B.3. Aufsetzen eines eigenständigen IDS

Sie können sehr leicht eine Debian-Box als eigenständiges Eindringlings-Erkennungs-System (Intrusion Detection System, IDS) aufsetzen, indem Sie snort benutzen und eine webbasierte Schnittstelle zur Überwachung der Alarme über Eindringlinge einrichten:

Installieren Sie ein Debian-Basis-System ohne zusätzliche Pakete.
Installieren Sie eine Version von Snort, die Datenbanken unterstützt, und richten Sie Snort so ein, dass die Alarme in der Datenbank protokolliert werden.
Laden Sie BASE (Basic Analysis and Security Engine) oder ACID (Analysis Console for Intrusion Databases, Konsole zur Analyse für Eindringling-Datenbanken) herunter und installieren Sie es. Konfigurieren Sie es so, dass es die gleiche Datenbank wie Snort verwendet.
Installieren Sie die notwendigen Pakete.^[85]

BASE wird derzeit für Debian im Paket acidbase geliefert, ACID im Paket acidlab.^[86] Beide stellen eine graphische WWW-Schnittstelle zur Ausgabe von Snort zur Verfügung.

Neben der Grundinstallationen benötigen Sie auch einen Webserver (wie apache), einen PHP-Interpreter und eine relationale Datenbank (wie postgresql oder mysql), wo Snort seine Alarme ablegen kann.

Dieses System sollte mit wenigstens zwei Netzwerk-Schnittstellen ausgestattet sein: Eine verbunden mit einem Verwaltungs-LAN (um die Resultate abzufragen und das System zu verwalten), und eine ohne IP-Adresse, das an mit dem zu beobachtenden Abschnitt des Netzwerks verbunden ist. Sie sollten den Webserver so einrichten, dass er nur auf der Schnittstelle lauscht, die mit dem Verwaltungs-LAN verbunden ist.

Sie sollten beide Schnittstellen in der Standardkonfigurationsdatei von Debian /etc/network/interfaces einrichten. Eine Adresse, nämlich die des Verwaltungs-LANs, sollten Sie wie gewöhnlich einrichten. Die andere Schnittstelle muss so konfiguriert werden, dass sie aktiviert wird, wenn das System startet, ihr darf aber keine Interface-Adresse zugewiesen sein. Eine Konfiguration der Schnittstelle könnte folgendermaßen aussehen:

auto eth0
iface eth0 inet manual
      up ifconfig $IFACE 0.0.0.0 up
      up ip link set $IFACE promisc on
      down ip link set $IFACE promisc off
      down ifconfig $IFACE down

Diese Konfiguration führt dazu, dass die Schnittstelle den gesamten Netzwerkverkehr heimlich mitliest. Damit wird verhindert, dass das NIDS in einem feindlichen Netzwerk direkt angegriffen werden kann, da die Sensoren im Netzwerk keine IP-Adresse haben. Beachten Sie aber, dass es im Lauf der Zeit Fehler im Sensorenteil des NIDS gab (z.B. http://www.debian.org/security/2003/dsa-297 im Zusammenhang mit Snort), und dass Pufferüberläufe auch entfernt durch die Verarbeitung von Netzwerkpaketen ausgelöst werden können.

Sie sollten auch einen Blick in das http://www.faqs.org/docs/Linux-HOWTO/Snort-Statistics-HOWTO.html und in die Dokumentation auf der http://www.snort.org/docs/ werfen.

^[85] Normalerweise werden alle benötigten Pakete installiert, um Abhängigkeiten aufzulösen.

^[86] Es kann auch von http://www.cert.org/kb/acid/, http://acidlab.sourceforge.net oder http://www.andrew.cmu.edu/~rdanyliw/snort/ heruntergeladen werden.