| Eine wichtige Maßnahme zum Schutz vor Attacken ist
die Überwachung der Integrität aller Programme und Dateien im
System.
|
 |
| Tripwire |
| Eines der bekanntesten IDS-Werkzeug ist Tripwire
(auf Deutsch Stolperdraht), das einen Integritätstest der Dateien
durchführt.
|
|
| Zur Überwachung der Integrität von Systemdateien
führt Tripwire zunächst eine Analyse der vorhandenen Dateien
durch und speichert die Ergebnisse in einer Datenbank. Danach wird
das Dateisystem regelmäßig mit dem in der Datenbank
aufgezeichneten Zustand verglichen. Dabei stellt das Programm jede
Veränderung an Dateien, alle neuen Dateien und alle gelöschten
Dateien fest und meldet diese Änderungen an den Administrator. |
|
| Falls ein Eindringling Dateien modifiziert, um den
Einbruch zu verschleiern oder spätere Attacken zu vereinfachen,
wird Tripwire die Änderung erkennen und den Systemverwalter
informieren. |
|
| Tripwire wird für verschiedene Systeme kommerziell
angeboten, ist jedoch für Linux kostenlos verfügbar. Die
kommerzielle Version kann zusätzlich mehrere
Tripwire-Installationen in einem Netz zentral überwachen,
während die kostenlose Version nur einen Computer kontrolliert.
Weil die Benachrichtigung per E-Mail an ein zentrales Mailkonto
erfolgen kann, ist das allerdings kein gravierender Nachteil. |
|
| Advanced
Intrusion Detection Environment (AIDE) |
| AIDE überwacht ähnlich die Tripwire die
Integrität des Dateisystems auf einem Host, erkennt also alle
eventuell bösartigen Veränderungen an Dateien (zu denen auch die
Programme selbst gehören).
|
|
| Dazu verwendet AIDE eine Datenbank, in welcher
Informationen über alle zu überwachenden Dateien gespeichert
sind. Diese Datenbank wird vom Systemadministrator erstellt, wenn
sich das System sicher in einem ordnungsgemäßen Zustand, etwa
unmittelbar nach Abschluss der Installationsarbeiten, noch bevor
das System an das Netz angeschlossen wird. |
|
| AIDE vergleicht die Dateien des Systems mit den
gespeicherten Informationen und meldet alle Veränderungen, womit
man etwa nach einem Einbruchsversuch alle manipulierten Dateien
schnell und zuverlässig findet. Diese Überprüfung kann
natürlich auch automatisch zu bestimmten Zeitpunkten ausgeführt
werden. |
|
| Um Manipulationen durch einen Einbrecher am
AIDE-System selbst zu verhindern, können Programm und Datenbank
auf einem schreibgeschützten Medium (etwa CDROM) gespeichert
werden. |
System
