Loganalysis Tools für Datamining in Logfiles

Inhaltsverzeichnis

Begriffsbestimmung
Logdatei
Loganalyse

Loganalyse - Werkzeuge

Testumgebung
Testaufbau
Grafische Darstellung Testaufbau

SnortALog
Allgemein
Installation
Konfiguration
Funktionsweise

Fwlogwatch Allgemein
Installation
Konfiguration
Funktionsweise

Fazit

Weitere Loganalysis Tools
ACID (Analysis Console for Intrusion Databases)

Literaturverzeichnis

Anhänge
Anhang 1 (Logfile von Snort)
Anhang 2 (Ausgabe SnortALog)
Anhang 3 (Konfigurationdatei Fwlogwatch)

Begriffsbestimmung

Logdatei

Eine Logdatei (engl. log file) ist ein automatisch erstelltes Protokoll aller Vorgänge von Prozessen auf einem Computer in einem bestimmten Zeitraum.

In unserem speziellen Fall, sind die Informationen von Belang in Verbindungs-Logdateien, welche von IDS¹, Firewalls und anderen IS-Systemen² erzeugt werden. Diese Art von Logdateien beinhaltet zusätzlich den Absender (IP-Adresse), Protokoll, Ports und zusätzliche Nachrichten bzw. Informationen.

Loganalyse

Als Loganalyse (engl. loganalysis) bezeichnet man den Versuch, über regelbasierte Systeme, Abhängigkeiten und Auffälligkeiten in einer Logdatei zu filtern, diese zu bewerten und aus- zugeben.

Durch diese Filterung lassen sich Vorkommnisse die nicht als „normal“ gelten finden und der Administrator kann dann Entscheiden, ob hier ein Angriff stattgefunden hat oder nicht.

- Loganalyse ist einer der am wenigsten beachteten Aspekte von Einbruchserkennung. Heutzutage hat jeder Desktop ein Antivirusprogramm, Firmen mit mehreren Firewalls und selbst Endbenutzer kaufen die neuesten Security Tools. Doch wer überwacht die Mengen an Informationen welche die Programme generieren. Noch schlimmer, wer überwacht die Authentifizierungslogs von Email- und Webservern?

Eine Vielzahl von Angriffen hätte nie stattgefunden(oder hätte früher gestoppt werden kön- nen) wenn Administratoren sich um die Überwachung Ihrer Logdateien gekümmert hätten. - (Cid)

Da es verschiedene Arten der Loganalyse gibt, so zum Beispiel Firewall-Loganalyse, Webserver-Loganalyse, FTP-Loganalyse usw., konzentriert sich diese Ausarbeitung auf FirewallLoganalyse im Kontext von IT-Sicherheit.

Loganalyse ­ Werkzeuge

Um herauszufinden welche Loganalyse-Werkzeuge es gibt und welche Funktionalitäten sie besitzen, wurde eine Auswahl der Pakete in OSSIM³ und das Internet als Quellen herangezogen. Die Suche ergab folgende Treffer (Auswahl der Wichtigsten):

- SnortALog
- Fwlogwatch
- ACID
- Logcheck (Verweis auf Peter Fast,HS-Karlsruhe)
- Logwatch (Verweis auf Peter Fast,HS-Karlsruhe)

Testumgebung

Abbildung in dieser Leseprobe nicht enthalten

Damit die Tools auch getestet werden können, und nicht nur theoretisch erörtert werden müssen, wurde eine virtuelle Maschine mit Ubuntu⁴ 9.04 und ein Kernel der Version 2.6.28 verwendet.

Zusätzlich wurde noch Snort⁵ in der Version 2.8.4.1 installiert und konfiguriert um überhaupt Logfiles, aufgrund von Firewallaktivitäten, erzeugen zu können. Die Installation von Snort kann über sudo apt-get install snort gestartet werden. Die Konfiguration jedoch erweist sich ein wenig komplexer und soll nicht Teil der Ausarbeitung werden.

Abbildung in dieser Leseprobe nicht enthalten

Weiterführender Link zum Thema Snort Konfiguration: http://www.pro- linux.de/work/snort

Testaufbau

Zu Testen wurde zunächt ein Portscan durchgeführt um die Reaktion der Firewall zu testen (Testweise wurden der HTTP und der SMTP Port geöffnet um überhaupt eine Reaktion der Firewall zu provozieren).

Die erzeugten Logfiles wurden dann verwendet, um die Loganalyseprogramme damit zu testen.

Abbildung in dieser Leseprobe nicht enthalten

Portscanner (MacOsX)

Die Reaktion Snort war ein Eintrag in das Alertfile:

Abbildung in dieser Leseprobe nicht enthalten

Portscaneintrag im Snort-Alterfile

Nach dem Portscann, wurden Mithilfe des Metasploit Frameworks⁶, ein Framework für Pen- testing und IDStesting, diverse HTTP und SMTP Angriffe durchgeführt. Ein HTTP Angriff führ- te bei Snort zu folgendem Alertfile-Eintrag:

Abbildung in dieser Leseprobe nicht enthalten

Web Applic. Attak im Snort Alertlog

Natürlich hat das Alertfile von Snort aus mehreren Loginträgen bestanden, die aber den Umfang hier sprengen würden (Anhang 1).

Dieser Versuchsaufbau hatte zur Folge, dass die dynamischen Funktionalitäten(z.B. aktive Reaktion auf Angriffe) der Programme nicht getestet werden können, wohl aber die statischen(z.B. Erzeugung von Zusammenfassungen).

Grafische Darstellung Testaufbau

Abbildung in dieser Leseprobe nicht enthalten

SnortALog

Allgemein

SnortALog ist ein Tool, welches Zusammenfassungen von Logdateien erstellt, um das Anzeigen von Netzwerkangriffen, welche von IDS erkannt wurden, zu erleichtern. Es erstellt Charts in HTML, PDF und Plain-Text. Es arbeitet mit allen Versionen von Snort und kann 3 verschiedene Formate analysieren: syslog, fast und full snort alerts.

Homepage des Projekts: http://jeremy.chartier.free.fr/snortalog/

Abbildung in dieser Leseprobe nicht enthalten

Quelle: (Freshmeat.org), Klicks auf die Projektwebseite bei Freshmeat

Abbildung in dieser Leseprobe nicht enthalten

Quelle: (Freshmeat.org), Popularität und Dynamik

Ausarbeitung zum Thema Loganalysis Tools - Datamining für die IT-Sicherheit SSe 2009 - Dominic Hurm

Installation

SnortALog ist sowohl für Unix als auch für Windowssysteme unter GNU/GPL verfügbar. Es gibt keine eigentliche Installation, sondern SnortALog ist ein Perl Skript, dass jedes mal, wenn eine Ausgabe erzeugt werden soll, manuell oder mit Hilfe eines Skriptes, gestartet werden muss.

Die Installation lässt sich eher als Vorbereitung beschreiben, denn SnortALog ist, wenn der volle Funktionsumfang genutzt werden soll, von einer Vielzahl von anderen Paketen und Libraries abhängig.

Wie bereits erwähnt ist SnortALog ein Perlskript, womit klar ist, dass eine Perlinstallation auf jeden Fall verfügbar sein muss.

Nachfolgend sollen nun die benötigten Pakete⁷, um alle SnortALog Funktionen nutzen zu können, aufgelistet werden (CHARTIER, 2004):

Natürlich wird ein stable Build von SnortALog benötigt. Die aktuelle Version (Stand:

11.07.2009) ist V.2.4.2

Für das Erzeugen von grafisch aufbereiteten Ausgaben, müssen die Pakete

- gd-2.0.11.tar.gz (PNG and JPG Format)
- GDGraph-1.39.tar.gz
- GDTextUtil-0.85.tar.gz

Installiert werden.

Zum Erzeugen von HTML Dokumenten werden die Pakete

- htmldoc-1.8.23-source.tar.gz
- HTML-HTMLDoc-0.07.tar.gz

benötigt.

SnortALog bietet zusätzlich auch eine GUI an. Diese kann mit den Paketen

- Tk-800.024.tar.gz
- perl-Tk-800.024-2.i386.rpm

bereitgestellt werden.

Ausarbeitung zum Thema Loganalysis Tools - Datamining für die IT-Sicherheit SSe 2009 - Dominic Hurm

Konfiguration

Eine Konfiguration von SnortALog ist nicht notwendig. Außer das Erstellen von Grafiken und PDF’s muss in der Konfigurationsdatei aktiviert werden. Dies ist aber ausführlich in der Dokumentation erklärt.

Funktionsweise

SnortALog lässt sich nun über die Kommandozeile starten. Je nach dem was man für einen Report möchte, lassen sich verschiedene Parameter benutzen. Im Nachfolgenden sind einige Anwendungsbeispiele gegeben:

Abbildung in dieser Leseprobe nicht enthalten

Die Ausgabe des Tests #2 befindet sich im Anhang. (Anhang 2)

Ausarbeitung zum Thema Loganalysis Tools - Datamining für die IT-Sicherheit SSe 2009 - Dominic Hurm

Wenn man sich für die Installation der grafischen Oberfläche entscheidet, kann man das ganze etwas bequemer (ohne Konsole) machen.

Abbildung in dieser Leseprobe nicht enthalten

(Softpedia) GUI von SnortALog 1

Abbildung in dieser Leseprobe nicht enthalten

(Softpedia) GUI von SnortALog 2

Ausarbeitung zum Thema Loganalysis Tools - Datamining für die IT-Sicherheit SSe 2009 - Dominic Hurm

Fwlogwatch

Allgemein

„Fwlogwatch erzeugt Zusammenfassungen von Snort-Logs, ipchains, netfilter/iptables, ipfil- ter, Cisco IOS und Cisco PIX Log-Dateien in Text- und HTML-Form und besitzt eine Menge von Optionen, um relevante Muster in Verbindungsversuchen zu finden und anzuzeigen. Mit den gefundenen Daten kann es anpassbare Berichte, über Zwischenfälle, aus einem Muster ge- nerieren und diese an Missbrauchs-Kontakte betroffener Rechner oder CERT- Koordinierungszentren senden. Letztendlich kann es auch als Dämon laufen und Auffälligkei- ten berichten oder Gegenmaßnahmen, in Form von Emailbenachrichtigungen versenden, Skripte ausführen oder sogar die Firewall Regeln anpassen, starten. „ (angepasst von Debian Packages)

Fwlogwatch wurde von Boris Wesslowski in C Entwickelt und steht unter GNU/GPL zur Verfügung. (Wessolowski)

Homepage des Projekts: http://fwlogwatch.inside-security.de/

Quelle: (Freshmeat.org), Klicks auf die Projektwebseite bei Freshmeat

Abbildung in dieser Leseprobe nicht enthalten

Quelle: (Freshmeat.org), Popularität und Dynamik

Abbildung in dieser Leseprobe nicht enthalten

Ausarbeitung zum Thema Loganalysis Tools - Datamining für die IT-Sicherheit SSe 2009 - Dominic Hurm

[...]

¹ „Intrusion Detection System“ - Einbruch Erkennungs Software

² „“

³ Open Source Security Information System http://www.ossim.net/

⁴ Ubuntu http://www.ubuntu.com , freie Linuxdistribution

⁵ Snort http://www.snort.org , Intrusion Detection System für Unix und Windows

⁶ http://www.metasploit.com

⁷ Download der Pakete unter, http://jeremy.chartier.free.fr/snortalog/download.html