Aus der Toolbox des Hackerjägers
Artikel erschienen in Swiss IT Magazine 2004/08
Das Verhindern von Angriffen und die Abschreckung von potentiellen Eindringlingen ist nur eine Seite der Netzwerksicherheit. Ebenso wichtig ist auch die Rückverfolgung von bereits geschehenen Attacken und Einbrüchen – und die ist meist gar nicht so einfach. Gibt es schon bei einem einzelnen kompromittierten Rechner bei der Auswertung der Daten verschiedene Schwierigkeiten zu überwinden, so wird das im Umfeld eines Netzwerks ungleich komplexer.
Die grösste Herausforderung ist dabei die schiere Menge an Daten und Informationen, die in einem Netzwerk täglich anfällt und die es im Falle eines Falles zu analysieren gilt. Abgesehen davon, dass die Auswertung eine eher langwierige Angelegenheit ist, muss zunächst sichergestellt sein, dass die relevanten Daten überhaupt noch zur Verfügung stehen.
Die zweite grosse Herausforderung ist die systemimmanente Anonymität des Internet und seiner zugrundeliegenden Protokolle. Auf jeder Ebene des Netzwerks gibt es zwar eindeutige Adressen, darunter beispielsweise IP- oder MAC-Adressen, aber all diese Adressen können mit mehr oder weniger grossem Aufwand gefälscht werden – für einen böswilligen Angreifer eine nicht allzuschwierige Aufgabe.
Die IT-Sicherheits-Industrie versucht diesen und anderen Herausforderungen mit einer ganzen Palette von spezialisierten Tools zu begegnen. Die Analyse von Angriffen im Netzwerk wird dabei in mehrere Schritte geteilt: Zunächst müssen die Daten gesammelt, vereinheitlicht und gefiltert werden, des weiteren muss man den ursprünglichen Datenstrom wiederherstellen (Re-Assembly) und die Daten (selbst wenn sie aus unterschiedlichen Quellen stammen) zueinander in Bezug setzen können. Für jede einzelne dieser zahlreichen Aufgaben gibt es spezialisierte Werkzeuge; in zunehmendem Masse werden die Tools aber auch in umfassenderen Suiten integriert. Im Vordergrund stehen dabei Werkzeuge für die Sammlung und das Re-Assembly.
Bevor die Auswertung nämlich überhaupt losgehen kann, müssen die relevanten Daten erst zur Verfügung stehen – die typischerweise erhobenen Log-Dateien von Anwendungen, Intrusion-Detection-Systemen, Routern und Firewalls genügen dazu im allgemeinen nicht.
Sinnvoller ist die Sammlung der rohen Netzwerkverkehrsdaten, was durch eine Sniffing-Software wie die Open-Source-Tools tcpdump oder Snort ermöglicht wird. In einem kleineren Netzwerk kann tcpdump beispielsweise auf einer Linux-Maschine installiert werden, wo das Tool eine binäre Datei mit allen Packet Headers und Daten anlegt, die über einen bestimmten Netzwerkknoten laufen; tcpdump bietet auch rudimentäre Filter- und Analysemöglichkeiten.
So praktisch diese gesammelten Daten sind, so schwierig ist deren Interpretation. Einfacher wird es, wenn der ursprüngliche Datenstrom wiederhergestellt werden kann (sogenanntes Re-Assembly oder Sessioning), was mit Protokoll-Analysetools erledigt wird. Diese Werkzeuge, als Beispiel sei die Open-Source-Software Ethereal genannt, isolieren den Datenverkehr zwischen zwei oder mehreren Endpunkten und stellen diesen in einer Baumstruktur dar, sortiert nach Sessions und den darin benutzten Protokollen. Typischerweise werden bei der Jagd nach Hackern die Informationen der Packet Headers analysiert, um so die Quell- und Zielsysteme eines Angriffs herauszufinden. Es gibt daneben auch Tools wie EnCase, die inhaltbasierende Untersuchungen ermöglichen, indem sie den Inhalt der Pakete unter anderem auf Byte-Ebene wie im formatierten Zustand darstellen - der Einsatz derartiger Werkzeuge ist in der Schweiz allerdings aus datenschutzrechtlichen Gründen eher problematisch.
So praktisch diese Tools im Einzelfall auch sind - einfacher, schneller und integrierter geht die Analyse doch mit kompletten Suiten von sogenannten Network Forensic Analysis Tools (NFAT) vor sich, was vor allem empfehlenswert ist, wenn solche Aufgaben häufiger erledigt werden müssen. Derartige Suiten, die von der Sammlung und der Filterung der Daten über das Re-Assembly bis zur finalen Analyse mehrere Aufgaben beherrschen, gibt es als Softwarepakete, aber auch als Appliances. Letztere werden beispielsweise von Network Associates (Infinistream) und Niksun (NetDetector) angeboten; Softwaresuiten gibt es unter anderem von Enterasys (Dragon IDS), GuardedNet (neuSecure) und Forensics Explorers (NetWitness).
Produkt/Plattform
Datensammlung
Etherape/Unix
Kismet/Unix, Windows
Network Stumbler/Windows
Ngrep/Unix
Snort/Unix
Tcpdump, Windump/Unix, Windows
Re-Assembly
Ethereal/Unix, Windows
Shadow/Unix