Sicherheit für Zwischendurch
Die kostenlose Security Tools Distribution (STD) bringt auf einer bootbaren CD alles an gängigen Werkzeugen mit, was Administratoren und Netzwerkverantwortliche zum Testen der Sicherheit ihrer Server und zum Schutz der Infrastruktur benötigen.
Die kostenlose Security Tools Distribution (STD) Version 0.1 bringt auf einer bootbaren CD alles an gängigen Werkzeugen mit, was Administratoren und Netzwerkverantwortliche zum Testen der Sicherheit ihrer Server und zum Schutz der Infrastruktur benötigen. Knoppix-STD basiert auf Knoppix, entledigt sich aber der Office- und Multimediaanwendungen und erweitert dafür den mitgelieferten Satz an Sicherheitswerkzeugen erheblich.
Eine feste Installation auf einem Rechner ist nicht notwendig. Wie schon beim normalen Knoppix bootet der Rechner von CD und lädt die benötigten Programme in eine RAM-Disk. Grafikkarte, Soundkarte, Netzwerkkarten und sonstige Peripherie erkennt Knoppix-STD automatisch. Nach dem Hochfahren steht eine grafische Oberfläche zur Verfügung, unter der sich zahlreiche Security Tools aufrufen lassen. Eine Konfiguration ist in den meisten Fällen nicht mehr erforderlich. Auch sind alle Bibliotheken vorhanden: Das nervenaufreibende Suchen und Nachinstallieren, um irgendeine Abhängigkeit zu erfüllen, entfällt praktischerweise. Damit lässt sich mal eben zwischendurch die Analyse eines Systems mit dem Open-Source-Schwachstellenscanner Nessus durchführen. Aber auch eine Firewall oder ein Intrusion Detection System stehen innerhalb weniger Minuten zu Testzwecken zur Verfügung. Davor steht allerdings der Download des mehr als 600 MByte großen ISO-Image aus dem Internet und das Brennen auf CD.
Schlank und schnell
Nach dem Hochfahren präsentiert der schlanke Fluxbox Window Manager unter X-Window eine nackte Oberfläche. Einzig ein schmales Toolbar zeigt die Uhrzeit und den aktuellen Desktop an. Ein Klick mit der rechten Maustaste offenbart ein umfangreiches Menü mit reichlich Unterpunkten. Die verfügbaren Tools sind in verschiedene Rubriken einsortiert: Authentication, Encryption, Forensic, Firewall, Honeypots, IDS, Network Utilities, Password Tools, Servers, Packet Sniffers, TCP Tools, Tunnels, Vulnerability Assesment und Wireless Tools. Daneben bietet STD auch diverse Shells und Tools zum Konfigurieren der Benutzeroberfläche an. Auch Internet-Applikationen zum Browsen und Mailen fehlen natürlich nicht. Bei Gefallen können Anwender sich Knoppix-STD fest auf die Platte installieren. Ein eigener Menüpunkt hilft dabei.
In den verschiedenen Werkzeugrubriken wurden Klassiker zusammengetragen wie nmap, Nessus, Sleuthkit, shorewall, ,fragroute, snort, arpwatch, John the Ripper, ethereal, ettercap, netcat, nikto, airsnort, kismet, wellenreiter und diverse Server. In jeder Rubrik lässt sich zudem eine Shell öffnen, in deren Startverzeichnis weitere nützliche Tools liegen. Zusätzlich können Anwender eine Konsole öffnen, um auf die Manuals zu den einzelnen Werkzeugen zuzugreifen. STD bezieht bei angeschlossener Netzwerkkarte automatisch eine Adresse vom DHCP-Server, sodass man sofort mit einer Sicherheitsanalyse loslegen kann. Die Zusammenstellung und Tauglichkeit der Distribution haben wir anhand einiger Beispiele untersucht.
Wo Licht ist,...
Wo Licht ist,...
Zur Schwachstellenanalyse mit Nessus 2.0.9 reicht es, im Menü Vulnerability Assessment Nessus anzuklicken, um lokal den Nessus-Server und Client zu starten. Da ständig neue Sicherheitslücken entdeckt werden, ist es allerdings sinnvoll, zuvor die aktuellsten Plug-ins von Nessus.org herunterzuladen. Dazu startet man in einer Konsole das dafür vorgesehene Skript nessus-update-plugins. Ist HTTP-Verkehr nur über Proxies erlaubt, so muss man diesen vorgeben:
export http_proxy="http://mein_proxy:port"
Der Nessus-Client weist beim Start freundlicherweise auf den voreingestellten Benutzernamen und das Kennwort am lokalen Nessus-Server hin. Anders als bei einer Standardinstallation von Nessus ist nämlich schon ein Benutzer knoppix angelegt. Ein Schwachstellen-Scan lief ohne Probleme durch und lieferte die erwarteten Ergebnisse. Die muss man dann allerdings auf Diskette oder USB-Stick speichern, ein Drucker lässt sich unter STD nicht so einfach konfigurieren.
Als nächstes testeten wir Out-of-the-Box das Intrusion Detection System Snort mit dem grafischen Frontend Analyses Console for Intrusion Databases (ACID), die von Snort in eine Mysql-Datenbank geschriebenen Informationen darstellt. Dazu ist erst einmal eine Initialisierung mit den Menüpunkt init notwendig, die etwas dauern kann. Anschließend startet der Punkt "Start /S/A/M" das Trio Snort, ACID und Mysql. Da ACID webbasiert arbeitet, läuft auch gleich ein Apache hoch. Ein sonst unbemerkt agierendes System öffnet damit Port 80 und wird unter Umständen angreifbar. Verdächtige Aktivitäten und Paketfolgen erkannte das IDS und listete sie in ACID auf. Zu jedem Vorfall zeigt es zudem eine nähere Beschreibung an, etwa ob sich ein Angriffsmuster gegen einen Internet Information Server richtet oder über UDP gerade Back Orifice eine Verbindung aufbaut. Als Ad-hoc-IDS kann die Lösung ausreichen, für einen stabilen langfristigen Betrieb sind allerdings feinere Einstellungen von Snort notwendig. Des Weiteren schrieb Snort zwar fleißig Daten in die Datenbank, ACID zeigte diese aber erst nach einem zweiten Start an. Wer den Fehler kennt, startet einfach neu. Anfänger warten beim ersten Mal vergeblich auf die Anzeige der Daten.
Anstandslos liefen dagegen die mitgelieferten Sniffer: Ethereal zeigte wie erwartet alle vorbeifliegenden Netzwerkpakete im ungeswitchten LAN übersichtlich in einer GUI an. Mit dem Konsolen-basierten ettercap konnten wir im geswitchten Netz die IP-Kommunikation über den STD-Rechner umleiten. Aus ungeschützten Protokollen wie Telnet, POP3 und IMAP extrahierte ettercap sofort Benutzername und Passwort.
...fällt auch Schatten
Um einen PC oder sich selbst mit einer Firewall vor Zugriffen zu schützen, bringt STD natürlich iptables mit. Innerhalb einer Minute hatten wir einen rudimentären Regelsatz mit dem Tool Firestarter erstellt -- NAT inklusive. Ein Konfigurations-Wizard leitete uns dabei Schritt für Schritt. Einzelne Ports ließen sich anschließend in einer GUI durch Hinzufügen einer neuen Regel öffnen. Ein Portscan überzeugte uns von einem korrekten Regelsatz.
Zur Analyse von Wireless LANs ist Kismet in STD enthalten. Mit einer Hermes- oder Prism2-basierten WLAN-Karte lassen sich dann Access-Points und Clients aufspüren. Standardmäßig sucht Kismet auf eth0 die Funkkarte. Falls die aber stattdessen unter eth1 residiert, lassen sich unter dem Menüpunkt kismet-edit die Einstellungen ändern. Da STD die Konfiguration zur Laufzeit nur in der RAM-Disk ändert, gehen sie bei jedem Shutdown verloren. Unter dem Menüpunkt Knoppix können Anwender aber die Einstellungen sämtlicher Anwendungen auf Floppy oder einer Festplattenpartition speichern -- USB wird derzeit nicht angeboten.
...fällt auch Schatten
Der Versuch das ebenfalls mitgelieferte Wellenreiter zu Starten, misslang sowohl mit Prism2- als auch mit Hermes-Karte. Auch der Test der Honeypots honeyd und Labrea Tarpit schlug gänzlich fehl. Hier geschah nach dem Start aus dem Menü heraus gar nichts. Die Liste der Prozesse mit ps ax zeigte keinerlei Aktivitäten. Nicht einmal der Aufruf der Konfiguration gelang.
STD liefert noch mehre Dutzend anderer spannende Tools und Applikationen mit, deren Test und Beschreibung den Rahmen dieses Artikels gesprengt hätten -- für den interessierten Leser ist also Experimentieren angesagt. Auch wenn einige Werkzeuge noch nicht richtig funktionieren, sollte STD zum Handgepäck jedes Netzwerkers gehören. Selbst für Schulungs- und Demonstrationszwecke eignet sich die Distribution hervorragend. STD bietet keine Möglichkeit, weitere Tools einzubinden. Wer sein Lieblingtool nicht unter STD findet, kann es aber von einem USB-Stick starten. Ohnehin ist es schade, dass STD nicht schon auf einen 512-MByte-USB-Stick Platz findet. Dann würde die Sicherheit für Zwischendurch sogar in die Hosentasche passen.
- Homepage von Knoppix-STD [1]
(dab [2])
URL dieses Artikels:
https://www.heise.de/-270480
Links in diesem Artikel:
[1] http://www.knoppix-std.org/
[2] mailto:dab@ct.de
Copyright © 2004 Heise Medien