intrusion detection per iptables

[d4rkm3n]

hi,
ich habe in den iptables spoofing-filter gesehen. kann man es irgendwie einrichten, dass wenn man ein gespooftes paket bekommt die iptables irgendein script ausführen? auch sehr schoen wäre es, wenn man herausfinden könnte ob man gescannt (portscann) wird und auch ein script ausgeführt wird.

[nepos]

Hm, ich wuesste auf Anhieb keine Moeglichkeit, per iptables ein Skript zu starten.
Wenn du in die Richtung IDS was suchst, koenntest du dir aber eventuell mal snort angucken.

[meandtheshell]

Hm, ich wuesste auf Anhieb keine Moeglichkeit, per iptables ein Skript zu starten.

doch - die logfiles auswerten dann "irgendwas" triggern ...

markus

[meandtheshell]

auch sehr schoen wäre es, wenn man herausfinden könnte ob man gescannt (portscann) wird und auch ein script ausgeführt wird.

woran denkst du da? zumal ich kann dich so scannen das die Portreihenfolge zufällig erscheint

neben zufälliger Portreihenfolge kann ich auch die Zeitintervalle zuflällig machen und die source IP spoofen und dafür gültige öffentliche IP's nehmen - wenn du das mit 100% Sicherheit erkennen kannst und von zufälligen Aufschlägen auf der Firewall unterscheiden kannst dann musst du dir um deine Zukunft keine Sorgen machen ...

markus

[gms]

Hm, ich wuesste auf Anhieb keine Moeglichkeit, per iptables ein Skript zu starten.

doch - die logfiles auswerten dann "irgendwas" triggern ...

für das Auswerten der Logfiles gibt es Tools die das besser können, z.B. PSAD. Dieser Daemon kann aber leider nur Mails verschicken und/oder in syslog schreiben. Über syslog-ng könnten diese Einträge wiederum in eine FIFO (named pipe) Datei geschrieben werden, welche ein Script auslesen und verarbeiten kann. Klingt jetzt etwas kompliziert, ist es aber in Wirklichkeit nicht

Gruß
gms

[meandtheshell]

Klingt jetzt etwas kompliziert, ist es aber in Wirklichkeit nicht

nein eh nicht - fail2ban macht genau das gleiche
Tatsache ist aber das man immer mit den logfiles anfängt - das umsetzen ist hier nicht das schlaue sondern wann triggere ich eine beliebige Aktion ...

Gestern oder so hast du eine nette Aktion skizziert:
remote einen Prozess abnabeln (nohup)
dann ein FIFO machen das von einem anderen Prozess gefüttert wird
FIFO für Input an den nohup Prozess verwenden

So in der Art kann man das machen.

markus

[gms]

Tatsache ist aber das man immer mit den logfiles anfängt - das umsetzen ist hier nicht das schlaue sondern wann triggere ich eine beliebige Aktion ...

Genau, das wann ist das Entscheidende. Daher wird für das Auslesen der Logfiles leider auch sehr viel Know-How benötigt.

Snort setzt da schon früher an. Der snifft den Netzwerkverkehr und kann somit auch ein ganzes Netzwerksegment überwachen. Das hat auch den Vorteil, daß die Firewall nicht angepaßt werden muß. Ist dafür aber auch ein ganzes Stück komplexer.

Gruß
gms

[d4rkm3n]

okay danke für die antworten, kann man denn ein script ausführen lassen wenn man gespooft wird? (arp spoof ect.)

[finupsen]

wie schon gesagt, fail2ban oder auch logwatch reagiert auf bestimmte zeichenketten
innerhalb des logfiles. Du könntest statt DROP eine DROP-LOG kette einrichten mit
einem prefix das wiederum fail2ban auslöst.

zum bleistift (für TCP und UDP):

Code: Alles auswählen

$IPTABLES -N LDROP
$IPTABLES -A LDROP -p tcp -m limit --limit "1/s" --limit-burst 10 -j LOG --log-prefix "<zeichenkette>"
$IPTABLES -A LDROP -p udp -m limit --limit "1/s" --limit-burst 10 -j LOG --log-prefix "<zeichenkette>"
$IPTABLES -A LDROP -j DROP

... und alle weiteren DROPS durch LOGDROP ersetzen:

Code: Alles auswählen

$IPTABLES ...xyz... -j LDROP

Ich hatte irgendwo im netz etwas gefunden, wo sowas explizit behandelt wird. Bei
interesse kann ich gern nochmal meine browser-histore durchstöbern