Intrusion Detection fuer OpenWrt

13/01/2013 - 19:33 von Manuel Rodriguez | Report spam
Generell halte ich Programme wie den Dinosaurier tripwire bzw. dessen Nachfolger aide für eine sehr gute Möglichkeit einen Server gegen Eindringlinge zu schützen. Nicht nur, dass man sogar wordpress-rootkits damit aufspüren kann die über 0day-exploits eingeschleust werden, man kann sogar erkennen wenn jemand mit dem richtigen Admin-Passwort sich einloggt, weil er es irgendwo gestohlen hat um so eine Backdoor zu installieren. Soweit zur Einleitung.

Interessant wird es jedoch erst, und dazu gibt es erstaunlich wenig Informationen im WWW, wenn man das Konzept von Tripwire auch auf Router übertràgt um die dortige Firmware einem Integritàtscheck zu unterziehen. Einen ersten Bericht konnte ich auf [1] entdecken, wo ein kommerzielles Produkt aus dem Jahr 2001 für 7400 US$ angeboten wird was vielleicht auch etwas über die Zielgruppe aussagt ... Da wàre es doch naheliegend dieses Konzept zu kopieren um auch für die Router-Distribution OpenWRT eine solches Advanced Intrusion Detection System ins Auge zu fassen. Eine Recherche auf den offiziellen OpenWRT Seiten ergab leider nichts derartiges. Allenfalls wird der Packetsniffer snort thematisiert, und es findet sich ein kurzer Text über einen syslog-Daemon, der sich in der busybox befinden soll.

Was also tun, um einen OpenWRT-Router auf Verànderungen zu überprüfen? Als erstes funktioniert tripwire sowieso dann am besten, wenn man es von einer externen Diskette bootet. Nun ist das bei einem Router vielleicht etwas schwierig. Aber man kann es ja auch genau andersherum machen. D.h. man loggt sich auf dem Router über ssh ein und kopiert das komplett-Image mit dem Befehl aus [2] auf einen externen Rechner. (So als würde man auf dem OpenWrt Image eine forensische Untersuchung durchführen wollen). Und diese Image-Datei packt man dann einfach aus, und vergleicht sie mit dem Tool aide auf Verànderungen. Das ganze habe ich noch nicht praktisch ausprobieren können, weil mein OpenWrt Router derzeit inaktiv ist und mein Paranoia-Potential noch nicht hoch genug ist, aber theoretisch könnte man auf diese Weise überprüfen, ob der Router gehackt wurde. Gerade bei Geràten, die einen uhttp-Server aktiviert haben oder gar ssh ist diese Information wertvoll.

QUELLEN
[1] Tripwire bringt neue Sicherheitslösung für Router auf den Markt, 2001, http://www.pressrelations.de/new/st...n_firmanr_3071&sektor=pm&detail=1&rp493&sid=&aktion=jour_pm&quelle=0

[2] Cloning OpenWRT, http://blog.cloutier-vilhuber.net/?pw
 

Lesen sie die antworten

#1 Holger Marzen
13/01/2013 - 20:31 | Warnen spam
* On Sun, 13 Jan 2013 10:33:03 -0800 (PST), Manuel Rodriguez wrote:

Was also tun, um einen OpenWRT-Router auf Verànderungen zu überprüfen?
Als erstes funktioniert tripwire sowieso dann am besten, wenn man es
von einer externen Diskette bootet. Nun ist das bei einem Router
vielleicht etwas schwierig. Aber man kann es ja auch genau andersherum
machen. D.h. man loggt sich auf dem Router über ssh ein und kopiert
das komplett-Image mit dem Befehl aus [2] auf einen externen Rechner.
(So als würde man auf dem OpenWrt Image eine forensische Untersuchung
durchführen wollen). Und diese Image-Datei packt man dann einfach aus,
und vergleicht sie mit dem Tool aide auf Verànderungen.



Es dürfte einfacher sein, jeglichen Fernwartungszugang abzuschalten, um
Eindringlinge recht effektiv draußen zu halten.

Dein Vorgehen làsst unberücksichtigt, dass der Eindringling bereits
Kernelroutingen im Speicher veràndert haben könnte, so dass das
erstellte Image sauber aussieht. Das ist sehr unwahrscheinlich, aber
eben nicht unmöglich. Wenn Du den Aufwand schon treibst, dann willst Du
doch auch was Wasserdichtes.

Ähnliche fragen