Vertraue ich meinem Server noch?
Vertraue ich meinem Server noch?
Die zweite Ausgabe unserer Security-Kolumne dreht sich um die Frage, wie Manipulationen am eigenen Server erkannt werden können. Oder anders gefragt: Vertraue ich meinem Server noch?
Um Manipulationen an Servern zu erkennen, gibt es verschiedene Möglichkeiten, die im Idealfall kombiniert werden sollten. Eine ist die Verwendung dateibasierter „Intrusion Detection Systeme“, wie das „Advanced Intrusion Detection Environment“, kurz AIDE .
In der Regel kann AIDE auf aktuellen Linux-Distributionen mittels Paketmanager installiert werden. Die Konfiguration erfolgt in der Datei aide.conf. Diese enthält unter anderem Regeln, die festlegen, welche Dateien Teil der Prüfung sein sollen. Dabei sollte beachtet werden, dass AIDE keine Manipulationen erkennt, die bereits während dem Einrichten der Software bestanden. Es ist daher sinnvoll, AIDE zu installieren und einzurichten, wenn das Hostsystem als vertrauenswürdig angenommen werden kann, also beispielsweise direkt nach dem Aufsetzen des Systems in einer sicheren Umgebung.
AIDE erstellt eine Momentaufnahme (Snapshot) der auf einem Server installierten Dateien. Diese dient dann als Ausgangspunkt für weitere Analysen. Hierzu errechnet AIDE eine Prüfsumme für jede, in der Konfiguration festgelegte, Datei und legt diese Prüfsumme in einer Datenbank ab. In zyklischen Abständen, beispielsweise einmal am Tag, generiert AIDE diese Prüfsummen erneut und vergleicht sie mit denen in der Datenbank. Hat sich die Prüfsumme geändert, wird der Administrator hierüber informiert und kann nun prüfen, ob diese Änderung plausibel ist oder möglicherweise durch eine Manipulation eines Angreifers erfolgte. Verändert sich beispielsweise die gespeicherte Prüfsumme von Webserver-Executables oder deren Konfiguration nach einem Update des Webservers, so erscheint das plausibel. Geschieht dies jedoch außerhalb dieser Prozeduren, ist Misstrauen angebracht. Software verändert sich ohne externes Zutun in der Regel nicht von allein. Passiert dies dennoch, dann könnten unerwartete Funktionen hinzugekommen sein. In Folge sollte geprüft werden, was geschehen sein könnte und ob ein Weiterbetrieb mit Risiken verbunden ist.
Im Alltag eines IT-Betriebs ist es für Administratoren in der Regel nicht möglich, jede Schwachstelle einer Server-Software kennen. Häufig liegen zwischen der Veröffentlichung einer Schwachstelle und deren Beseitigung längere Zeiträume. Deshalb ist es wichtig, auf ungewöhnliche Veränderungen zu achten und die eigenen Systeme regelmäßig nach solchen Veränderungen zu untersuchen. Werkzeuge wie AIDE können dabei unterstützen. Wurde eine potenzielle Kompromittierung entdeckt, ist ein überlegtes Vorgehen wichtig.
Für detaillierte Informationen zu AIDE, dessen Konfiguration und sichere Verwendung, sei auf die Entwicklerseite verwiesen. Falls Sie den Verdacht haben, dass ihre Systeme kompromittiert wurden, unterstützen wir Sie gern. Darüber hinaus stehen Ihnen unsere Experten bei der Analyse ihre Systeme auf mögliche Schwachstellen oder beim Härten ihrer Server zur Seite. Kontaktieren Sie uns!