Sicherheit im Wohnheimnetz = Ourmon & SurfIDS?!…

Nachdem ich vor einigen Wochen im Linux-Magazin einen kurzen Artikel ueber Ourmon gelesen habe, habe ich es jetzt auch bei uns im Wohnheim aufgesetzt. Mir sind die Worte der DFN-Cert Leute immer noch im Kopf, die sagten: „Nur weil die Netzwerkmonitoring Loesungen die Sie vor 2-3 Jahren implementiert haben heute keine Gefahren mehr anzeigen, heisst es noch lange nicht, dass es auch keine mehr gibt. So wie sich Viren, Wuermer, Rootkits weiterentwickeln und neue Wege gehen, muss man auch bestaendig seinen Blick darauf anpassen.

Der neue Blickwinkel und die neue Strategie heisst deswegen bei mir: Netflows oder vergleichbares aufzeichnen / betrachten und Honeypots aufstellen. Part eins, das mit den Netflows, ist damit initial abgedeckt. Ourmon ist installiert und liefert Daten und Graphen der Standartkonfiguration. Es folgt die naechsten Tage noch eine Anpassung (z.B. Monitoring des Port 445 zur Erkennung von Conficker bzw. anderen MS-RPC-Schnittstellenschwachstellenausnutzenden Dingern).

Part zwei sind Honeypots. Dafuer habe ich mir (nach tollen Gespraechen beim SNT) das Intrusen-Detection-System SurfIDS ausgeguckt. Es baut auf die Honeypotsoftware Nepenthes auf, und ist als low interaction Honeypot auch ganz gut geeignet fuer Wohnheimnetze. Fuer high interaction Honeypots braeuchte ich nen Kollegen der Ahnung hat ;-)
SurfIDS kommt bald, alles zu seiner Zeit. Am liebsten wuerde ich in jedem Wohnheim in Goettingen einen Sensor aufstellen, aber dafuer muss ich erstmal die Hauptinfrastruktur schaffen. Freu mich schon drauf!

Artikel ueber das SNT im Mensa-Spezial

Ich habe ueber das Studentennetztreffen (SNT) in Tuebingen Anfang August (Fratzen) einen winzig kleinen Artikel geschrieben und ihn zum Studentenwerk geschickt. Es sollte einerseits dank dafuer sein, dass man mir die Konferenz gezahlt hat, und andererseits habe ich vermerkt, dass wenn die es wuenschen diesen ebenfalls im Mensa-Spezial, der Zeitung vom Studentenwerk, abdrucken koennen. Dieses ist auch passiert! Finde ich voll cool und freue ich mich sehr darueber!  Auf Seite 6 des redaktionellen Teils zu finden, also entweder ab in die Uni und sich ein Mensa-Spezial krallen, oder auf der Homepage des Studentenwerks hier bzw. als Mirror von meinem Blog hier runterladen.

Virus im Netz / rogue DHCP

Bei uns im Wohnheim machte sich heute ein Virus breit der auch Rechner von Internettutoren infizierte. Der Virus sah so aus, dass man auf einmal falsche DNS-Servereintraege hatte. Die IPs waren dann auf einmal: 85.255.122.36, 85.255.122.41, oder 85.255.122.60. Server aus der Ukraine.

Verschiedenen Internettutoren war das Problem aufgefallen und es wurden dann auch schnell Massnamen ergriffen. Die betreffenden IP-Adressen wurden bei uns in der Firewall gesperrt und nach einer weiteren Diagnose war auch der entsprechende Rogue-DHCP gefunden. Ich war auf der Arbeit leider mit anderen Dingen beschaeftigt und konnte deswegen im Wohnheim nicht „akut“ an der Suche / Diagnose teilnehmen und helfen, aber danke an Alex und Matthias, es hat alles ein gutes Ende genommen.

Mich interessiert nun aber vielmehr: Wie kann ich bei uns im Netzwerk ungewollte DHCP-Server erkennen? Wie kann ich erkennen, wenn ein DHCP-Server unser Netz stoert?

Nach entsprechendem suchen im Internet bin ich dann auf folgendes gestossen:

  1. Rogue DHCP Detection Plugin for Nagios on RedHat
  2. Rouge Detect

Das Nagios Skript ist auf ein englischsprachiges RedHat Linux determiniert, es wird dann an dieser Stelle bald eines geben was auch mit Debian Linux funktioniert. Stay tuned…