Alarmzentrale

Unsere Dienstleistung Alarmzentrale besteht aus vier Teilen :

Hotline
Updateservice
Konfigurationsservice
Alarmüberwachung

Internet-Datenverkehr Unsere Hotline kümmert sich um alle Probleme, die im Zusammenhang mit Ihrem LinuxWall auftreten, unser Updateservice versorgt Sie mit dem jeweilig letzten Softwarestand von LinuxWall und Virenscanner. Die Updates für LinuxWall kommen derzeit alle ein bis zwei Monate per CD, die Updates für den Sophos Virenscanner täglich, bei Bedarf noch zeitnaher per Internet. Der Konfigurationsservice hilft Ihnen, wenn neue Server oder Segmente eingebunden werden sollen oder Teile des LANs weggefallen sind. Die Alarmüberwachung wertet die jeden Morgen übertragenen Log-Dateien Ihres LinuxWall auf Angriffe aus und überträgt die Resultate per Mail. Die Sicherheitsauswertung gibt auch Hinweise darauf, wenn Rechner im LAN falsch konfiguriert sind oder das LAN mit unzulässigen (Broadcast-)Anfragen behelligen und damit per Konfigurationsservice umstellt werden müssen.

Außerdem erhält jeder Kunde eine graphische Auswertung des Internet-Datenverkehrs, auf Wunsch auch für andere Schnittstellen oder einzelne Rechner. Jede Viertelstunde wird ein Meßpunkt geschrieben. Die x-Achse ist die Zeit, die y-Achse die Art und die z-Achse das jeweilige Volumen. Input heißt, daß LinuxWall direkt diese Daten bekommen hat, z.B. Mail oder einer der transparenten Proxies. Output ist das, was von LinuxWall direkt gesendet wurde. Fwd In bedeutet, daß dies an dieser Schnittstelle empfangen wurde und dann auf andere Interfaces verteilt wurde. Falls die Auswertung nicht Schnittstellen- sondern Rechnerbezogen ist, gibt es das Volumen der Zieladresse an. Fwd Out bedeutet, daß dies von anderen Schnittstellen empfangen und dann auf diesem Interface gesendet wurde. Falls die Auswertung nicht Schnittstellen- sondern Rechnerbezogen ist, gibt es das Volumen der Quelladresse an. Total ist die Summe der vier Punkte.

Auf dem "Boden" der Graphik können Sie in Form einer topologischen Landkarte genau sehen, zu welchen Zeiten es welche Menge von Datenverkehr gegeben hat.

Theoretische Maxima (z-Achse) für die Datenübertragung in 15 min. sind dabei :

5,7 MB (5.7e+06) bei ISDN mit einem Kanal
11,4 MB (1.1e+07) bei ISDN mit zwei Kanälen
11,4 MB (1.1e+07) upstream und 69,1 MB (6.9e+07) downstream bei xDSL
180 MB (1.8e+08) bei einer 2Mbit-Standleitung

Sicherheitsauswertung

Aus den Log-Dateien des vergangenen Tags werden relevante Informationen gefiltert und aufbereitet dem Systemadministrator per Mail zugesandt. Voraussetzung ist natürlich, daß unsere Alarmzentrale im Verteiler für die Log-Dateien Ihres LinuxWalls enthalten ist und die Log-Dateien (selbstverständlich verschlüsselt) übertragen bekommt.

Das folgende Beispiel wurde unverändert übernommen, dies sind echte Daten unseres Büro-LinuxWalls.
Beachten Sie bitte, daß wir keine feste IP-Adresse benutzen, sondern einen Flatrate-Zugang benutzen. Es ist durchaus üblich, daß wir einen oder mehrere Alarme haben.

Sicherheitsauswertung LinuxWall V2
==================================

Systemname : frankb
Zeitstempel Archiv : 200104302018
Zeitpunkt der Analyse : Mon Apr 30 22:07:24 CEST 2001
Es war wieder mal ein langer Tag ...

Apr 30 20:17:51 frankb qmail: WARNING : missing rcpthosts - mail relaying is possible
Auf diesem LinuxWall fehlt eine Datei. Manchmal wird sie vergessen, dann kann LinuxWall als Mail-Relay mißbraucht werden. In unserem Fall ist die Warnung bedeutungslos - unsere Bürokonfiguration läßt kein SMTP aus dem Internet zu.

2 ALARME
Das Wichtigste zuerst : sind irgendwelche Angriffe passiert ? Es folgen im Anhang die Details.

Falls ein SSH-Zugriff von außen erfolg ist, würde das Log dazu hier auftauchen. SSH ist zulässig, aber ein wichtiger zu überwachender Dienst. Die erfolgreiche Anmeldung eines Fremden kompromittiert LinuxWall.

Mails : 1
HTTP-Zugriffe : 80
FTP-Zugriffe : 6
Wieviele Zugriffe sind über die Proxies von LinuxWall gegangen ? Dies stimmt oft mit der Gesamtanzahl nicht überein (z.B. Direktauslieferung der Mail vom Mailserver).

GESAMT : 33 Pakete
erstes Paket : Apr 30 15:11:11
letztes Paket : Apr 30 19:30:55
Insgesamt wurden 33 Pakete als nicht klassifizierbar betrachtet, das erste Paket wurde um 15:11 Uhr protokolliert, das letzte um 19:30 Uhr.

Es folgt nun die Paketanalyse, die die protokollierten Pakete aufschlüsselt. Dieser Teil wird ständig erweiteret und verbessert, damit Ihnen die Alarmmeldungen verständlich präsentiert werden.

DNS-Zonentransfer (TCP,53) : 2 Paket(e) (6 %)
Angriff, wenn Quelle=Internet (Information erlangen)
Angriff, wenn die Anzahl der Zieladressen groß ist (IP-Scan)
1 Quelle(n)
61.16.29.139 : 2 Paket(e) (100 %)
1 Ziel(e)
62.158.173.18 : 2 Paket(e) (100 %)
DNS-Zonentransfer (TCP-Verbindung) versucht, Informationen über das LAN zu erhalten, um besser einen Angriff zu plazieren. Dabei wird nicht nach einer einzelnen Adresse gefragt, sondern es wird versucht, die gesamte Zone bzw. die gesamte Konfiguration des Nameservers auszulesen. Es ist praktisch immer ein Angriff.

SUNRPC-Portmapper (111) : 1 Paket(e) (3 %)
Angriff, wenn Quelle=Internet
Nachkonfiguration in LinuxWall, wenn Quelle=LAN
1 Quelle(n)
213.146.160.162 : 1 Paket(e) (100 %)
1 Ziel(e)
217.80.71.55 : 1 Paket(e) (100 %)
SUNRPC wird z.B. von NFS benutzt. Dieses Protokoll ist kaum zu schützen und es gibt keinen Proxy für LinuxWall. Das ist eine weitere Methode um Informationen zu bekommen und damit ein Angriff.

SMB-137 (UDP,137->137) : 3 Paket(e) (9 %)
Harmlos, wenn Zieladresse = LinuxWall
Nachkonfiguration in LinuxWall (DROP), wenn Quelle=LAN, Ziel=Broadcast
Fehlkonfiguration in Windows, wenn Quelle=LAN, Ziel=extern
Angriff, wenn die Anzahl der Zieladressen groß ist (IP-Scan)
1 Quelle(n)
217.156.29.52 : 3 Paket(e) (100 %)
1 Ziel(e)
217.80.71.55 : 3 Paket(e) (100 %)
Windows-Maschinen benutzen die Port-Kombination 137-137 im UDP. Meist ist es eine unabsichtliche Falschkonfiguration. Es wäre ein Angriff, wenn der Quellport ungleich 137 wäre, denn dann handelt es sich meist um Samba, und das wurde dann bewußt so eingerichtet.

TCP Port 12345 : 1 Paket(e) (3 %)
==> ALARM : Netbus getinfo
1 Quelle(n)
217.80.196.45 : 1 Paket(e) (100 %)
1 Ziel(e)
217.80.71.55 : 1 Paket(e) (100 %)
Verbindungswünsche auf diesem Port versuchen bekannte Schwachstellen in Windows-Maschinen zu nutzen. Wer so etwas tut, hat nichts Gutes im Sinn.

TCP Port 27374 : 3 Paket(e) (9 %)
==> ALARM : Ramen Worm
2 Quelle(n)
   145.253.156.137 : 1 Paket(e) (33 %)
   62.226.210.47 : 2 Paket(e) (66 %)
2 Ziel(e)
   62.158.171.254 : 2 Paket(e) (66 %)
   62.158.173.18 : 1 Paket(e) (33 %)
Eine bekannte Linux-Schwachstelle von RedHat-Systemen, für die es schon lange einen Fix gibt. Man sieht : es wird oft trotzdem probiert, vielleicht hat der Administrator den Patch nicht eingespielt.

Es bleiben dann Pakete übig, die von der Paketanalyse (noch) nicht berücksichtigt werden. Dies ist meist ein Hinweis an uns, nach Gemeinsamkeiten zu suchen, neue Angriffstechniken zu identifizieren, Nachkonfigurationen vorzunehmen oder die Paketanalyse zu verfeinern.

Rest : 23 Paket(e) (69 %)
MANUELL PRÜFEN

7 Quelle(n)
   172.184.152.151 : 5 Paket(e) (21 %)
   210.58.124.143 : 4 Paket(e) (17 %)
   213.33.1.146 : 1 Paket(e) (4 %)
   213.56.54.138 : 5 Paket(e) (21 %)
   62.153.243.205 : 5 Paket(e) (21 %)
   62.155.170.245 : 1 Paket(e) (4 %)
   62.158.154.22 : 2 Paket(e) (8 %)
2 Ziel(e)
   217.80.71.55 : 22 Paket(e) (95 %)
   62.158.173.18 : 1 Paket(e) (4 %)
IN=ppp0 OUT= SRC=62.153.243.205 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0xC0 TTL=123 ID=30 PROTO=UDP SPT=1870 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=62.153.243.205 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0xC0 TTL=123 ID=27934 PROTO=UDP SPT=1870 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=62.153.243.205 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0xC0 TTL=123 ID=55582 PROTO=UDP SPT=1870 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=62.153.243.205 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0xC0 TTL=123 ID=15647 PROTO=UDP SPT=1870 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=62.153.243.205 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0xC0 TTL=123 ID=47135 PROTO=UDP SPT=1870 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=213.33.1.146 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0x00 TTL=114 ID=48676 PROTO=UDP SPT=2213 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=213.56.54.138 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0x00 TTL=112 ID=13604 PROTO=UDP SPT=3169 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=213.56.54.138 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=44068 PROTO=UDP SPT=3169 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=213.56.54.138 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=8229 PROTO=UDP SPT=3169 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=213.56.54.138 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=41509 PROTO=UDP SPT=3169 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=213.56.54.138 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=5926 PROTO=UDP SPT=3169 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=172.184.152.151 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0x00 TTL=114 ID=2722 PROTO=UDP SPT=3667 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=172.184.152.151 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=12962 PROTO=UDP SPT=3667 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=172.184.152.151 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=22946 PROTO=UDP SPT=3667 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=172.184.152.151 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=33442 PROTO=UDP SPT=3667 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=172.184.152.151 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=43426 PROTO=UDP SPT=3667 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=210.58.124.143 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0x00 TTL=8 ID=39618 PROTO=UDP SPT=1829 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=210.58.124.143 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=8 ID=9667 PROTO=UDP SPT=1829 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=210.58.124.143 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=8 ID=20164 PROTO=UDP SPT=1829 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=210.58.124.143 DST=217.80.71.55 LEN=40 TOS=0x00 PREC=0x00 TTL=8 ID=63172 PROTO=UDP SPT=1829 DPT=27015 LEN=20
IN=ppp0 OUT= SRC=62.158.154.22 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0x00 TTL=121 ID=62037 PROTO=UDP SPT=2213 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=62.158.154.22 DST=217.80.71.55 LEN=37 TOS=0x00 PREC=0x00 TTL=121 ID=9325 PROTO=UDP SPT=2213 DPT=27015 LEN=17
IN=ppp0 OUT= SRC=62.155.170.245 DST=62.158.173.18 LEN=29 TOS=0x00 PREC=0x00 TTL=124 ID=62732 PROTO=UDP SPT=5881 DPT=5882 LEN=9
Hier wird von sechs Quellen im UDP der Ziel-Port 27015 angesprochen, das ist ein Spiel (?!) mit Namen "Half-Life". Das letzte Paket unterscheidet sich davon, hier versucht ein Trojaner namens "Y3K RAT" sich zu verbreiten. In einer neuen Version der Paketanalyse werden nun zwei Alarme ausgelöst.

Die Verbesserung der Paketanalyse ist ein nie endender Prozeß : es wird immer neue Angriffe auf immer neuen Port-Kombinationen geben, die analysiert und eingebaut sein wollen.