Intrusion Detection und Prevention mit Snort 2 & Co., m. CD-ROM

Vorwort zur zweiten Auflage Die erste Auflage dieses Buches war ein gro er Erfolg.

Bereits nach etwa 18 Monaten war sie fast vollkommen vergriffen.

Viel ist jedoch seit der Ver ffentlichung im November 2002 geschehen.

Statt nun das Buch lediglich nachzudrucken, bot es sich an, es in wesentlichen Teilen zu berarbeiten. Die auf lligste nderung ist sicherlich der Verlagswechsel vom Markt+Technik Verlag zum Addison Wesley Verlag. Aber auch inhaltlich hat sich vieles ge ndert. Viele bereits in der ersten Auflage vorgestellte Programme wurden von ihren Entwicklern stark weiterentwickelt. Au erdem sind einige neue und sehr aufregende Produkte hinzugekommen. Die wichtigsten Neuerungen m chte ich kurz vorstellen. Das Linux Intrusion Detection System LIDS wurde stark berarbeitet und um neue Funktionen erweitert. Die neuen Funktionen wurden in dieses Buch aufgenommen und erkl rt.

Die erste Auflage beschreibt noch Snort in der Version 1.8.x.

Snort wurde von seinen Entwicklern f r die Version 2.0 komplett berarbeitet und intern neu aufgebaut. Neben einigen zus tzlichen Funktionen bedeutet dies f r den Anwender bei geschickter Konfiguration eine bis zu 10-fache Geschwindigkeitssteigerung. Auch die Verwaltung eines Netzwerkes von IDS-Sensoren wurde berarbeitet und um neue Produkte erweitert. Als neues Intrusion Detection System (IDS) werden nun in dieser Auflage auch Samhain und Prelude besprochen. Samhain ist eine Tripwire-Alternative w hrend Prelude ein Open Source Projekt ist, welches versucht sowohl HIDS- als auch NIDS-Funktionen anzubieten. Des weiteren versucht diese Auflage nicht nur den Bereich der Einbruchserkennung, sondern auch den Bereich der Pr vention (Intrusion Prevention) abzudecken. Stellenweise wurde dies gerade im Zusammenhang mit LIDS und Snort bereits in der ersten Auflage angesprochen. Diese Auflage behandelt den Einsatz von Systrace und Snort-Inline zu diesem Zweck. Au erdem ber cksichtigt diese Auflage erstmals auch Wireless LANs und behandelt hier die Werkzeuge Airsnort und Kismet. Schlie lich werden die Werkzeuge sleuthkit und autopsy zur forensischen Analyse von kompromittierten Systemen ausf hrlicher und mit mehr Beispielen dargestellt. Ich hoffe, dass es mir mit diesem Buch gelungen ist, Ihren Geschmack zu treffen und Ihnen wertvolle Informationen zu liefern. Falls Sie bereits die erste Auflage kennen und sch tzen, wird dieses Buch Ihnen die M glichkeit geben, Ihr Wissen auf den aktuellen Stand zu bringen. Ich w nsche Ihnen viel Spa beim Lesen und viel Erfolg beim Einsetzen der beschriebenen Methoden.

Vorwort zur ersten Auflage

Dieses Buch versucht die verschiedenen Bereiche der Intrusion Detection vorzustellen. Dabei sollen dem Anwender verschiedene Werkzeuge und Vorgehensweisen nahe gebracht werden. Es wird sich hierbei ohne gro e Umschweife mit IDS-Systemen und deren Umfeld besch ftigen. Es wird vorausgesetzt, dass Sie mit Linux oder einem anderen kommerziellen UNIX-Derivat grunds tzlich vertraut sind. Des Weiteren werden Kenntnisse der verschiedenen Netzwerkprotokolle und Anwendungen erwartet. Tiefer gehende Kenntnisse werden in den entsprechenden Kapiteln aufgefrischt oder im Anhang angesprochen.

Das Buch ist in mehrere Teile aufgeteilt. In Teil A wird eine Einf hrung in die Intrusion Detection und Prevention, ihre Aufgaben, M glichkeiten und Grenzen gegeben. In Teil B werden die verschiedenen Open Source-Softwarel sungen vorgestellt und ihre Konfiguration an Fallbeispielen erkl rt.

Teil C erl utert dann den Einsatz dieser Produkte in gr eren Netzen. Hier wird die zentrale Administration und berwachung dieser Produkte besprochen. Der Anwender soll nicht die berwachung s mtlicher Systeme von Hand vornehmen m ssen.

In Teil D werden die Ergebnisse der IDS-Systeme analysiert. Hierbei werden modifizierte Dateien auf ihre nderungen hin untersucht und die Erkennung von Rootkits erl utert. Falls die Dateien gel scht wurden, werden verschiedene Methoden des Wiederherstellens besprochen. Schlie lich werden verd chtige Netzwerkereignisse analysiert.

Der Teil E erl utert die Reaktion auf derartige Einbr che. Diese reichen von einfachen Benachrichtigungen an verschiedene zentrale Gremien bis hin zur bergabe an die Strafverfolgungsbeh rden. Der letzte Teil F bespricht den Aufbau von so genannten Honeypots. Hierbei handelt es sich um Rechner, welche spezifisch auf den Angreifer zielen. Die Analyse und berwachung dieser Rechner kann sehr interessante Einblicke in die Vorgehensweise des Angreifers geben. Der Einsatz derartiger Honeypots ist jedoch unter Umst nden von Rechts wegen als problematisch einzustufen.

Der Anhang wiederholt wichtige Grundlagen der TCP/IP-Protokollfamilie und bietet weitere n tzliche Informationen bei der Einrichtung eines IDS und IPS.