Ist ein Computer an das Internet angeschlossen, so besteht zwangsläufig
die Gefahr, dass Fremde versuchen, über bekannte Schwachstellen in den Rechner
einzubrechen, um ihn für eigene, meist illegale Zwecke zu missbrauchen. In der
Regel wird ein solcher Einbrecher versuchen, ein so genanntes Rootkit zu
installieren, um die dauerhafte Kontrolle der Computers zu sichern und seine
Anwesenheit zu verbergen. Andererseits sind die Veränderungen, die ein
Einbrecher verursacht, eine hervorragende Möglichkeit, ihn schnellstmöglichst
zu entdecken.
Samhain ist ein Werkzeug zur Überprüfung der Integrität eines
Rechners bzw. des Betriebssystems des Rechners und/oder der darauf gespeicherten
Daten. Die Grundfunktion von Samhain besteht darin, eine Datenbank mit
Prüfsummen und anderen Eigenschaften aller zu überwachenden Dateien zu
erstellen, um anschließend regelmäßig zu überprüfen, ob eine dieser Dateien
manipuliert wurde.
Zusätzlich besteht die Möglichkeit, die Integrität des Kernels zu überwachen,
d. h. zu testen, ob der Kernel zur Laufzeit manipuliert wurde,
Login/Logout-Vorgänge zu melden, und/oder das gesamte Dateisystem regelmäßig
nach SUID-Programmen zu durchsuchen.
Bei Systemen zur Entdeckung von Einbrechern oder Einbruchsversuchen
( Intrusion Detection Systems) unterscheidet man generell
Netzwerk-basierte IDS (NIDS), die an einer
zentralen Stelle den Netzwerkverkehr überwachen, und Host-basierte
IDS, die den lokalen Computer überwachen.
Der Vorteil eines NIDS besteht offensichtlich darin, dass man nur
ein Überwachungssystem an einer zentralen Stelle installieren muss. Andererseits
kann ein solches System nur Angriffsversuche erkennen, deren Muster bereits
bekannt sind; und nach der Entdeckung eines Angriffsversuchesist nicht unbedingt
klar, ob er nun erfolgreich war oder nicht. Ein praktisches Problem besteht auch
darin, Fehlalarme zu reduzieren, ohne dabei echte Angriffsversuche zu übersehen.
Eine Host-basierte Anwendung zur Verifikation der Systemintegrität wie
Samhain ist natürlich aufwendiger zu installieren, wenn man
mehrere Computer überwachen möchte. Andererseits kann ein solches System auch
Angriffe mit neuartigen, bisher unbekannten Methoden erkennen. Die Problematik
von Fehlalarmen ist deutlich reduziert, da das System nur Alarm schlägt, wenn
tatsächlich Veränderungen an einem Computer stattgefunden haben.
Besonders in großen Firmennetzen besteht ein großes Problem auch in Angriffen
von innerhalb; z. B. von mitgebrachten Laptops aus, oder mit Hilfe von
Passworten, die sich ein Angreifer z. B. durch geschickt geführte
Telefongespräche verschafft hat. Auch bei solchen Angriffen kann ein
Host-basiertes System wie z. B. Samhain eine Manipulation des
Systems erkennen.
|
|