|
|
Protokollierungs- und Analyse-Tools
ProtokollierungstoolsHier stelle Ich Ihnen Tools vor, die Ihnen dabei helfen können, das meiste aus Ihren Log-Dateien herauszulesen.
Warum noch mehr Logs benutzen?Wenn Ihr Betriebssystem bereits integrierte Unterstützung für Protokollierung bietet, kommen Sie vielleicht in Versuchung, vom Laden zusätzlicher Protokollierungstools abzusehen. Sie sollten dieser Versuchung widerstehen. Sie können Ihren Log-Dateien nicht immer vertrauen. Tatsächlich ist das Ändern von Log-Dateien eines der ersten Dinge, die Cracker lernen. Diese Praxis ist so weit verbreitet, daß es heute Tools gibt, die den Prozeß automatisieren. Hier sind einige davon:
Um Cracker davon abzuhalten, die Einträge in Ihren Log-Dateien zu manipulieren, sollten Sie mindestens ein Protokollierungs-Tool eines Drittanbieters einsetzen. Erstens ist die Cracker-Gemeinde zwar sehr gut vertraut mit betriebssystem-blasierten Log-Dateien, aber nur wenige Cracker verfügen über das nötige Wissen oder die nötigen Mittel, um Protokollierungs-Software von Drittanbietern zu umgehen. Zweitens generiert gute Drittanbieter- Software unabhängige Log-Dateien, ohne die Log-Dateien des Betriebssystems als Ausgangspunkt zu benutzen. Sie werden sofort wissen, daß jemand in Ihr System eingedrungen ist, wenn Sie diese Informationen später vergleichen und eine Diskrepanz zwischen den Drittanbieter-Logs und ihren regulären Logs finden. Dies gilt insbesondere dann, wenn Sie die Drittanbieter-Logs isolieren. Nehmen wir z.B. an, Sie benutzen ein Protokollierungs-Tool eines Drittanbieters, um später die Integrität der Betriebssystembasierten Log-Dateien zu überprüfen. Warum nicht diese Drittanbieter-Logs auf ein einmalbeschreibbares Medium speichern? Das ist heute nicht mehr so teuer, und es gibt Ihnen einen Satz zuverlässiger Log-Dateien, und Zuverlässigkeit ist alles. Tipp:
Ein Drittanbieterprodukt zu benutzen ist eine umsichtige Maßnahme, falls Ihre integrierten Protokollierungs- Utilities versagen. Zum Beispiel kürzt auf manchen Versionen von Solaris die wtmpx- Datei eingehende Hostnamen ab und macht damit alle über last erhaltenen Daten fehlerhaft und unvollständig. Es ist heutzutage eine unter Crackern recht verbreitete Prozedur, Ihre Protokollierungs- Utilities vor einem eigentlichen Angriff außer Gefecht zu setzen. Wenn auf dem Zielrechner beispielsweise Solaris 2.5.x läuft, können Sie syslogd ganz einfach ausschalten, indem Sie ihr eine externe Nachricht von einer nichtexistenten IP- Adresse senden. Ähnliches gilt, wenn syslogd entfernte Nachrichten akzeptiert, dann kann jeder einen falschen Eintrag in die Log- Datei einfügen. Wenn syslogd Log-Einträge von entfernten Rechnern akzeptiert, ist es außerdem möglich, die Logs zu verwirren. Aus all diesen Gründen sollten Sie den Einsatz eines alternativen Protokollierungssystems in Betracht ziehen. Die nächsten Abschnitte stellen Ihnen einige gute kurz vor.
Netzüberwachung und DatensammlungDie folgenden Tools geben nicht nur Daten aus Log-Dateien aus, sondern sammeln auch ensprechende Daten aus verschiedenen Quellen. SWATCH (The System Watcher)Autor: Stephen E. Hansen und E. Todd Atkins Plattform: Unix (Perl erforderlich) URL: ftp://coast.cs.purdue.edu/pub/tools/unix/swatch/ Die Autoren haben SWATCH geschrieben, um die in Unix-Systemen integrierten Protokollierungs-Utilities zu ergänzen. SWATCH bietet daher Protokollierungsmöglichkeiten, die die Ihrer gewöhnlichen syslog weit übertreffen, dazu gehören Echtzeit-Überwachung, -Protokollierung und -Berichtsausgabe. Da SWATCH in Perl geschrieben wurde, ist es sowohl portierbar als auch erweiterbar. SWATCH hat mehrere einzigartige Merkmale:
Und schließlich basiert SWATCH auf lokalen Konfigurationsdateien. Bequemerweise können mehrere Konfigurationsdateien auf einem Rechner existieren. Obwohl SWATCH ursprünglich nur für Systemadministratoren gedacht war, können daher alle lokalen Benutzer mit entsprechenden Privilegien SWATCH benutzen. WatcherKenneth Ingham Tel.: +1-505-262-0602 E-Mail: ingham@i-pi.com URL: http://www.i-pi.com/ Ingham hat Watcher während seiner Zeit am University of New Mexico Computing Center entwickelt, als das Rechenzentrum zu jener Zeit erweitert wurde. Anschließend war der Protokollierungsprozess, der bis dahin benutzt worden war, nicht mehr angemessen. Ingham suchte nach einem Weg, Logdatei- Überprüfungen zu automatisieren. Watcher war das Resultat seiner Bemühungen. Watcher analysiert verschiedene Log-Dateien und Prozesse und sucht nach radikal abnormen Aktivitäten. (Der Autor hat diesen Prozeß genügend fein abgestimmt, so daß Watcher die weit unterschiedlichen Resultate von Befehlen wie ps interpretieren kann, ohne gleich Alarm auszulösen.) Watcher läuft auf Unix-Systemen und erfordert einen C-Compiler. lsof (List Open Files)Autor: Vic Abell Plattform: Unix URL: ftp://coast.cs.purdue.edu/pub/tools/unix/lsof/ lsof Version 4 verfolgt nicht einfach nur offene Dateien (einschließlich Netzwerkverbindungen, Pipes, Datenströmen usw.), sondern auch die Prozesse, die sie besitzen. lsof läuft auf vielen Unix-Systemen, darunter u.a.:
WebSenseObwohl WebSense am besten bekannt ist für seine Überwachungsmöglichkeiten, bietet das Produkt auch mächtige Protokollierungsmöglichkeiten. (Diese sind unlängst verbessert worden, da das Produkt dazu entwickelt wurde, eng mit den PIX Firewalls von Cisco zusammenzuarbeiten.) NetPartners Internet Solutions, Inc. Tel.: +1-619-505-3044 Fax: +1-619-495-1950 E-Mail: jtrue@netpart.com URL: http://www.netpart.com/ WebTrends für Firewalls und VPNsWebTrends Corporation Tel.: +1-503-294-7025 Fax: +1-503-294-7130 E-Mail: sales@webtrends.com URL: http://www.webtrends.com/ WebTrends für Firewalls und VPNs verbindet Web- Links, -Benutzung und -Verkehranalyse mit Log-Datei-Analyse. Die folgenden Firewalls sind Proxies und werden unterstützt:
WebTrends kann einige sehr eindrucksvolle Statistiken generieren und schreibt in einer ganzen Reihe von Datenbankberichtsformaten. Dieses Produkt läuft auf Windows NT und Windows 95. Win-Log Version 1iNFINITY Software E-Mail: jcross@griffin.co.uk URL: http://www.griffin.co.uk/users/jcross/ Win-Log ist ein sehr einfaches Utility für Windows NT. Es protokolliert, wenn, so oft wie und so lange wie Windows NT benutzt wird. Sie können dieses Utility benutzen, um festzustellen, ob jemand Ihren Rechner neu gebootet hat, auch wenn er irgendwie Event Logger umgangen hat. MLOGAutor: ABIT Corporation URL: http://www.marx156.com/$webfile.send.37./MLOG_210.ZIP MLOG ist ein NetWare- basiertes LAN-Ereignis-Protokollierungs-Utility von ABIT & MG- SOFT, das die höchste Netzwerkbenutzung und die folgenden Protokoll-Pakettypen protokolliert:
MLOG läuft auf dem Pakettreiber (1.09 oder höher) NOCOL/NetConsole v4.0NOCOL/NetConsole v4.0 ist eine Familie von selbständigen Applikationen, die vielfache Überwachungsaufgaben ausführen. Diese Familie bietet ein Curses-I nterface, das auf einer ganzen Reihe von Terminals gut läuft (es wird kein X benötigt). Sie ist erweiterbar, bietet Unterstützung für ein Perl-Interface und funktioniert auf Netzwerken mit AppleTalk und Novell. Tipp:
PingLoggerPingLogger protokolliert ICMP- Pakete an eine Ausgabedatei. Mit dieser Utility können Sie zuverlässig bestimmen, wer Sie mit ping- Anfragen überschwemmt. Das Utility wurde ursprünglich auf Linux geschrieben und getestet (sie benötigen einen C-Compiler und IP- Header- Dateien), kann aber auch auf anderen Unix-Systemen funktionieren. Autor: Jeff Thompson URL: http://ryanspc.com/tools/pinglogger.tar.gz
Tools für die Analyse von Log-DateienDie folgenden Tools untersuchen Log-Dateien, nehmen die Daten daraus und erstellen Berichte. NestWatchNestWatch kann Log-Dateien von allen größeren Web-Servern und mehreren Firewalls importieren. NestWatch läuft auf Windows NT und kann Berichte in HTML ausgeben und diese an Server Ihrer Wahl verteilen. Scandinavian Security Center Smedegade 78 DK-7800-Horsens Dänemark Tel.: +45 7625 4330 Fax: +45 7625 4340 E-Mail: Scansec@sscnet.com URL: http://www.sscnet.com/nestwatch.html NetTrackerSane Solutions, LLC Tel.: +1-401-295-4809 E-Mail: info@sane.com URL: http://www.sane.com/products/NetTracker/ NetTracker analysiert sowohl Firewall- als auch Proxy- Dateien. Das Produkt liefert umfassende Filter- und Berichterstellungsfunktionen und kann Daten zu Excel- und Access-Dateiformaten exportieren. Es kann ebenfalls generelle Zugangslog- Dateien analysieren und benutzerdefinierte Berichte formatieren, die sich für die Diagrammdarstellung eignen. NetTracker läuft auf Windows 95/Windows NT. Eine 30-Tage-Trialversion ist im Web erhältlich. LogSurferLogSurfer ist ein umfassendes Analyse-Tool für Log-Dateien. Das Programm untersucht Klartext- Logdateien und führt verschiedene Aktionen durch, die auf dem basieren, was es vorgefunden hat (und den Regeln, die Sie bestimmt haben). Diese Aktionen beinhalten: eine Warnmeldung generieren, ein externes Programm ausführen oder sogar Teile der Log- Dateien herausnehmen und sie an externe Befehle oder Prozesse weiterleiten. LogSurfer braucht einen C-Compiler. Universität Hamburg, Informatik-Abt. DFN-CERT Vogt-Koelln-Strasse 30 22527 Hamburg URL: ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/logsurfer-1.41.tar-gz. VBStatsVBStats ist ein mächtiger Logdateien- Analysator für Windows. Das Utility exportiert zum Microsoft-Access- Dateiformat zur weiteren Analyse Ihrer resultierenden Daten. Besonders interessant ist, daß VBStats den Prozess umgekehrter DNS-Überprüfungen auf besuchende IP- Adressen automatisiert. So erfahren Sie die richtigen Hostnamen. Schon allein aus diesem Grund lohnt sich eine Anschaffung von VBStats. Außerdem kann VBStats sehr fein abgestimmte Berichte über Web-Serverzugänge ausgeben. Autor: Bob Denny URL: http://tech.west.ora.com/win-httpd/#vbstat/ NetlogNetlog, das an der Texas A&M University entwickelt wurde, protokolliert jeden TCP- und UDP-Verkehr. Dieses Tool unterstützt außerdem die Protokollierung von ICMP- Nachrichten (obwohl die Entwickler angeben, daß die Durchführung dieser Protokollierung sehr speicherintensiv ist). Sie brauchen einen C-Compiler, um das Produkt zu benutzen. Tipp:
AnalogAutor: Stephen Turner University of Cambridge Statistical Laboratory URL: http://www.statslab.cam.ac.uk/~sret1/analog/ Analog ist wahrscheinlich das einzige wahre Plattformübergreifende Analyse-Tool für Log- Dateien. Analog läuft derzeit auf den folgenden Betriebssystemen:
Analog ist nicht nur plattformübergreifend, sondern bietet auch integrierte Unterstützung für eine ganze Reihe von Sprachen, darunter Englisch, Portugiesisch, Französisch, Deutsch, Schwedisch, Tschechisch, Slowakisch, Slowenisch, Rumänisch und Ungarisch. Analog bietet außerdem umgekehrte DNS-Überprüfungen (langsam), eine integrierte Script- Sprache (ähnlich den Shell-Sprachen) und zumindest minimale Unterstützung für AppleScript. Und schließlich unterstützt Analog die meisten der Web-Server- Logdateiformate, darunter Apache, NCSA, WebStar, IIS, W3 Extended, Netscape und Netpresenz.
Spezielle ProtokollierungstoolsCourtneyAutor: Marvin J. Christensen URL: ftp://ciac.llnl.gov/pub/ciac/sectools/unix/courtney/courtney.tar.Z Courtney ist ein Perl-Script, das dazu entwickelt wurde, SATAN- Angriffe zu entdecken und zu protokollieren. In der Dokumentation zu Courtney wird beschrieben:
Tipp:
Systemanforderungen umfassen libpcap-0.0, tcpdump-3.0 und perl5. Wenn Sie starken Netzverkehr auf Ihrem Rechner haben, kann Courtney durchaus viel Systemressourcen brauchen. GabrielLos Altos Technologies, Inc. Tel.: +1-800-999-Unix Technischer Support: +1-408-973-7717 Fax: +1-408-973-7707 E-Mail: info@lat.com URL: http://www.lat.com/ Gabriel dient dem gleichen Zweck wie Courtney - SATAN- Angriffe zu protokollieren und davor zu warnen. Gabriel ist jedoch völlig anders konzipiert und arbeitet auf Basis eines Servers und einer Reihe von Clients, die kontinuierlich Statusberichte ausgeben. Diese Statusberichte zeigen verschiedene Muster von Ressourcenbelegung durch entfernte Hosts. Wenn ein Host eine unangemessene Menge von Ressourcen belegt (oder eine unnormal große Anzahl von Verbindungen verlangt), wird dieser Host als möglicher Angreifer signalisiert. (Anmerkung: Gabriel verlässt sich größtenteils auf syslog.) Sie brauchen ein generisches Unix-System, einen C-Compiler und Netzwerk- Include- Dateien, um Gabriel laufen zu lassen.
ZusammenfassungUnterschätzen Sie niemals die Bedeutung detaillierter Log-Dateien. Sie sind nicht nur dann wichtig, wenn Sie ein Eindringen in Ihr Netzwerk untersuchen, sondern sie sind auch ein wichtiges Beweismittel, wenn Sie einen Angreifer anzeigen wollen. Spärliche Log-Dateien nützen Ihnen nichts. Die meisten kriminellen Cracker-Fälle der letzten Jahre wurden mit gütlichen Vereinbarungen beendet. Das liegt daran, dass die Eindringlinge meistens Jugendliche waren, die »nur ein bisschen Spaß haben« wollten. Aber diese gütlichen Vereinbarungen werden mehr und mehr verschwinden, wenn wirklich kriminelle Existenzen in das Internet eindringen. Wahre Kriminelle wissen, dass es sehr schwierig ist, einen Fall vor Gericht zu beweisen (insbesondere wenn die Anklage nur wenig Internet- Erfahrung hat). Wenn das Gericht einen Angeklagten verurteilen will, muss es stichhaltige Beweise haben. Der einzige Weg, wie Sie stichhaltige Beweise zur Verfügung stellen können, ist, indem Sie einige todsichere Methoden zur Protokollierung haben. Verbrechen, die über das Internet begangen werden, unterscheiden sich erheblich von anderen Verbrechen. Bei einem Raubüberfall beispielsweise kann das Opfer den Täter durch Gegenüberstellung identifizieren. Bei einem Einbruch können Fingerabdrücke den Täter überführen. Im Internet dagegen haben Sie weder eine Beschreibung des Täters noch Fingerabdrücke. Daher ist es nahezu unmöglich, einen Fall gegen einen Cracker aufzubauen, wenn Sie keine Log-Dateien vorweisen können. |
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|