corres/pdf/850002p.pdf 1.1 Kernbegriffe des Network Security Monitoring 39

1.1 Kernbegriffe des Network Security Monitoring Bevor wir in die Tiefe gehen, müssen wir zunächst verschiedene Begriffe klären, die in diesem Buch ausgiebig verwendet werden. Da es sich bei Network Security Monitoring und Netzwerksicherheit um relativ neue Zweige handelt, ist es bei vielen dieser Begriffe schwierig, allgemein gültige und präzise Definitionen zu finden. Ich habe mich an der Do- kumentation des US-Verteidigungsministeriums, der Literatur zur CISSP-Zertifizierung und anderen Texten zum Network Security Monitoring orientiert. Die Definitionen habe ich größtenteils umformuliert.

1.1.1 Schützenswerte Güter Schützenswerte Güter sind alles in Ihrer Organisation, was für diese einen Wert hat. Das können Wertgegenstände wie Computer, Server und Netzwerkgeräte sein, aber auch Da- ten, Menschen, Prozesse, geistiges Eigentum und der Ruf der Organisation. In diesem Buch beschäftige ich mich meistens mit den schützenswerten Gütern im Be- reich Ihres vertrauenswürdigen Netzwerks. Das kann auch Netzwerke außerhalb Ihres eigenen einschließen, die Sie als vertrauenswürdig einschätzen (z. B. von befreundeten Staaten, Tochtergesellschaften oder Partnern in der Lieferantenkette).

1.1.2 Angreifer Ein Angreifer ist eine Partei mit den Fähigkeiten und der Absicht, Schwachstellen in einem Wert auszunutzen. Dabei sehen sich Einzelpersonen ganz anderen Angreifern ausgesetzt als große Unternehmen, und Kleinstaaten ganz anderen als Supermächten. Angreifer lassen sich grob in zwei Kategorien einteilen, nämlich strukturierte und nicht strukturierte. Strukturierte Angreifer nutzen formale Taktiken und Vorgehensweisen, und haben klar definierte Ziele. Dazu gehören unter anderem kriminelle Organisationen, Hacktivisten, Spionagedienste und das Militär. Gewöhnlich handelt es sich um Gruppen, wobei es jedoch durchaus vorkommen kann, dass Einzelpersonen als strukturierte Angreifer auftreten. Ein strukturierter Angreifer verfolgt fast immer ein bestimmtes Ziel, das aus ganz bestimmten Gründen ausgewählt wurde. Unstrukturierten Angreifern mangelt es an der Motivation, den Fähigkeiten, den strate- gischen Kenntnissen oder der Erfahrung strukturierter Angreifer. Die typischen Vertreter dieser Kategorie sind Einzelpersonen und kleine, nur locker organisierte Gruppen. Die Ziele werden meistens nur aufgrund der Gelegenheiten ausgewählt, also weil sie leicht angreifbar erscheinen. Unabhängig von ihrem Umfang oder ihrer Natur haben alle Angriffe eines gemeinsam: Sie wollen etwas von Ihnen stehlen. Das kann Geld sein, aber auch geistiges Eigentum, Ihr Ruf oder auch einfach nur Ihre Zeit. 40 1 Network Security Monitoring in der Praxis

1.1.3 Schwachstelle Eine Schwachstelle ist ein Mangel in einer Software, einer Hardware oder einem Verfah- ren, der einem Angreifer die Möglichkeit gibt, nicht autorisierten Zugang zu einem Wert im Netzwerk zu erhalten. Das kann beispielsweise nicht ordnungsgemäß geschriebener Code sein, der eine Aus- nutzung durch einen Pufferüberlauf ermöglicht, ein aktiver Netzwerkport in einem öf- fentlichen Bereich, der Zugriff auf ein Netzwerk bietet, oder ein schlecht konstruiertes Authentifizierungssystem, in dem ein Angreifer den Nachnamen seines Opfers erraten kann. Denken Sie daran, dass auch Menschen Schwachstellen darstellen können.

1.1.4 Exploit Ein Exploit ist die Methode, mit der eine Schwachstelle ausgenutzt wird. Bei einer Soft- wareschwachstelle kann es sich um Exploitcode mit einer Schadroutine handeln, durch die der Angreifer über das Netzwerk Aktionen auf dem Zielsystem ausführen kann, z. B. das Öffnen einer Befehlsshell. Wenn eine Webanwendung eine Schwachstelle bei der Verarbei- tung von Ein- und Ausgaben aufweist, können Angreifer dies mithilfe von SQL-Injektion ausnutzen. Wenn sich ein Angreifer Zutritt zu einem Bürogebäude verschafft, indem er hinter einem legitimen Mitarbeiter durch die Tür schlüpft, nachdem dieser sie mit seiner ID-Karte geöffnet hat, kann man das auch als eine Art Exploit betrachten.

1.1.5o Risik Risikomanagement ist ein sehr weites Feld, weshalb es auch mehrere verschiedene Defini- tionen von »Risiko« gibt. Die treffendste Definition im Zusammenhang mit Network Se- curity Monitoring besagt, dass es sich beim Risiko um das Maß für die Wahrscheinlichkeit handelt, mit der ein Angreifer eine Schwachstelle ausnutzen wird. Die meisten Manager bevorzugen zwar eine quantifizierbare Größe, doch meistens ist die Quantifizierung von Risiken vergebliche Liebesmüh, da es sehr schwer ist, den Stellenwert von Netzwerken und Daten zu bestimmen. Ich werde zwar häufig über Maßnahmen sprechen, die das Risiko für einen bestimmten Wert erhöhen oder verringern, aber nur so weit auf Berechnungen zur Quantifizierung von Risiken eingehen, wie nötig ist, um eine Strategie zur Erfassung von Risiken aufzustellen.

1.1.6 Anomalie Eine Anomalie ist ein beobachtetes Geschehen in einem System oder Netzwerk, das au- ßerhalb des Üblichen liegt. Erkennungswerkzeuge wie Intrusion-Detection-Systeme oder Anwendungen zur Protokolluntersuchung lösen bei Anomalien Alarm aus. Anomalien können Systemabstürze, nicht wohlgeformte Pakete, unübliche Kontakte mit unbekann- 1.2 Intrusion Detection 41

ten Hostcomputern oder große Datenmengen sein, die in einem kurzen Zeitraum über- tragen werden.

1.1.7 Zwischenfall Wenn ein Ereignis untersucht wird, kann es als Teil eines Zwischenfalls klassifiziert werden. Ein Zwischenfall ist eine Verletzung der Computersicherheitsrichtlinien, der Richtli- nien zur akzeptablen Benutzung oder der Standardsicherheitspraktiken oder eine unmit- telbar bevorstehende Verletzung dieser Art. Einfacher gesagt: Ein Zwischenfall bedeutet, dass in Ihrem Netzwerk etwas Schlimmes passiert ist oder gerade passiert. Das kann die Übernahme eines Computers auf Root-Ebene, die Installation von Malware, ein Denial- of-service-Angriff oder die Ausführung von Schadcode aus einer Phishing-E-Mail sein. Bei Zwischenfällen treten ein oder mehrere Ereignisse auf, aber die meisten Ereignisse stehen nicht in direktem Zusammenhang zu einem Zwischenfall.

1.2 Intrusion Detection Bevor der Begriff »Network Security Monitoring« geprägt wurde, wurde das Gebiet »Erkennen« einfach als »Intrusion Detection« beschrieben, also als das »Aufspüren von Eindringlingen«. Obwohl inzwischen schon seit zehn Jahren von Network Security Mo- nitoring die Rede ist, werden diese beiden Begriffe häufig noch synonym verwendet. In Wirklichkeit aber sind sie nicht gleichbedeutend; Intrusion Detection ist nur ein Teil des modernen Network Security Monitoring. Als das Gebiet des »Erkennens« noch ganz nach dem alten Modell der Intrusion Detection geformt war, wies es folgende Merkmale auf: Schwachstellenorientierte Verteidigung. In dem am weitesten verbreiteten Bedrohungsmo- dell nutzen Angreifer, die in ein Netzwerk einbrechen, eine Schwachstelle in der Software aus. Da dieses Modell so einfach und klar umrissen ist, bauten die ersten Intrusion-De- tection-Programme darauf auf: Sie dienten dazu, die Ausnutzung solcher Schwachstellen zu erkennen. Bevorzugung der Erkennung gegenüber der Erfassung. Der Schwerpunkt in diesem Gebiet lag auf der Erkennung. Es wurde zwar auch eine Datenerfassung durchgeführt, allerdings war sie häufig ungerichtet, und die Erfassungsstrategien waren nicht an den Zielen der Erken- nung ausgerichtet. Diese planlose Datenerfassung zeigte sich in Haltungen wie: »Lieber zu viele Daten als zu wenige!« und: »Erstmal alles erfassen, sortieren kann man es später.« Größtenteils signaturgestützt. Die Ausnutzung einer Softwareschwachstelle ist oftmals eine ziemlich gleichbleibende Vorgehensweise, die sich sehr leicht in eine Signatur für ein IDS umsetzen lässt. Daher waren herkömmliche Intrusion-Detection-Systeme darauf ange- wiesen, dass die Schwachstellen bekannt waren und Signaturen für die entsprechenden Exploits entwickelt wurden. 42 1 Network Security Monitoring in der Praxis

Versuche zur Automatisierung der Analyse. Das stark vereinfachende, auf Schwachstellen gestützte Modell zum Erkennen von Eindringversuchen führte zu der Vorstellung, dass man dem von einem IDS hervorgerufenen Alarm mit guter Wahrscheinlichkeit vertrauen konnte. Daher verließ man sich kaum auf menschliche Analytiker, sondern versuchte, die Analyse nach der Erkennung so weit wie möglich zu automatisieren. Die herkömmliche Intrusion Detection war zu ihrer Zeit mäßig erfolgreich, doch bei der jetzigen Sicherheitslage ist sie nicht mehr wirkungsvoll. Der Hauptgrund dafür ist das Versagen der hauptsächlich auf Schwachstellen ausgerichteten Verteidigung. Eine der besseren Erklärungen dafür gibt Bejtlich2. Stellen Sie sich vor, dass in mehrere Häuser in einem Stadtviertel eingebrochen wird. Die Polizei könnte darauf reagieren, indem sie die Häuser in der Nachbarschaft mit Stacheldrahtzäunen umgibt oder dort Stahltüren und Fensterriegel einbauen lässt. Auch dies stellt eine an den Schwachstellen orientierte Vorgehensweise dar. Es ist aber kaum verwunderlich, dass man nie von solchen Maßnahmen der Strafverfolgungsbehörden hört. Der Grund dafür ist, dass entschlossene Verbrecher, die gezielt dieses Viertel aufs Korn genommen haben, einfach nach anderen Schwachstellen in den Häusern suchen werden, die sie ausnutzen können.

1.3 Network Security Monitoring Network Security Monitoring hat vor allem dank des Militärs Fortschritte gemacht, das nun einmal von Natur aus zu den größten Vorreitern einer verteidigungsbereiten Haltung zählt. Angesichts der ausgiebigen Nutzung von Informationstechnologie durch das Mili- tär, der Bedeutung militärischer Operationen und der hohen Vertraulichkeit der Daten in diesem Rahmen ist das auch kein Wunder. Die IO-Doktrin3 (Information Operations) der Vereinigten Staaten besagt, dass die IO- Fähigkeiten eines Befehlshabers für folgende Ziele genutzt werden sollten: •• Zerstören: Ein System oder ein Objekt so beschädigen, dass es keine Funktion mehr ausführen und ohne komplette Neuerstellung nicht wieder in einen nutzbaren Zu- stand zurückgeführt werden kann. •• Stören: Den Informationsfluss unterbinden oder unterbrechen. •• Schwächen: Die Effektivität oder Effizienz von feindlichen Führungs-, Lage- und Kommunikationssystemen sowie Maßnahmen zur Informationsgewinnung herabset- zen. IO kann auch die Moral einer Einheit senken, den Wert eines Ziels verringern oder die Güte der Entscheidungen und Aktionen des Gegners verschlechtern. •• Verweigern: Den Gegner daran hindern, auf wichtige Informationen, Systeme und Dienste zuzugreifen und sie zu nutzen.

2 Bejtlich, Richard, TaoSecurity-Blog, »Real Security is Threat Centric« (November 2009), http://taosecurity. blogspot.com/2009/11/real-security-is-threat-centric.html 3 Veröffentlichung 3-13 des US-Verteidigungsministeriums, »Information Operations« (13. Februar 2006), http://www.carlisle.army.mil/DIME/documents/jp3_13.pdf 1.3 Network Security Monitoring 43

•• Täuschen: Personen etwas glauben lassen, was nicht wahr ist. Die gegnerischen Ent- scheidungsträger durch Manipulation ihrer Wahrnehmung in die Irre führen. •• Ausnutzen: Zugriff auf gegnerische Führungs- und Lagesysteme erlangen, um Informa- tionen zu sammeln oder um falsche oder irreführende Informationen unterzuschieben. •• Beeinflussen: Andere dazu bringen, sich auf eine Weise zu verhalten, die für befreundete Kräfte günstig ist. •• Schützen: Schutzmaßnahmen gegen Spionage und das Abgreifen geheimer Informa- tionen und Ausrüstungsteile treffen. •• Erkennen: Frühere und laufende Einbrüche in Informationssysteme entdecken oder wahrnehmen. •• Wiederherstellen: Informationen und Informationssysteme in den ursprünglichen Zustand zurückversetzen. •• Reagieren: Auf die IO-Angriffe oder Einbrüche des Gegners oder anderer schnell reagieren.

Viele dieser Ziele stehen miteinander in Verbindung. Der Großteil des Network Security Monitoring betrifft das Erkennen, um besser reagieren zu können. Gelegentlich kann das auch Elemente anderer Gebiete einschließen. Bei der Erörterung von Honeypots werden wir uns auch mit Täuschung und Schwächung beschäftigen. Das Erkennungselement dieser IO-Doktrin steht auch in Übereinstimmung mit der De- finition für Angriffswahrnehmung und Warnung (Attack Sense and Warning, AS&W) des US-Verteidigungsministeriums.4 Demnach ist AS&W die Erkennung, Korrelation, Identifizierung und Charakterisierung eines breiten Spektrums beabsichtigter unauto- risierter Tätigkeiten wie Einbrüche in Computer oder Angriffe darauf, in Verbindung mit der Benachrichtigung der Befehlshaber und Entscheidungsträger, sodass eine geeig- nete Reaktion entwickelt werden kann. Zu AS&W gehören auch die Erfassung und Wei- terleitung von Aufklärungsdaten im Zusammenhang mit Angriffen und Einbrüchen, eingeschränkte Empfehlungen für unmittelbare Reaktionen und eingeschränkte Beur- teilungen der möglichen Auswirkungen. Network Security Monitoring wird als das neue Modell für das Gebiet des Erkennens angesehen. Seine Eigenschaften weichen erheblich von denen der klassischen Intrusion Detection ab: Prävention schlägt irgendwann unvermeidlich fehl. Eine der bittersten Realitäten für Vertei- diger besteht darin, dass sie irgendwann verlieren werden. Wie stark die Schutzeinrichtun- gen auch sind und welche vorbeugenden Maßnahmen auch immer unternommen wurden, schließlich wird ein motivierter Angreifer doch eine Möglichkeit zum Eindringen finden. Nicht nur in der Informationssicherheit gilt, dass die Verteidiger immer mit den Angrei- fern Schritt halten müssen. Wenn der Verteidiger stärkere Bunker baut, so baut der An- greifer stärkere Bomben. Trägt der Verteidiger beschusshemmende Westen, beginnt der

4 Direktive O-8530.1 des US-Verteidigungsministeriums, »Computer Network Defense (CND)« (8. Januar 2001), http://www.doncio.navy.mil/uploads/0623IYM47223.pdf 44 1 Network Security Monitoring in der Praxis

Angreifer, panzerbrechende Munition zu verwenden. Wenn Verteidiger professionelle Firewalls für Unternehmen einsetzen und ihre Server stets auf dem neuesten Stand halten, sollten sie daher nicht überrascht sein, dass die Angreifer mithilfe von Social-Engineering- Angriffen Fuß im Netzwerk zu fassen versuchen oder Zero-Day-Exploits einsetzen, um Root-Zugriff auf den gepatchten Server zu bekommen. Erst wenn Sie akzeptieren, dass Ihre Sicherheitsvorkehrungen irgendwann überwunden werden, können Sie Ihre Haltung ändern, sodass Sie sich nicht mehr allein auf Prävention verlassen, sondern sich auch mit Erkennung und Reagieren beschäftigen. Wenn der große Einbruch geschieht, ist Ihre Organisation dann vorbereitet, um wirkungsvoll reagieren und das Leck stopfen zu können. Zielgerichtete Datenerfassung. Früher wurden Daten aus allen verfügbaren Quellen erfasst und an einem zentralen Ort abgelegt. Die Verwaltung von Installationen nach diesem Mus- ter war jedoch äußerst teuer und bot darüber hinaus keinen echten Wert, da die wirklich brauchbaren Arten von Daten nicht zur Verfügung standen und sich die Erfassungswerk- zeuge nicht an die Größenordnung der Daten anpassen ließen, mit denen sie zu arbeiten gezwungen waren. So wie ein Gramm Prävention ein Pfund Sanierung aufwiegt, so wiegt ein Gramm Da- tenerfassung ein Pfund Erkennung auf. Wenn Sie den gleichen Grad an Erkennung mit weniger Daten erreichen können, dann sparen Sie dadurch CPU-Zyklen und arbeiten viel effizienter. Außerdem können Sie den menschlichen Analytikern dann nur die Daten geben, die sie auch tatsächlich brauchen, sodass sie ihre Entscheidungen schneller treffen können. Das kann den Unterschied zwischen einem kleinen Einbruch und einem umfas- senden Datenleck ausmachen. Zyklische Prozesse. Intrusion Detection alter Schule war ein linearer Prozess. Dabei er- hielten Sie eine Alarmmeldung, bestätigten sie und reagierten nach Bedarf. Damit waren sie fertig. Diese lineare Vorgehensweise ist jedoch nicht nur naiv, sondern auch unver- antwortlich. Jeden einzelnen Zwischenfall einzeln zu betrachten, als liefe er im luftleeren Raum auf, hilft nicht, das Netzwerk zu verteidigen. Manche Angriffe dauern zwar wirklich nur wenige Sekunden, doch erfahrene Angreifer gehen oft langsam und methodisch vor. Manchmal benötigen sie Monate, um ihre Ziele zu erreichen. Um von dieser Einzelbetrachtung wegzukommen, ist es erforderlich, die Erkennung von Einbrüchen und die Reaktion darauf als zyklischen Prozess zu behandeln. Das bedeutet, dass die Datenerfassung in die Erkennung eingeht, die Erkennung in die Analyse und die Analyse wiederum in die Erfassung. Dadurch kann der Verteidiger mit der Zeit Kenntnisse aufbauen, um das Netzwerk besser zu verteidigen. Bedrohungsorientierte Verteidigung. Alle Merkmale, die ich bis jetzt aufgezählt habe, füh- ren uns zum Prinzip der an den Bedrohungen oder den Angreifern orientierten Verteidi- gung. Bei der schwachstellenorientierten Vorgehensweise liegt der Schwerpunkt auf dem »Wie«, hier aber auf dem »Wer« und »Warum«. Insbesondere müssen Sie sich fragen, wer daran interessiert sein mag, Ihr Netzwerk anzugreifen, und was die Angreifer damit gewinnen können. 1.4 Schwachstellen- und bedrohungsorientierte Verteidigung im Vergleich 45

Eine bedrohungsorientierte Verteidigung lässt sich viel schwerer durchführen als die frü- here Vorgehensweise, denn dazu sind erstens ausführliche Einsichten in Ihr Netzwerk und zweitens die Möglichkeit erforderlich, Informationen über die Absichten und Fähigkei- ten der Angreifer zu erfassen und zu analysieren. Ersteres lässt sich mit entsprechendem Zeiteinsatz von jeder Organisation mit Leichtigkeit erreichen, doch die zweite Voraus- setzung ist in allen Organisationen außer staatlichen Stellen nur sehr schwer zu erfüllen. Unmöglich ist es aber sicherlich nicht. Denken Sie noch einmal an unser Beispiel von Einbrüchen in einem Stadtviertel zurück. Statt einer schwachstellenorientierten Vorgehensweise, bei der zusätzliche Schutzmechanis- men wie Stacheldraht und Stahltüren aufgefahren werden, konzentriert sich die Polizei bei einem an den Angreifern orientierten Ansatz darauf, die Häuser, in die eingebrochen wurde, genau zu untersuchen, um nach Ähnlichkeiten oder Gemeinsamkeiten der verschiedenen Einbrüche zu suchen und die wahrscheinlichen Ziele der Einbrecher herauszufinden. An- hand dieser Informationen kann die Polizei dann ein Profil der Kriminellen erstellen. Damit wiederum ist es möglich, in der Verbrecherkartei nach Personen zu suchen, die ähnliche Taktiken angewandt haben. Zusammen mit anderen Fahndungsmaßnahmen kann diese Art von Analyse dazu führen, dass die Täter gefasst werden, was weitere Einbrüche verhindert. Das ist im Grunde genommen die Vorgehensweise der bedrohungsorientierten Verteidi- gung und des Network Security Monitoring.

1.4 Schwachstellen- und bedrohungsorientierte Verteidigung im Vergleich Stellen Sie sich einmal vor, das Tor beim Eishockey würde nicht von einem Torwart vertei- digt, sondern von einer Backsteinmauer geschützt. Das mag zu Anfang nach einer idealen Lösung aussehen. Die schwachstellenorientierte Denkschule bevorzugt die Steinmauer. Sie erscheint zunächst undurchdringlich, da sie den Großteil des Tors abdeckt und die angreifende Mannschaft nur zum Ziel gelangen kann, wenn sie die Mauer durchbricht. Mit der Zeit jedoch durchschlagen vereinzelte Schüsse die Mauer. Ganze Steine können aus dem Verbund herausbrechen. Natürlich könnte man diese Steine wieder ersetzen, aber während man an der einen Stelle einen Stein einfügt, kann sich an einer anderen Stelle schon wieder ein Stein lösen. Bedrohungsorientierte Personen dagegen bevorzugen die Verteidigung durch einen Tor- wart. Es ist dabei natürlich wichtig, dass der Torwart alle Schüsse abfängt. Wenn jedoch gelegentlich ein Puck durchgeht, kann er erkennen, dass er beispielsweise tief an seiner rechten Seite hereingekommen ist. Wenn er es wieder mit demselben Stürmer zu tun be- kommt, wird er sein besonderes Augenmerk auf diese Stelle richten, sodass es weniger wahrscheinlich ist, dass der Gegner ein weiteres Tor erzielt. Der große Unterschied besteht darin, dass die Steinmauer ihre Taktik nie ändert und nicht dazulernen kann. Ein Torwart dagegen macht sich nach und nach mit den Gewohnheiten 46 1 Network Security Monitoring in der Praxis

der einzelnen Stürmer vertraut. Dadurch kann er lernen, sich anpassen und immer erfolg- reicher werden. Sowohl bei der schwachstellen- als auch bei der bedrohungsorientierten Verteidigung besteht das Ziel darin, das Netzwerk zu schützen, doch auf unterschiedliche Weise. Eine Übersicht über diese Unterschiede finden Sie in Tabelle 1.1.

Tabelle 1.1: Schwachstellen- und bedrohungsorientierte Verteidigung Schwachstellenorientiert Bedrohungsorientiert Stützt sich auf Prävention Akzeptiert, dass Prävention irgendwann versagen wird Schwerpunkt auf Erkennung Schwerpunkt auf Datenerfassung Sieht alle Bedrohungen gleich an Geht davon aus, dass Angreifer unterschiedliche Werkzeuge, Taktiken und Verfahrensweisen einsetzen Analysiert jeden Angriff für sich allein Kombiniert die aus den verschiedenen Angriffen gewonnenen Erkenntnisse Verlässt sich sehr stark auf die signatur Nutzt Daten aus allen Quellen gestützte Erkennung Bis dahin unbekannte Bedrohungen Gegnerische Aktivitäten auch jenseits der be- können nur sehr schwer erkannt werden kannten Signaturen können gut erkannt werden Linearer Prozess Zyklischer Prozess

1.5 Der NSM-Zyklus: Erfassung, Erkennung und Analyse Der Zyklus des Network Security Monitoring besteht aus drei deutlich voneinander un- terscheidbaren Phasen: Erfassung, Erkennung und Analyse (siehe Abb. 1.1). Dieses Buch ist in drei Teile gegliedert, die sich jeweils einer dieser Phasen widmen.

Abbildung 1.1: Der NSM-Zyklus 1.5 Der NSM-Zyklus: Erfassung, Erkennung und Analyse 47

1.5.1 Erfassung Am Anfang des NMS-Zyklus steht der wichtigste Schritt: die Erfassung. Sie erfolgt mit einer Kombination aus Hardware und Software, um Daten für die NSM-Erkennung und -Analyse zu generieren, zu gliedern und zu speichern. Die Datenerfassung ist der wichtigste Teil des Zyklus, da sie bestimmt, wie gut eine Organisation die Erkennung und Analyse durchführen kann. Es gibt verschiedene Arten von NMS-Daten und verschiedene Vorgehensweisen, um sie zu erfassen. Zu den gebräuchlichsten Kategorien gehören Inhaltsdaten, Sitzungsdaten, statistische Daten, Paketstringdaten und Alarmdaten. Je nach den Bedürfnissen der Orga- nisation, der Netzwerkarchitektur und den verfügbaren Ressourcen können diese Daten entweder hauptsächlich für die Erkennung oder ausschließlich für die Analyse oder für beide Zwecke genutzt werden. Aufgrund des erforderlichen starken Personaleinsatzes gehört die Erfassung am Anfang zu den arbeitsintensivsten Elementen des NSM-Zyklus. Für eine wirkungsvolle Erfassung sind gemeinsame Anstrengungen der Organisationsführung, des Informationssicher- heitsteams und der Netzwerk- und Systemadministratoren erforderlich. Die Datenerfassung schließt unter anderem folgende Aufgaben ein: •• Festlegen, wo das größte Risiko in der Organisation liegt •• Bedrohungen der Ziele der Organisation identifizieren •• Relevante Datenquellen identifizieren •• Die Auswahl der zu erfassenden Datenquellen verfeinern •• SPAN-Ports zur Erfassung von Paketdaten einrichten •• SAN-Speicher für die Aufbewahrung von Protokollen bereitstellen •• Hardware und Software für die Datenerfassung einrichten

1.5.2 Erkennung Bei der Erkennung werden die erfassten Daten untersucht und bei unerwarteten Ereignis- sen und Daten Alarme ausgelöst. Das geschieht gewöhnlich mithilfe einer Erkennungs- methode, die sich auf Signaturen, Anomalien oder Statistiken stützt. Als Ergebnis werden Alarmdaten generiert. Die Erkennung wird meistens durch entsprechende Software durchgeführt. Zu den am häufigsten verwendeten Softwarepaketen für diesen Zweck gehören die Netzwerk-Intrusi- on-Detection Systeme (NIDS) Snort IDS und Bro IDS und die Host-Intrusion-Detection- Systeme (HIDS) OSSEC, AIDE und McAfee HIPS. Einige Anwendungen zur Verwaltung von Sicherheitsinformationen und -ereignissen (Security Information and Event Manage- ment, SIEM) nutzen sowohl Netzwerk- als auch Hostdaten für eine Erkennung auf der Grundlage korrelierter Ereignisse. 1.8 Security Onion 57

die gesamte Organisation davon profitiert. Das kann zu einer Organisation führen, die nicht auf einen starken Führer fixiert ist, sondern in der eine Gruppe von Führern mit unterschiedlichen Stärken und Schwächen harmonisch zusammenwirkt, um ein gemeinsa- mes Ziel zu erreichen. Das mag ein bisschen nach Wolkenkuckucksheim klingen, doch mit der richtigen Geisteshaltung und mit dem Engagement aller Beteiligen kann eine solche Umgebung Wirklichkeit werden.

1.8 Security Onion Im weiteren Verlauf dieses Buches werden wir über die Theorie hinausgehen und uns mehrere praktische Beispiele ansehen. Zur Vereinheitlichung verwende ich für alle Bei- spiele Security Onion, eine Linux-Distribution für Intrusion Detection und Network Security Monitoring. Security Onion wird von Doug Burks und einer Handvoll wei- terer Beteiligten hergestellt und gehört zu meinen Lieblingsinstrumenten zum Lehren und Lernen. Dank der einfachen Einrichtung können Sie eine komplette NSM-Suite zum Erfassen, Erkennen und Analysieren in weniger als einer Viertelstunde bereitstellen. Security Onion ist jedoch nicht nur ein Weiterbildungswerkzeug. In verschiedenen klei- neren Organisationen habe ich diese Distribution schon im Produktionseinsatz gesehen. Ich selbst benutze sie für mein Büro zu Hause und mein Heimnetzwerk.

1.8.1 Installation Wenn Sie die Beispiele in diesem Buch nachvollziehen wollen, müssen Sie Security Onion herunterladen und installieren. Mehrere der besprochenen Werkzeuge sind darin bereits vorinstalliert, z. B. Sort, Bro und Argus. Wenn Sie noch einen alten Computer und einige zusätzliche Netzwerkkarten haben, können Sie sie in Ihrem Netzwerk installieren, um echten Datenverkehr zu untersuchen. Zum Durcharbeiten dieses Buches reicht es jedoch, Security Onion in einer virtuellen Maschine zu installieren. VMWare Player und Virtual- Box sind dafür hervorragend geeignet. Nachdem Sie die Virtualisierungssoftware heruntergeladen haben, müssen Sie die ISO- Datei für Security Onion herunterladen. Die neueste Version finden Sie unter einem Link auf http://ssecurityonion.blogspot.com/. Diese Seite nennt auch eine große Menge hilfrei- cher Quellen zur Installation und Konfiguration der verschiedenen Elemente von Security Onion. Gehen Sie nach Abschluss des Downloads wie folgt vor: 1. Erstellen Sie eine neue virtuelle Maschine. Sehen Sie dabei mindestens 1 GB RAM für jede überwachte Netzwerkschnittstelle und mindestens 2 GB insgesamt vor. Vergewis- sern Sie sich außerdem, dass die Netzwerkschnittstellen mit der virtuellen Maschine verbunden sind. 2. Stellen Sie die heruntergeladene ISO-Datei als virtuelles CD/DVD-Laufwerk in Ihrer Virtualisierungssoftware bereit. 58 1 Network Security Monitoring in der Praxis

Starten Sie die VM. Wenn Ihr Betriebssystem läuft, wählen Sie das Symbol Install Secu- rityOnion auf dem Desktop, um mit der Installation des neuen Betriebssystems auf der virtuellen Festplatte zu beginnen. Folgen Sie den Anweisungen des XUbuntu-Installers. Während der Installation werden Sie um eine Reihe von Angaben gebeten, z. B. nach der gewünschten Festplattenpartitio- nierung, Ihrer Zeitzone, Ihrem Internetanschluss, dem Namen des Systems sowie einem Benutzernamen und einem Passwort für Ihr Benutzerkonto (siehe Abb. 1.2). Sie können die meisten dieser Optionen nach Belieben einrichten. Wählen Sie aber nicht die Opti- on, Ihren Benutzerordner zu verschlüsseln, und aktivieren Sie nicht die automatischen Updates. Diese Optionen sind standardmäßig deaktiviert. Nach Abschluss der XUbuntu- Installation werden Sie aufgefordert, das System neu zu starten.

Abbildung 1.2: Benutzerangaben während der Installation von Security Onion

Damit ist die Installation des Betriebssystems abgeschlossen. 1.8 Security Onion 59

1.8.2 Security Onion aktualisieren Nachdem Sie die Installation abgeschlossen und die virtuelle Maschine neu gestartet haben, müssen Sie als Nächstes Security Onion auf den neuesten Stand bringen. Auch wenn Sie die ISO-Datei gerade erst heruntergeladen haben, kann es sein, dass es Aktualisie- rungen für einzelne SO-Pakete gibt. Um die Aktualisierung auszulösen, geben Sie an der Befehlszeile Folgendes ein:

sudo apt-get update && sudo apt-get dist-upgrade

Je nachdem, wie viele Aktualisierungen seit der letzten ISO-Datei freigegeben wurden, kann der Vorgang eine Weile dauern. Wenn er abgeschlossen ist, ist Ihre Installation von Security Onion auf dem neuesten Stand.

1.8.3 NSM-Dienste einrichten Um die NSM-Dienste nutzen zu können, müssen Sie einen automatischen Einrichtungs- vorgang ausführen. Melden Sie sich bei Security Onion an und gehen Sie dann folgender- maßen vor: 1. Starten Sie den Einrichtungsvorgang, indem Sie auf dem Desktop auf das Symbol Setup klicken. 2. Nachdem Sie Ihr Passwort eingegeben haben, werden Sie gefragt, ob Sie etc/network/ interfaces konfigurieren möchten. Wählen Sie Yes. Bei mehreren Netzwerkschnittstel- len werden Sie aufgefordert, eine davon als Verwaltungsschnittstelle auszuwählen, also als diejenige, über die Sie auf das System zugreifen; bei nur einer einzigen Schnittstelle wird automatisch diese als Verwaltungsschnittstelle eingerichtet. Fahren Sie fort, indem Sie die Option Static IP Address wählen und die IP-Adresse, die Subnetzmaske, das Standardgateway, die Adresse des DNS-Servers und den lokalen Domänennamen eingeben. Nachdem Sie diese Angaben bestätigt haben, wird das System neu gestartet.

Bericht von der Front Auch wenn Sie es gewohnt sind, Ihre Netzwerkschnittstellen manuell einzu- richten, ist es äußerst ratsam, diesen Schritt von SO ausführen zu lassen. Das Betriebssystem führt dabei mehrere Optimierungen durch, damit Ihre Überwa- chungsschnittstellen korrekt eingerichtet werden, um alle möglichen Arten von Netzwerkdatenverkehr zu erfassen.

3. Starten Sie den Einrichtungsvorgang erneut, indem Sie abermals auf das Symbol Setup auf dem Desktop klicken. 4. Überspringen Sie die Netzwerkkonfiguration, da Sie sie bereits erledigt haben. 60 1 Network Security Monitoring in der Praxis

5. Wählen Sie Quick Setup. (Sie können natürlich auch Advanced Setup wählen, aber für unsere Zwecke reicht die Schnelleinrichtung. Die erweiterten Optionen können Sie sich gern auf eigene Faust ansehen.) 6. Wenn Sie über mehrere Schnittstellen verfügen, werden Sie dazu aufgefordert, die gewünschten Überwachungsschnittstellen auszuwählen. 7. Geben Sie einen Benutzernamen und ein Passwort für die verschiedenen NSM- Dienste an. 8. Wenn Sie zur Aktivierung von ELSA aufgefordert werden, wählen Sie Yes. 9. Am Ende werden Sie dazu aufgefordert, die Konfiguration des Sensors zu bestätigen (siehe Abb. 1.3). Klicken Sie auf Yes, proceed with the changes!, um Security Onion auf- zufordern, die Änderungen zu übernehmen.

Abbildung 1.3: Bestätigen der Konfiguration

Nach Abschluss der Einrichtung teilt Ihnen Security Onion die Speicherorte verschiede- ner wichtiger Protokoll- und Konfigurationsdateien mit. Wenn Sie bei der Einrichtung Probleme haben oder feststellen, dass einer der Dienste nicht richtig gestartet wurde, können Sie sich das Einrichtungsprotokoll unter /var/log/nsm/sosetup.log ansehen. Sofern nicht anders angegeben, wird im weiteren Verlauf dieses Buches vorausgesetzt, dass Sie die Schnelleinrichtung von Security Onion abgeschlossen haben.

1.8.4 Security Onion testen Die schnellste Möglichkeit, sich zu vergewissern, dass die NSM-Dienste in Security Onion laufen, besteht darin, Snort einen Alarm generieren zu lassen. Dazu sollten Sie zunächst den von Snort verwendeten Regelsatz mithilfe des Befehls sudo rule-update 1.8 Security Onion 61

aktualisieren. Dadurch werden mithilfe des Dienstprogramms PulledPork die neuesten Regeln von Emerging Threats heruntergeladen, eine neue SID-Zuordnung erstellt (um den Regelnamen eindeutige Bezeichner zuzuordnen) und Snort neu gestartet, damit die neuen Regeln in Kraft treten. In Abb. 1.4 sehen Sie einen Teil der Ausgabe dieses Befehls.

Abbildung 1.4: Ausgabe bei einer Regelaktualisierung

Um die NSM-Dienste zu testen, starten Sie Snorby, indem Sie auf das zugehörige Symbol auf dem Desktop klicken. Sie werden dazu aufgefordert, sich mit der während der Einrich- tung angegebenen E-Mail-Adresse und dem zugehörigen Passwort anzumelden. Klicken Sie danach auf die Registerkarte Events am oberen Bildschirmrand. Sehr wahrscheinlich ist das Fenster zu diesem Zeitpunkt leer. Um eine Snort-Warnung auszulösen, öffnen Sie im Browserfenster eine neue Registerkarte und rufen dort http://www.testmyids.com auf. Wenn Sie jetzt wieder zur Snorby-Registerkarte wechseln und die Seite Events aktualisieren, sollten Sie einen Alarm mit der Ereignissignatur GPL ATTACK_RESPONSE id check retur- ned root sehen (siehe Abb. 1.5). Wenn das der Fall ist, haben Sie die NSM-Umgebung von Security Onion erfolgreich eingerichtet. Sie können den Alarm gern genauer untersuchen, 62 1 Network Security Monitoring in der Praxis

indem Sie darauf klicken und sich die Ausgabe in Snorby ansehen. In späteren Kapiteln werden uns noch genauer mit Snorby beschäftigen.

Abbildung 1.5: Der Snort-Testalarm in Snorby

Diese Alarmmeldung sollte ziemlich schnell erscheinen. Wenn Sie sie nach einigen Minuten immer noch nicht sehen, funktioniert etwas nicht richtig. Informieren Sie sich auf der Web- site zu Security Onion über die Fehlerbehebung. Wenn Sie das Problem dadurch nicht lösen können, schauen Sie in die Mailingliste von Security Onion oder im zugehörigen IRC-Kanal #securityonion auf Freenode. Die beschriebenen Vorgänge sind bis Security 12.04 gültig, der aktuellen Version während der Abfassung dieses Buches. Sollte sich der Vorgang geändert haben, schlagen Sie im SO- Wiki unter https://code.google.com/p/security-onion/w/list nach. Wir werden im Verlauf dieses Buches noch häufiger auf Security Onion eingehen. Wenn Sie noch mehr darüber erfahren wollen, ist das SO-Wiki die beste Informationsquelle.

1.9 Zusammenfassung In diesem Kapitel haben Sie Network Security Monitoring, bedrohungsorientierte Sicher- heit und verwandte Prinzipien kennengelernt. Wir haben uns auch Security Onion angesehen und ausführlich beschrieben, wie Sie eine NSM-Umgebung in wenigen Minuten installieren und einrichten. Für Neulinge in Sachen NSM ist es von entscheidender Bedeutung, die in diesem Kapitel vorgestellten Prinzipien genau zu verstehen, da sie die Grundlage für die Anwendung von NSM bilden. Der Rest dieses Buches ist in drei Teile gegliedert, die sich jeweils mit den einzelnen Elementen des NSM-Zyklus beschäftigen: Erfassung, Erkennung und Analyse. 551

Stichwortverzeichnis

A Relationale Untersuchung 502, 505 Rote-Zellen-Analyse 527 Abuse.ch 231 SiLK 131 Afterglow 380 Tcpdump 428 Alarmdaten Tshark 432 Anzeigen 316 Überprüfung der zentralen Annahmen Ausgabe 284 528 Einführung 87 Vorgang 501 Formate 285 Was-wäre-wenn-Analyse 527 Paketprotokollierung 286 Wireshark 437 Sguil 318 Zehnerregel 522 Snorby 317 Zweites Paar Augen 519 Systemprotokoll 285 Analytiker Unified2 286 Berufliches Vorwärtskommen 55 Analyse Fähigkeiten 50 Alternative Analyse 527 Klassifizierung 52 Analysetools verketten 134 Spezialisierung 50 Analyse widerstreitender Hypothesen Superstars 55 528 Anamnese 468 Angreifer nicht einladen 519 Angreifer 39 Argus 138 Anomalien Aufgaben von Sensoren 86 Anomaliegestützte Erkennung 357 Datenabstraktion 518 Definition 40 Differenzielle Diagnose 509, 512 Kommunikationsintensive Hosts 358 Einführung 48 Anzeigefilter 450, 456 Empfohlene Vorgehensweisen 518 Applied Collection Framework 66 Häufigste Diagnose 512 Argus Klassifizierung 521 Architektur 139 Methoden 502 Daten abrufen 140 Methoden umsetzen 517 ra 140 Morbidität und Mortalität 523 Aufklärung Normale Kommunikation 516 Analysephase 467 Paketanalyse 413, 518 Anamnese 468 552 Stichwortverzeichnis

Anforderungen 464 bro-cut 325 Aufklärungszyklus 463 Code verpacken 335 Bedrohungen 480 Darknet 338 Bestandsmodell 469 Dateien aus laufendem Netzwerk Domänennamen 486 verkehr entnehmen 332 Eigene Elemente 467 Dateien extrahieren 328 Erfassungsphase 466 Eigene Erkennungswerkzeuge erstel- Gegnerische Hosts 482 len 327 Interne Datenquellen 482 Einführung 319 Interner Portscan 470 E-Mail-Benachrichtigungen 350 IP-Adressen 483 Felder hinzufügen 352 Netzwerkelemente 468 Intel-Framework 255 Öffentlich verfügbare Quellen 483, Konfigurationsoptionen 335 492 Protokolle 322 Operativ 480 Reputationserkennung 254 OSINT 483 Selektive Dateiextraktion 330 Planung 465 Skripterstellung 327 PRADS 473, 476 Skripte testen 344 Recherche 482, 492 Standardverarbeitung von Benach- Reputation 489 richtigungen aufheben 346 Schädliche Dateien 492 Unterstützte Protokolle 320 Strategisch 480 Taktisch 481 Verarbeitung 466 C Weitergabe 467 whois 486 Collective Intelligence Framework 245 Authentifizierung 116 CSV-Dateien 217 Cuckoo 494

B D BASH-Tools 195, 239 Bedrohungen Daemonlogger 149 Aufklärung 480 Darknet 338 Bedrohungsorientierte Verteidigung Datenquellen 70, 77 45 Datentypen 86, 88 Identifizieren 67, 74 Diensterkennung 362 Berechnete Indikatoren 205 Differenzielle Diagnose 509, 512 Bro DNS-Namensauflösung 428 Ausführen 322 Domains by IP 491 Benachrichtigungen unterdrücken Dsniff 177 342 Dumpcap 147 Stichwortverzeichnis 553

E IP-Adressenerkennung 249, 251 Kommunikationsintensive Hosts 358 E/A-Diagramm 444 Reputationsgestützte Erkennung 229 Einbruchsindikatoren. Siehe Indikatoren Reputationsgestützte Erkennung auto- Elementare Indikatoren 205 matisieren 239 E-Mail-Benachrichtigungen 350 Schädliche Domänen in FPC-Daten Endpunkte 442 erkennen 243 Entmilitarisierte Zone 73 Schädliche IP-Adressen in Sitzungs- Ereignisfilterung 308 daten erkennen 242 Erfassung Signaturgestützte Erkennung 261 Argus 138 Snort 249 Aufgaben von Sensoren 85 Statistische Daten 368 Daemonlogger 149 Suricata 251 Datenquellen identifizieren 70, 77 Erkennungsfilter 311 Dienste ausschließen 159 Exploits 40 DNS-Namensauflösung unterdrücken 428 Dumpcap 147 F Einführung 47 Eingrenzen 70, 81 Falsch negativ 212 Fallstudie 73 Falsch positiv 212 Httpry 178 Fehlalarme 212 Justniffer 181 Alarme unterdrücken 310 Netsniff-NG 150 Benachrichtigungen in Bro unter Planen 65, 153 drücken 342 PSTR 174 Reputationslisten 238 SiLK 128 Filter Sitzungsdaten 126 Anzeigefilter 450, 456 Speicherbedarf senken 159 Berkeley-Paketfilter 451 Speicherplatz 153 BPF 431, 451 URLsnarf 177 Einzelne Protokollfelder 454 Wireshark 437 Ereignisfilter 308 Erfassungsfilter 450 Erfassungsfilter 450 Erkennung Erkennungsfilter 311 Anomaliegestützte Erkennung 357 Flussdaten 132 Aufgaben von Sensoren 85 GROK 189 Bro 254 Ländercodes 136 Diensterkennung 362 Paketfilter 451 Eigene Erkennungswerkzeuge erstel- Rwfilter 132, 136, 358 len 327 Tcpdump 431 Einführung 47 Tshark 435 E-Mail-Benachrichtigungen 350 Vergleichsoperatoren 457 Erkennungsmechanismen 201 Wireshark 450, 456 Frühwarn-Honeypots 387 554 Stichwortverzeichnis

Flussdaten Honeyd 395 Argus 138 Kippo 399 Filtern 132 Persönlichkeit 396 Flussdatensätze 120 Planen 390 SiLK 128 Plattformen 394 Typen 124 Platzierung 391 FPC Regeln 398, 403 Aufbewahrung der Daten 163 Simulierte Geräte und Dienste 391 Daemonlogger 149 Tom’s Honeypot 404 Datenerfassung planen 153 Hostindikatoren 204 Dumpcap 147 Httpry 178 Durchsatz der Sensorschnittstelle berechnen 155 Einführung 86, 145 I Netsniff-NG 150 PCAP 145 Indikatoren Schädliche Domänen erkennen 243 Abfragen 247 Speicherbedarf senken 159 Berechnete Indikatoren 205 Speicherplatz 153 Bereitstellen 248 Werkzeug auswählen 152 CSV-Dateien 217 Fprobe 127 Definition 203 Führung als Dienst 56 Elementare Indikatoren 205 Evolution 210 Frameworks 223 G Hostindikatoren 204 Kontextinformationen 214 Gemeinsam genutzte Server 237 Masterliste 218 GeoIP 136, 355 Netzwerkindikatoren 204 Gnuplot 371 Revisionstabelle 221 Google Charts 375 Statische Indikatoren 205 GROK 189 Variable Indikatoren 208 Verhaltensindikatoren 205 Verwaltung 216 H Intel-Framework 255 Intrusion Detection Häufigste Diagnose 512 Alarme unterdrücken 310 Hexadezimalformat 416 Altes Modell 41 Honeyd 395 IDS-Regeln 290 Honeydocs 407 IDS-Systeme für Sensoren 116 Honeypots Öffentliche Quellen für Regeln 280 Alarmierung und Protokollierung 393 Regeln aktualisieren 281 Architektur 390 Regelsätze 277 Arten 389 Signaturgestützte Erkennung 261 Definition 387 Snort 262 Frühwarn-Honeypots 388 Suricata 265 Funktionsumfang 397 Stichwortverzeichnis 555

IO-Doktrin 42 MaxMind 136, 355 IP-Adressen MIME 330 Aufklärung 483 Morbidität und Mortalität 523 IP-Adressvariablen für IDS-Regeln 273 Registraturen 483 N Reputation 489 Reputationsgestützte Erkennung 249, NDIS-Modus 264 251 NetFlow-Daten 124 Schädliche IP-Adressen in Sitzungs- Fprobe 127 daten erkennen 242 Netsniff-NG 150 Sichtbarkeit interner IP-Adressen 107 Netzwerkindikatoren 204 Snort 249 Nibbles 416 IPFIX 125 NIDS-Modus 288 IP-Header 420 Nmap 470 IPVoid 489 Normale Kommunikation 516 NoVirusThanks 489 NSM J Aufklärungszyklus 463 Datentypen 86 Justniffer 181 Dienste einrichten 59 Einführung 42 Erfolg messen 53 K Kritik 48 NSM-Zyklus 46 Kibana 188 Terminologie 39 Kippo 399 Konversationen 442 Kultur des Lernens 54 O OpenIOC 223 L OSINT 483 Ländercodes 136 Lastenausgleich 98 P Lincoln, Abraham 66 Logstash 186 Paketdaten. Siehe FPC Pakete Analyse 518 M Einführung 414 Ethernetheader 422 Malware Domain List 231 Feldzuordnung 420 Malware Hash Registry 499 Hexformat 415 Malwaresandboxes 493 IP-Header 420 Malwr.com 494 IP-Version 424 Masterliste 218 Paketanalyse 413 556 Stichwortverzeichnis

Paketfilter 451 Inhaltsuntersuchung 298 Paketheader 543 Klassifizierung 296 Paketmathematik 416 Kommunikationsfluss 306 Portangaben 427 Modifikatoren 299 Protokollfeld 424 Öffentliche Quellen 280 TTL-Feld 421 Optimieren 308 Zerlegen 422 Optionen 293 Paketprotokollierung 286 Priorität 296 Paketstringdaten. Siehe PSTR PulledPork 281 PCAP Regelheader 291 Einführung 145 Regelsätze 277 PCAP-NG 146 Regelverwaltung in Security Onion Selektive Dateiextraktion 330 282 PF_Ring 267 Reguläre Ausdrücke 305, 314 PhishTank 233 Reihenfolge der Inhaltssuche 302 Ports 427 Schnelle Mustersuche 314 Portvariablen 276 Schwachstellen 313 PRADS 473, 476, 538 Testen 315 Protokolldaten 87 Unerwünschten Datenverkehr aus- PSTR schließen 312 BASH-Tools 195 Verweise 294 Daten anzeigen 186 Reguläre Ausdrücke Daten manuell generieren 176 Inhaltssuche 314 Einführung 87, 171 In Regeln 305 Erfassen 174 Relationale Untersuchung 502, 505 Httpry 178 Reputation Justniffer 181 Aufklärung 489 Speicherbedarf 175 Automatische Blockierung 236 URLsnarf 177 Automatisieren der reputationsge- Werkzeuge 175 stützten Erkennung 239 PulledPork 281 BASH-Skripte 239 Bro 254 Collective Intelligence Framework R 245 Fehlalarme 238 Regeln Gemeinsam genutzte Server 237 Aktualisieren 281, 538 IP-Adressen 489 Alarme unterdrücken 310 IP-Adressenerkennung 249, 251 Aufbau 290 Malware Domain List 231 Ereignisfilterung 308 Öffentliche Reputationslisten 230 Erkennungsfilter 311 Pflege der Listen 237 Honeypots 398, 403 PhishTank 233 HTTP-Datenverkehr 303 Probleme bei der Verwendung öffent- IDS-Regeln 290 licher Reputationslisten 236 Stichwortverzeichnis 557

Schädliche Domänen in FPC-Daten NSM-Dienste einrichten 59 erkennen 243 PRADS 473 Schädliche IP-Adressen in Sitzungs- Regelverwaltung 282 daten erkennen 242 Sensorsteuerung 535 Snort 249 Serversteuerung 532 Spamhaus-Sperrlisten 234 SiLK installieren 132 SpyEye Tracker 231 Snort 262 Suricata 251 Steuerskripte 531 Tor-Austrittsknotenliste 233 Testen 60 Werbenetzwerke 238 Wireshark 147 Whitelists 238 Selektive Dateiextraktion 330 ZeuS Tracker 231 Sensoren Revisionstabellen 221 Absichern 113 Risiko Aktualisieren 114 Definition 40 Arbeitsspeicher 92 Quantifizieren 69, 75 Aufgaben im NSM-Zyklus 85 Rwcount 134 Authentifizierung 116 Rwfilter 358 Befehle zur Sensorsteuerung 535 Flussdaten filtern 132 Betriebssystem 104 Ländercodes 136 CPU 91 Rwflockpack 129 Durchsatz der Schnittstelle berechnen Rwstats 136 155 Kommunikationsintensive Hosts Ein- und Austrittspunkte 105 finden 358 Festplattenplatz 93 Netzwerkelemente aufspüren 366 Halbzyklus 89 Hardware 90 IDS 116 S Internetzugriff 115 Lastenausgleich 98 Schnelle Mustersuche 314 Netzwerkschnittstellen 96 Schwachstellen Platzierung 104 Definition 40 Reine Erfassungssensoren 89 Regeln schreiben 313 Sichtbarkeit interner IP-Adressen 107 Schwachstellenorientierte Verteidi- Sichtfelddiagramme 111 gung 45 Socketpuffer 98 Security Onion Typen 89 Aktualisieren 59 VLAN-Segmentierung 115 Argus 139 Vollzyklus 89 Befehlszeilenargumente für Snort/ Sguil 318, 474 Suricata 288 Sichtfelddiagramme 111 Dateien und Verzeichnisse 539 Signaturen IDS-Engines austauschen 268 CSV-Dateien 217 Installation 57 Definition 203 Logstash 188 Evolution 210 558 Stichwortverzeichnis

Frameworks 223 Snort Genauigkeit 213 Alarmausgabe 284 ID 294 Alarme anzeigen 316 Kontextinformationen 214 Architektur 263 Masterliste 218 Befehlszeilenargumente 288 Optimieren 212 Einführung 262 Regelsätze 277 Installieren 269 Revisionstabelle 221 IP-Adressvariablen 273 Signaturgestützte Erkennung 261 Konfigurieren 272 Verwaltung 216 NIDS-Modus 264, 288 SiLK Portvariablen 276 Analysesuite 131 Präprozessoren 287 Diensterkennung 362 Regeldateien 277 Flussdaten 128 Reputationsgestützte IP-Adressen Flusstypen 130 erkennung 249 Installieren 132 Sniffer-Modus 263 Kommunikationsintensive Hosts Socketpuffer 98 finden 358 Spamhaus-Sperrlisten 234 Netzwerkelemente aufspüren 366 SPAN-Ports 99 Packsystem 129 SpyEye Tracker 231 Rwfilter 132 Statische Indikatoren 205 Rwflockpack 129 Statistische Daten Sitzungsdaten Afterglow 380 Durchsatz der Sensorschnittstelle Anomaliegestützte Erkennung 357 berechnen 156 Einführung 87 Einführung 86, 119 Erkennungsmöglichkeiten 368 Erfassen 126 Gnuplot 371 Flussdatensätze 120 Google Charts 375 Fprobe 127 Grafisch darstellen 371, 375, 380 Hardwareseitige Generierung 126 STIX 226 IPFIX 125 Streams 443 NetFlow 124 Superstars 55 Netzwerkelemente aufspüren 366 Suricata Schädliche IP-Adressen erkennen Alarmausgabe 284 242 Alarme anzeigen 316 SiLK 128 Architektur 266 Softwareseitige Generierung 127 Befehlszeilenargumente 288 Speichern 142 Einführung 265 YAF 128 Installieren 269 Sniffer-Modus 263 IP-Adressvariablen 273 Snorby 317 Konfigurieren 272 Regeldateien 279 Systemprotokoll 285 Stichwortverzeichnis 559

T W Taps Wahr negativ 212 Aggregierend/nicht aggregierend 101 Wahr positiv 212 Vergleich mit SPAN-Ports 99 Werbenetzwerke 238 Tcpdump Whitelists 238 Ausgabe 429 whois 486 Filter 431 Wireshark NSM-Analyse 428 Anzeigefilter 456 Paketanalyse 415 Benutzerdefinierte Spalten 447 Pakete abgreifen 428 Dumpcap 147 Snapshotlänge 430 E/A-Diagramm 444 Team Cymru 499 Endpunkte 442 Teamwork 54 Filter 450 ThreatExpert 497 Konversationen 442 Tom’s Honeypot 404 NSM-Analyse 437 Tor-Austrittsknotenliste 233 Objekte exportieren 446 Tshark 432 Paketanalyse 415 Paketerfassung 437, 440 Protokollhierarchie 441 U Streams 443 Zeitanzeige 439 Unified2 286 Zerlegungsoptionen 449 URLsnarf 177 URLVoid 489 Y V YAF 128 Variable Indikatoren 208 Vergleichsoperatoren 457 Z Verhaltensindikatoren 205 VirusTotal 493 Zehnerregel 522 VLAN-Segmentierung 115 ZeuS Tracker 231 Zwei-Faktor-Authentifizierung 116 Chris Sanders/Jason Smith Aus dem Inhalt: • Network Security Monitoring (NSM) in der Praxis • Flussdaten mit SiLK erfassen und analysieren • Frameworks für Indikatoren Hacking und Signaturen • Automatisieren der reputations- mit Security Onion gestützten Erkennung • Reputationserkennung mit Bro • Signaturgestützte Erkennung Sie können noch so viel in Hardware, Software und Abwehr- mit Snort und Suricata mechanismen investieren, absolute Sicherheit für Ihre IT- • Die Architektur von Snort Infrastruktur wird es nicht geben. Wenn Hacker sich wirklich und Suricata anstrengen, werden sie auch in Ihr System gelangen. Sollte • Kommunikationsintensive das geschehen, müssen Sie sowohl technisch als auch organi- Hosts mit SiLK finden satorisch so aufgestellt sein, dass Sie die Gegenwart eines • Frühwarn-Honeypots zur Hackers erkennen und darauf reagieren können. Sie müssen Erkennung in der Lage sein, einen Zwischenfall zu deklarieren und • Tcpdump, TShark und die Angreifer aus Ihrem Netzwerk zu vertreiben, bevor sie Wireshark für die NSM-Analyse erheblichen Schaden anrichten. Das ist Network Security Monitoring (NSM).

Die für das Network Security Monitoring eingesetzten Tools werden auch über Die beschriebenen Analyseszenarien werden anhand Screenshots beschrieben (im Bild: Wireshark). von Netzwerkdiagrammen anschaulich visualisiert.

Lernen Sie von dem leitenden Sicherheitsanalytiker Sanders die Feinheiten des Network Security Monitoring kennen.

Konzepte verstehen und Network Security Monitoring mit Open-Source-Tools durchführen Lernen Sie die drei NSM-Phasen kennen, um diese in der Praxis anzuwenden. Die praktische Umsetzung der NSM erfolgt mit vielen Open-Source-Werkzeugen wie z. B. Bro, Daemonlogger, Dumpcap, Justniffer, Honeyd, Httpry, Netsniff-NG, Sguil, SiLK, Snorby Snort, Squert, Suricata, TShark und Wireshark. Anhand von ausführlichen Beispielen lernen Sie, die Tools effizient in Ihrem Netzwerk einzusetzen.

Besuchen Sie 40,– EUR [D] / 41,20 EUR [A] unsere Website ISBN 978-3-645-60496-3 www.franzis.de