Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

10.7 Logging von Ereignissen

Für das Loggen von Ereignissen ist der SYSLOGD zuständig. Fast alle Programme und Dämonen haben in ihrem Quellcode den SYSLOGD als Ziel der Fehlermeldungen angegeben. Dieser ist, sofern er mit der Option -r gestartet wird, auch von außerhalb (hoffentlich nur aus dem Intranet) zu erreichen. So kann man auf der Firewall oder einem Loghost im Intranet alle Meldungen von Servern, Clients und Firewall sammeln und gemeinsam auswerten, beispielsweise mit argus oder logsurfer, zwei sehr leistungsfähigen und zudem noch kostenlosen Werkzeugen. Damit die Kernel Firewall bei Verstößen gegen die Regeln auch eine Eintrag in das Logfile schreibt, muß man an jede Firewallregel die Option -o anhängen. Man stets auch immer berücksichtigen, daß auch der SYSLOGD für Angriffe, insbesondere für buffer overflows anfällig sein kann. Daher sollte man stets zwei Loghosts betreiben - die Firewall und einen Logserver im Intranet. Deren Logfiles sollten regelmäßig abgeglichen werden, um einen Angreifer mit hoher Sicherheit auch entdecken zu können. Jeder Angreifer ist nämlich bestrebt, schnellstmöglich die Logeinträge zu bereinigen. Der SYSLOG - Dämon besitzt zwar einen Schutz gegen das Fluten mit tausendfach identischen Einträgen, gegen einen geschickten Angriff mit wechselnden Angriffsweisen gibt es aber keinen Schutz. Damit die Festplatte nicht volläuft, sollte ein logwrapper installiert bzw. aktiviert werden. Dieser liegt bei jeder neueren Linux Distribution bei, und sorgt dafür, daß die LOG - Datei nicht zu groß wird.

Die Datei /etc/syslog.conf enthält einige Einträge, die festlegen, in welche Dateien welche Fehlermeldungen einsortiert werden sollen. Diese sollte so eingerichtet werden, daß

/var/log/auth Login Versuche aufzeichnet, /var/log/secure Verbindungs Versuche aufzeichnet (spoofing), /var/log/messages weitere Fehlermeldungen aufzeichnet.

Dann ist es wichtig, daß die wichtigen Dämonen so eingestellt wurden, daß diese auch tatsächlich Fehler an den SYSLOGD liefern. Einige Dämonen können nämlich auch in eigene Dateien schreiben. Das betrifft auch den LINUX Firewallkernel. Wir gehen aber nun davon aus, daß alle Events geloggt werden.

Auf was sollte man in Logfiles achten ? Nun, entscheidend ist es, Meldungen, die durch fehlerhafte Konfiguration verursacht werden, von echten Angriffen unterscheiden zu können. Man sollte in der Lage sein, einen echten Angriff von einem Portscanner unterscheiden zu können. Da es im Internet viele gemeine Quellcodes gibt, solle man einmal einige selber testen, um zu sehen, wie die Firewall oder der LINUX Host darauf reagiert, welche Fehlermeldungen erscheinen, und wie diese zu interpretieren sind. Man sollte sich aber darüber im Klaren sein, daß der Betrieb einer LINUX Firewall doch etwas elementarer ist, als der Betrieb einer teuren Firewall. Wer z.B. den Marktführer, Firewall-1 von Checkpoint auf SUN SOLARIS installiert, der wird sich wundern, welche Probleme auf ihn zukommen. Die Tücke steckt auch hier im Detail. Der Betrieb unter Windows NT ist ebenso mit vielen Problemen gesät, die sich ohne professionelle Hilfe nicht lösen lassen. LINUX Firewall sind mit Abstand die am besten dokumentierten Systeme, die man finden kann. Hilfe gibt´s hier stets im Internet in den NEWSGROUPS. Das wichtigste ist jedoch, im Falle eines Angriffs sich auf die erwähnten Analysewerkzeuge zu besinnen, und einfach mal das System in Ruhe beobachten. Wenn man dann einen Angriff bemerkt, der zudem noch erfolgreich ist, ist noch lange keine Panik angesagt. Es dauert seine Zeit, bis ein Angreifer sich im Intranet zurechtgefunden hat, die Sicherheitsschranken der Server überwunden hat, und er anfangen kann, die Daten über ISDN zu kopieren. Besonderes Augenmerk sollte man auch auf Aufzeichnungslücken des SYSLOGD haben. Unter fast allen LINUX 2.0 Versionen ist es relativ einfach möglich, durch die Firewall hindurch den INETD und den SYSLOGD mit einem DoS Angriff stillzulegen. Der Grund ist ein Fehler im Kernel selber, der erst in der Kernelversion 2.2 (oder 2.0 mit Patches) beseitigt wurde. Hierbei ist es für einen Angreifer möglich, den SYSLOGD stillzulegen, damit er keinerlei Spuren des Angriffs mehr aufzeichnen kann. Man sollte sich also niemals nur auf die LOGDATEIEN einer LINUX Firewall verlassen. Wer einmal live einige solche Angriffe beobachten konnte, der kann viel lernen.

Zum Schluß noch einmal der Hinweis auf den DFN-CERT. In dessen Archiven befindet sich eine scheinbar völlig veraltete Anleitung zur Absicherung von UNIX. Leider hat sich bei UNIX im Prinzip seit Jahren nichts elementares mehr getan, außer das der Marktanteil von freien UNIX´en stark gestiegen ist. Der DFN-CERT betreibt ein unschätzbar wertvolles Archiv mit vielen wichtigen Themen. Reinschauen lohnt sich !


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING