Sie sind nicht angemeldet.

Intrusion Detection by hand

  • 1
  • 2

LiWiz

Schüler

Beiträge: 68

  • Nachricht senden

21

24.01.2005, 16:52

Ahoi,

du brauchst einen gehärteten Kernel mit grsecurity and dort
CONFIG_GRKERNSEC_RANDISN=y

und schon hast Du Zufallssequenzen.

Just my 2 euro-cents
### Better dead than doze ### Kluge Leute wissen, wann sie sich dumm stellen müssen ###

staenker

Schüler

Beiträge: 59

Wohnort: Deutschland/Sachsen/Dresden

Beruf: Student

  • Nachricht senden

22

11.02.2005, 10:46

in der aktuellen LinuxMag gibt es einen interessanten Artikel über gehärtete Kernel.
Nur mal so eingeworfen falls es jemand interessiert.

mfg
Richard
do it the debian way

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

23

11.02.2005, 13:28

Ich kaufe das Ding mal. Danke für den Tipp.
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

hydraulik

Techno MUSS hart sein

  • »hydraulik« ist männlich

Beiträge: 211

Wohnort: Hessen

Beruf: Fachinformatiker - Systemintegration

  • Nachricht senden

24

11.02.2005, 14:01

ja ich glaub das is auch was für mich.....:kiff:

thx !!

t-w-w

Anfänger

  • »t-w-w« ist männlich

Beiträge: 7

Beruf: Schule

  • Nachricht senden

25

04.04.2005, 21:18

Etwas zur IDS

Ich lese öfters die Zeitschrift Linux Magazin, in der letztes jahr ein paar interessante Sachen drin standen.

Hier der link - http://www.linux-magazin.de/Artikel/ausg…/aide/aide.html

Es geht um das Advanced Intrusion Detection Environment.

Gruß Timur

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

26

18.04.2005, 20:23

Tipp am Rande

Sorry, dass ich noch gar nichts zusammen geschrieben habe - habe Job gewechselt und das nimmt derzeit ein wenig Zeit in Anspruch.

Danke fuer den coolen Link - habe den gelich mal in die Arbeit gemailt.... :)

Will auch mal einen Tipp loswerden (nur bedingt mit dem Thema zu tun) nachdem ich einige Zeit nun damit rumexperimente....

openVPN ist eine echt laessige VPN-Lösung .... in der aktuellen CT ist ein brauchbarer Artikel drin (S.194).

Macht Spass und wenig Ärger....
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

ChExMa

Anfänger

Beiträge: 1

Wohnort: nrw

Beruf: System Engineer

  • Nachricht senden

27

29.07.2005, 15:27

RE: Tipp am Rande

Hi Leute,

wenn hier noch was passiert würde ich mich aktiv am geschehen beteiligen.
Ist genau mein Interressengebiet, leider sieht der Thread etwas eingeschlafen aus.

mfg

Andre

hydraulik

Techno MUSS hart sein

  • »hydraulik« ist männlich

Beiträge: 211

Wohnort: Hessen

Beruf: Fachinformatiker - Systemintegration

  • Nachricht senden

28

02.08.2005, 17:18

RE: Tipp am Rande

ok....ich weiß net recht ob das hier richtig gepostet ist, aber irgendwie gehört es ja auch so n bisschen in die ecke "intrusion detection".

es geht um md5-checks....folgende scripts hab ich mir mal zusammengebastelt und wollte mal eure meinung dazu hören....äh lesen...


hier das "hauptscript" /etc/scripts/check_md5.sh:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

#!/bin/sh

### /etc/scripts/check_md5.sh ###


# Einhaengen des Floppy-Laufwerks
mount /dev/fd0 /floppy

# Einlesen der momentanen MD5-Summen in /etc
find /etc -type f ! -name mtab ! -name blkid.tab ! -name blkid.tab.old | xargs md5sum > /var/tmp/md5check.tmp

# Vergleich der momentanen MD5-Summen mit den gespeicherten auf der Floppy
diff /var/tmp/md5check.tmp /floppy/etc.sigs > /dev/null

# diff-Status = 0 -> Keine Abweichungen zwischen Original-MD5-Summen und den momentanen
if [ $? -ne "0" ];
then
        /etc/scripts/search_file.pl;
        cat /var/tmp/mail.tmp | mailx -s "Inkonsistenz bei MD5-Check" root@localhost;
        logger -t "md5-check" -p syslog.alert "Inkonsistenzen bei MD5-Check aufgetreten";
else
        logger -t "md5-check" -p syslog.info "MD5-Check ok";
fi

# Entfernen der Temp-Files
rm -f /var/tmp/md5check.tmp /var/tmp/mail.tmp

# Aushaengen des Floppy-Laufwerks
umount /floppy

exit $?

### EOF ###


und hier das perl-script in das gesprungen wird, wenn "diff" unterschiede bemerkt:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

#!/usr/bin/perl -w

### /etc/scripts/search_file.pl ###

# Einlesen der aktuellen MD5-Summen in ein Array
open(FH, "/var/tmp/md5check.tmp");
@testdatei=<FH>;
close(FH);

# Oeffnen der Datei mit den gespeicherten MD5-Summen
open(FH, "/floppy/etc.sigs");
while(<FH>) {
        # Aufsplitten in MD5-Hash und Dateiname (Original)
        ($hash, $datei) = split /\s+/, $_;
        # Fuer jeden Wert im Array @testdatei....
        foreach $zeile(@testdatei) {
                # Aufsplitten in MD5-Hash und Dateiname (momentan)
                ($testhash, $testdatei) = split /\s+/, $zeile;
                # Wenn der Dateiname in beiden Listen uebereinstimmt...
                if ($testdatei eq $datei) {
                        # ...pruefe, ob der Original-Hash vom momentanen Hash abweicht...
                        if ($hash ne $testhash) {
                                # falls dies so ist: Schreibe den Name der Datei in das "Ausgabe-Array"
                                push @ausgabe, $testdatei;
                        }
                }
        }
}
close(FH);

# Oeffnen der Datei, welche an die Mail angehaengt wird.
open(FH, ">/var/tmp/mail.tmp");
print FH "MD5-Summen fuer folgende Dateien stimmen nicht mit den gesicherten MD5-Summen ueberein:\n\n";
# Fuer jedes Element im "Ausgabe-Array"....
foreach $element(@ausgabe) {
        # ...schreibe das Element in die geoeffnete Mail-Datei
        print FH "$element\n";
}
close(FH);

### EOF ###



da ich nun noch net so ganz doll bin bzgl. der erkennung von - ich sag mal "logischen fehlern" - würd ich gerne wissen, ob ich das so machen kann. also funktionieren tut es ganz gut, es wird per cronjob alle 30 minuten gecheckt, ob die md5-summen noch stimmen, und wenn nicht, wird ne mail und ein logeintrag abgeschickt. ich stell mir nur selber die frage, ob ich die scripts nicht auch besser auf die schreibgeschützte floppy packen sollte.....
und vor allem: hätte es da nicht ne einfachere lösung gegeben?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »hydraulik« (02.08.2005, 17:19)

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

29

02.08.2005, 17:43

Aide ist schön und nett, man muss aber ggü. Tripwire in einem Punkt wachsam sein:
Da aide seinen Datenbestand weder verschlüsselt noch signiert, kann dieser von einem erfolgreichen Angreifer (root-Rechte) manipuliert werden! (bei beiden hostbasierten "Einbruchserkennungssystemen" kann ein Angreifer die Daten löschen, was aber auffällt)

Dieses Manko kann man mit GnuPG abfangen, zusätzlich ist ein Backup auf einen entfernten Rechner bei beiden sinnvoll und ratsam.


Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening
  • 1
  • 2
Thema bewerten