Besuchen Sie jetzt unseren Online Shop www.tos.mynetcologne.de ..::..::..::..::..Schauen Sie mal unsere Service Produkte und unsere Service Angebote an es LOHNT sich.... ..::..::..::..::..

Protokollierungs- und Analyse-Tools

Protokollierungstools

Hier stelle Ich Ihnen Tools vor, die Ihnen dabei helfen können, das meiste aus Ihren Log-Dateien herauszulesen.

Warum noch mehr Logs benutzen?

Wenn Ihr Betriebssystem bereits integrierte Unterstützung für Protokollierung bietet, kommen Sie vielleicht in Versuchung, vom Laden zusätzlicher Protokollierungstools abzusehen. Sie sollten dieser Versuchung widerstehen. Sie können Ihren Log-Dateien nicht immer vertrauen. Tatsächlich ist das Ändern von Log-Dateien eines der ersten Dinge, die Cracker lernen. Diese Praxis ist so weit verbreitet, daß es heute Tools gibt, die den Prozeß automatisieren. Hier sind einige davon:

• UTClean. UTClean ist ein Utility, das jeglichen Hinweis auf Ihre Anwesenheit in wtmp, wtmpx, utmp, utmpx und lastlog löscht. Schauen Sie sich UTClean an unter http:// www.unitedcouncil.org/c/utclean.c. 
• remove. remove löscht jeglichen Hinweis auf Ihre Anwesenheit in utmp, wtmp und lastlog . remove finden Sie unter http://www.unitedcouncil.org/c/remove.c. 
• marry. marry ist ein Tool, um Eingaben in utmp, wtmp und lastlog zu editieren. Schauen Sie sich marry an unter http://www.unitedcouncil.org/c/marry.c.

Um Cracker davon abzuhalten, die Einträge in Ihren Log-Dateien zu manipulieren, sollten Sie mindestens ein Protokollierungs-Tool eines Drittanbieters einsetzen. Erstens ist die Cracker-Gemeinde zwar sehr gut vertraut mit betriebssystem-blasierten Log-Dateien, aber nur wenige Cracker verfügen über das nötige Wissen oder die nötigen Mittel, um Protokollierungs-Software von Drittanbietern zu umgehen. Zweitens generiert gute Drittanbieter- Software unabhängige Log-Dateien, ohne die Log-Dateien des Betriebssystems als Ausgangspunkt zu benutzen. Sie werden sofort wissen, daß jemand in Ihr System eingedrungen ist, wenn Sie diese Informationen später vergleichen und eine Diskrepanz zwischen den Drittanbieter-Logs und ihren regulären Logs finden.

Dies gilt insbesondere dann, wenn Sie die Drittanbieter-Logs isolieren. Nehmen wir z.B. an, Sie benutzen ein Protokollierungs-Tool eines Drittanbieters, um später die Integrität der Betriebssystembasierten Log-Dateien zu überprüfen. Warum nicht diese Drittanbieter-Logs auf ein einmalbeschreibbares Medium speichern? Das ist heute nicht mehr so teuer, und es gibt Ihnen einen Satz zuverlässiger Log-Dateien, und Zuverlässigkeit ist alles.

Tipp:

Ein Drittanbieterprodukt zu benutzen ist eine umsichtige Maßnahme, falls Ihre integrierten Protokollierungs- Utilities versagen. Zum Beispiel kürzt auf manchen Versionen von Solaris die wtmpx- Datei eingehende Hostnamen ab und macht damit alle über last erhaltenen Daten fehlerhaft und unvollständig.

Es ist heutzutage eine unter Crackern recht verbreitete Prozedur, Ihre Protokollierungs- Utilities vor einem eigentlichen Angriff außer Gefecht zu setzen. Wenn auf dem Zielrechner beispielsweise Solaris 2.5.x läuft, können Sie syslogd ganz einfach ausschalten, indem Sie ihr eine externe Nachricht von einer nichtexistenten IP- Adresse senden. Ähnliches gilt, wenn syslogd entfernte Nachrichten akzeptiert, dann kann jeder einen falschen Eintrag in die Log- Datei einfügen. Wenn syslogd Log-Einträge von entfernten Rechnern akzeptiert, ist es außerdem möglich, die Logs zu verwirren.

Aus all diesen Gründen sollten Sie den Einsatz eines alternativen Protokollierungssystems in Betracht ziehen. Die nächsten Abschnitte stellen Ihnen einige gute kurz vor.

Netzüberwachung und Datensammlung

Die folgenden Tools geben nicht nur Daten aus Log-Dateien aus, sondern sammeln auch ensprechende Daten aus verschiedenen Quellen.

SWATCH (The System Watcher)

Autor: Stephen E. Hansen und E. Todd Atkins

Plattform: Unix (Perl erforderlich)

URL: ftp://coast.cs.purdue.edu/pub/tools/unix/swatch/

Die Autoren haben SWATCH geschrieben, um die in Unix-Systemen integrierten Protokollierungs-Utilities zu ergänzen. SWATCH bietet daher Protokollierungsmöglichkeiten, die die Ihrer gewöhnlichen syslog weit übertreffen, dazu gehören Echtzeit-Überwachung, -Protokollierung und -Berichtsausgabe. Da SWATCH in Perl geschrieben wurde, ist es sowohl portierbar als auch erweiterbar.

SWATCH hat mehrere einzigartige Merkmale:

• Ein »Backfinger«-Utility, das versucht, finger-Informationen vom angreifenden Host abzufangen. 
• Unterstützung für sofortigen Seitenwechsel (so daß Sie minutenaktuelle Berichte erhalten können). 
• Von Bedingungen abhängige Ausführung von Befehlen (»wenn diese Bedingung in einer Log-Datei gefunden wird, tue das«).

Und schließlich basiert SWATCH auf lokalen Konfigurationsdateien. Bequemerweise können mehrere Konfigurationsdateien auf einem Rechner existieren. Obwohl SWATCH ursprünglich nur für Systemadministratoren gedacht war, können daher alle lokalen Benutzer mit entsprechenden Privilegien SWATCH benutzen.

Watcher

Kenneth Ingham

Tel.: +1-505-262-0602

E-Mail: ingham@i-pi.com

URL: http://www.i-pi.com/

Ingham hat Watcher während seiner Zeit am University of New Mexico Computing Center entwickelt, als das Rechenzentrum zu jener Zeit erweitert wurde. Anschließend war der Protokollierungsprozess, der bis dahin benutzt worden war, nicht mehr angemessen. Ingham suchte nach einem Weg, Logdatei- Überprüfungen zu automatisieren. Watcher war das Resultat seiner Bemühungen.

Watcher analysiert verschiedene Log-Dateien und Prozesse und sucht nach radikal abnormen Aktivitäten. (Der Autor hat diesen Prozeß genügend fein abgestimmt, so daß Watcher die weit unterschiedlichen Resultate von Befehlen wie ps interpretieren kann, ohne gleich Alarm auszulösen.)

Watcher läuft auf Unix-Systemen und erfordert einen C-Compiler.

lsof (List Open Files)

Autor: Vic Abell

Plattform: Unix

URL: ftp://coast.cs.purdue.edu/pub/tools/unix/lsof/

lsof Version 4 verfolgt nicht einfach nur offene Dateien (einschließlich Netzwerkverbindungen, Pipes, Datenströmen usw.), sondern auch die Prozesse, die sie besitzen. lsof läuft auf vielen Unix-Systemen, darunter u.a.:

• AIX 4.1.[45], 4.2[.1] und 4.3[.1] 
• BSDI BSD/OS 2.1 und 3.[01] für Intel- basierte Systeme 
• Digital Unix (DEC OSF/1) 2.0, 3.2 und 4.0 
• FreeBSD 2.1.[67], 2.2 und 3.0 für Intel- basierte Systeme 
• HP-UX 9.01, 10.20 und 11.00 
• IRIX 5.3, 6.2, 6.3 und 6.4 
• Linux 2.0.3[23] und 2.1.8[89] für Intel-basierte Systeme 
• NetBSD 1.[23] für Intel- und SPARC- basierte Systeme 
• NEXTSTEP 3.1 für NEXTSTEP- Architekturen 
• SCO UnixWare 2.1.[12] und 7 für Intel- basierte Systeme 
• und den meisten nachfolgenden Systemversionen

WebSense

Obwohl WebSense am besten bekannt ist für seine Überwachungsmöglichkeiten, bietet das Produkt auch mächtige Protokollierungsmöglichkeiten. (Diese sind unlängst verbessert worden, da das Produkt dazu entwickelt wurde, eng mit den PIX Firewalls von Cisco zusammenzuarbeiten.)

NetPartners Internet Solutions, Inc.

Tel.: +1-619-505-3044

Fax: +1-619-495-1950

E-Mail: jtrue@netpart.com

URL: http://www.netpart.com/

WebTrends für Firewalls und VPNs

WebTrends Corporation

Tel.: +1-503-294-7025

Fax: +1-503-294-7130

E-Mail: sales@webtrends.com

URL: http://www.webtrends.com/

WebTrends für Firewalls und VPNs verbindet Web- Links, -Benutzung und -Verkehranalyse mit Log-Datei-Analyse. Die folgenden Firewalls sind Proxies und werden unterstützt:

• Firewall-1 
• NAI/TIS Gauntlet 
• Raptor 
• Cisco PIX 
• Lucent Managed Firewall 
• IBM eNetwork Firewall 
• Novell Proxy Server 
• Netscape Proxy Server 
• Microsoft Proxy

WebTrends kann einige sehr eindrucksvolle Statistiken generieren und schreibt in einer ganzen Reihe von Datenbankberichtsformaten. Dieses Produkt läuft auf Windows NT und Windows 95.

Win-Log Version 1

iNFINITY Software

E-Mail: jcross@griffin.co.uk

URL: http://www.griffin.co.uk/users/jcross/

Win-Log ist ein sehr einfaches Utility für Windows NT. Es protokolliert, wenn, so oft wie und so lange wie Windows NT benutzt wird. Sie können dieses Utility benutzen, um festzustellen, ob jemand Ihren Rechner neu gebootet hat, auch wenn er irgendwie Event Logger umgangen hat.

MLOG

Autor: ABIT Corporation

URL: http://www.marx156.com/$webfile.send.37./MLOG_210.ZIP

MLOG ist ein NetWare- basiertes LAN-Ereignis-Protokollierungs-Utility von ABIT & MG- SOFT, das die höchste Netzwerkbenutzung und die folgenden Protokoll-Pakettypen protokolliert:

• AppleTalk Open Session 
• DEC LAT Start 
• DECnet NSP Connection Initialize 
• IPX NCP Create Connection 
• NBEUI Session Initialize 
• TCP/IP Synchronize

MLOG läuft auf dem Pakettreiber (1.09 oder höher)

NOCOL/NetConsole v4.0

NOCOL/NetConsole v4.0 ist eine Familie von selbständigen Applikationen, die vielfache Überwachungsaufgaben ausführen. Diese Familie bietet ein Curses-I nterface, das auf einer ganzen Reihe von Terminals gut läuft (es wird kein X benötigt). Sie ist erweiterbar, bietet Unterstützung für ein Perl-Interface und funktioniert auf Netzwerken mit AppleTalk und Novell.

Tipp:

PingLogger

PingLogger protokolliert ICMP- Pakete an eine Ausgabedatei. Mit dieser Utility können Sie zuverlässig bestimmen, wer Sie mit ping- Anfragen überschwemmt. Das Utility wurde ursprünglich auf Linux geschrieben und getestet (sie benötigen einen C-Compiler und IP- Header- Dateien), kann aber auch auf anderen Unix-Systemen funktionieren.

Autor: Jeff Thompson

URL: http://ryanspc.com/tools/pinglogger.tar.gz

Tools für die Analyse von Log-Dateien

Die folgenden Tools untersuchen Log-Dateien, nehmen die Daten daraus und erstellen Berichte.

NestWatch

NestWatch kann Log-Dateien von allen größeren Web-Servern und mehreren Firewalls importieren. NestWatch läuft auf Windows NT und kann Berichte in HTML ausgeben und diese an Server Ihrer Wahl verteilen.

Scandinavian Security Center

Smedegade 78

DK-7800-Horsens

Dänemark

Tel.: +45 7625 4330

Fax: +45 7625 4340

E-Mail: Scansec@sscnet.com

URL: http://www.sscnet.com/nestwatch.html

NetTracker

Sane Solutions, LLC

Tel.: +1-401-295-4809

E-Mail: info@sane.com

URL: http://www.sane.com/products/NetTracker/

NetTracker analysiert sowohl Firewall- als auch Proxy- Dateien. Das Produkt liefert umfassende Filter- und Berichterstellungsfunktionen und kann Daten zu Excel- und Access-Dateiformaten exportieren. Es kann ebenfalls generelle Zugangslog- Dateien analysieren und benutzerdefinierte Berichte formatieren, die sich für die Diagrammdarstellung eignen. NetTracker läuft auf Windows 95/Windows NT. Eine 30-Tage-Trialversion ist im Web erhältlich.

LogSurfer

LogSurfer ist ein umfassendes Analyse-Tool für Log-Dateien. Das Programm untersucht Klartext- Logdateien und führt verschiedene Aktionen durch, die auf dem basieren, was es vorgefunden hat (und den Regeln, die Sie bestimmt haben). Diese Aktionen beinhalten: eine Warnmeldung generieren, ein externes Programm ausführen oder sogar Teile der Log- Dateien herausnehmen und sie an externe Befehle oder Prozesse weiterleiten. LogSurfer braucht einen C-Compiler.

Universität Hamburg, Informatik-Abt.

DFN-CERT

Vogt-Koelln-Strasse 30

22527 Hamburg

URL: ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/logsurfer-1.41.tar-gz.

VBStats

VBStats ist ein mächtiger Logdateien- Analysator für Windows. Das Utility exportiert zum Microsoft-Access- Dateiformat zur weiteren Analyse Ihrer resultierenden Daten. Besonders interessant ist, daß VBStats den Prozess umgekehrter DNS-Überprüfungen auf besuchende IP- Adressen automatisiert. So erfahren Sie die richtigen Hostnamen. Schon allein aus diesem Grund lohnt sich eine Anschaffung von VBStats. Außerdem kann VBStats sehr fein abgestimmte Berichte über Web-Serverzugänge ausgeben.

Autor: Bob Denny

URL: http://tech.west.ora.com/win-httpd/#vbstat/

Netlog

Netlog, das an der Texas A&M University entwickelt wurde, protokolliert jeden TCP- und UDP-Verkehr. Dieses Tool unterstützt außerdem die Protokollierung von ICMP- Nachrichten (obwohl die Entwickler angeben, daß die Durchführung dieser Protokollierung sehr speicherintensiv ist). Sie brauchen einen C-Compiler, um das Produkt zu benutzen.

Tipp:

Analog

Autor: Stephen Turner

University of Cambridge Statistical Laboratory

URL: http://www.statslab.cam.ac.uk/~sret1/analog/

Analog ist wahrscheinlich das einzige wahre Plattformübergreifende Analyse-Tool für Log- Dateien. Analog läuft derzeit auf den folgenden Betriebssystemen:

• Macintosh 
• OS/2 
• Windows 95/NT 
• Unix 
• VAX/VMS 
• RISC/OS 
• BeOS 
• BS2000/OSD

Analog ist nicht nur plattformübergreifend, sondern bietet auch integrierte Unterstützung für eine ganze Reihe von Sprachen, darunter Englisch, Portugiesisch, Französisch, Deutsch, Schwedisch, Tschechisch, Slowakisch, Slowenisch, Rumänisch und Ungarisch.

Analog bietet außerdem umgekehrte DNS-Überprüfungen (langsam), eine integrierte Script- Sprache (ähnlich den Shell-Sprachen) und zumindest minimale Unterstützung für AppleScript.

Und schließlich unterstützt Analog die meisten der Web-Server- Logdateiformate, darunter Apache, NCSA, WebStar, IIS, W3 Extended, Netscape und Netpresenz.

Spezielle Protokollierungstools

Courtney

Autor: Marvin J. Christensen

URL: ftp://ciac.llnl.gov/pub/ciac/sectools/unix/courtney/courtney.tar.Z

Courtney ist ein Perl-Script, das dazu entwickelt wurde, SATAN- Angriffe zu entdecken und zu protokollieren. In der Dokumentation zu Courtney wird beschrieben:

Courtney erhält Eingaben von tcpdump und zählt die Anzahl neuer Dienste, die ein Rechner innerhalb eines bestimmten Zeitrahmens hervorbringt. Wenn ein Rechner sich innerhalb dieses Zeitrahmens mit vielen Diensten verbindet, identifiziert Courtney diesen Rechner als einen potentiellen SATAN- Host.

Tipp:

Systemanforderungen umfassen libpcap-0.0, tcpdump-3.0 und perl5. Wenn Sie starken Netzverkehr auf Ihrem Rechner haben, kann Courtney durchaus viel Systemressourcen brauchen.

Gabriel

Los Altos Technologies, Inc.

Tel.: +1-800-999-Unix

Technischer Support: +1-408-973-7717

Fax: +1-408-973-7707

E-Mail: info@lat.com

URL: http://www.lat.com/

Gabriel dient dem gleichen Zweck wie Courtney - SATAN- Angriffe zu protokollieren und davor zu warnen. Gabriel ist jedoch völlig anders konzipiert und arbeitet auf Basis eines Servers und einer Reihe von Clients, die kontinuierlich Statusberichte ausgeben. Diese Statusberichte zeigen verschiedene Muster von Ressourcenbelegung durch entfernte Hosts. Wenn ein Host eine unangemessene Menge von Ressourcen belegt (oder eine unnormal große Anzahl von Verbindungen verlangt), wird dieser Host als möglicher Angreifer signalisiert. (Anmerkung: Gabriel verlässt sich größtenteils auf syslog.)

Sie brauchen ein generisches Unix-System, einen C-Compiler und Netzwerk- Include- Dateien, um Gabriel laufen zu lassen.

Zusammenfassung

Unterschätzen Sie niemals die Bedeutung detaillierter Log-Dateien. Sie sind nicht nur dann wichtig, wenn Sie ein Eindringen in Ihr Netzwerk untersuchen, sondern sie sind auch ein wichtiges Beweismittel, wenn Sie einen Angreifer anzeigen wollen. Spärliche Log-Dateien nützen Ihnen nichts.

Die meisten kriminellen Cracker-Fälle der letzten Jahre wurden mit gütlichen Vereinbarungen beendet. Das liegt daran, dass die Eindringlinge meistens Jugendliche waren, die »nur ein bisschen Spaß haben« wollten. Aber diese gütlichen Vereinbarungen werden mehr und mehr verschwinden, wenn wirklich kriminelle Existenzen in das Internet eindringen. Wahre Kriminelle wissen, dass es sehr schwierig ist, einen Fall vor Gericht zu beweisen (insbesondere wenn die Anklage nur wenig Internet- Erfahrung hat). Wenn das Gericht einen Angeklagten verurteilen will, muss es stichhaltige Beweise haben. Der einzige Weg, wie Sie stichhaltige Beweise zur Verfügung stellen können, ist, indem Sie einige todsichere Methoden zur Protokollierung haben.

Verbrechen, die über das Internet begangen werden, unterscheiden sich erheblich von anderen Verbrechen. Bei einem Raubüberfall beispielsweise kann das Opfer den Täter durch Gegenüberstellung identifizieren. Bei einem Einbruch können Fingerabdrücke den Täter überführen. Im Internet dagegen haben Sie weder eine Beschreibung des Täters noch Fingerabdrücke. Daher ist es nahezu unmöglich, einen Fall gegen einen Cracker aufzubauen, wenn Sie keine Log-Dateien vorweisen können.

[ Home ] [ Nach oben ]

Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an: tos.computer@gmx.de 
Copyright © 2003 TOS Computer Systeme
Stand: 14. November 2004