Aufpasser
Zu guter Letzt überprüfen Sie, unter welcher Last die Fritzbox mit aktiviertem IDS läuft. Ältere Modelle zeigen sich durch das permanente Herunterladen der PCAP-Datei überfordert und reagieren mit geringerer Durchsatzrate. Beispielsweise erreicht eine Fritzbox 6591 an einem 100-MBit/s-Kabelanschluss von Vodafone noch etwa 75 Mbit/s im Download, während das Heim-IDS läuft. Die Upload-Rate bleibt davon unberührt. Hier gilt es abzuwägen, ob die Sicherheit oder die Performance im Vordergrund steht.
Das IDS wirkt nur, wenn die Prozesse von Fritzdump und Suricata laufen. Falls nicht, ist das Einbruchserkennungsnetz löchrig und gefährliche IP-Pakete bleiben unentdeckt. Ein kleines Überwachungswerkzeug wie M/Monit [4] kontrolliert die kritischen Prozesse und startet sie bei Bedarf neu (Listing 7).
Listing 7
M/Monit einrichten
# apt install monit # cat <<EOF >> /etc/monit/monitrc set httpd port 2812 and use address 0.0.0.0 allow admin:monit EOF # systemctl restart monit
Eine passende Konfigurationsdatei für alle relevanten Dienste des Heim-IDS finden Sie im Download-Bereich zu diesem Artikel [5]. Diese Datei namens monit_ids.conf gehört ins Verzeichnis /etc/monit/conf.d/. M/Monit nutzt sie beim Neustart automatisch. Über die Webseite http://<I>RasPi-IP<I>:2812 oder über den CLI-Befehl monit summary informiert der Wächter über den Status seiner Schützlinge (Abbildung 6).
Abbildung 6: Der Monit Service Manager überwacht die IDS-Prozesse und startet sie bei Bedarf neu.
Alarme auswerten
Evebox signalisiert die Bedeutung einer Meldung mithilfe eines Farbschemas: Hinweise erscheinen im Light Theme in Türkis, Angriffe in Orange und kritische Zustände in Rot (Abbildung 3). Im Dark Theme gehen die Farben nahezu unter, sodass wichtige Meldungen nicht mehr ausreichend hervorstechen. Indem Sie auf die Meldung klicken, wechseln Sie zur Detailansicht mit sämtlichen Informationen, die Suricata notiert hat. Mit dem Severity-Wert gibt Suricata an, wie bedrohlich es den Alert einstuft. Evebox verwendet den Zahlenwert, um die Meldung einzufärben.
Im nächsten Schritt machen Sie sich auf die Suche nach dem Client, der den Alarm ausgelöst hat. Die Felder Source und Destination zeigen die verantwortlichen IP-Adressen samt Port-Nummer an, jedoch ohne Auflösung in Host-Name oder Anwendung. Erscheint der Titel des Alerts schwammig oder unklar, hilft die Signatur-ID weiter, mit der sich die Regel in den Signaturdateien wiederfinden. Benötigen Sie mehr Details einer Signatur, gibt Grep Auskunft:
$ grep ID /etc/suricata/rules/*
Das Ergebnis ist die Syntax der Signatur, so wie Suricata sie einliest und verarbeitet. Editoren mit passendem Syntax-Highlighting, wie etwa Visual Studio Code, machen den Inhalt etwas lesbarer.
Beispielsweise hat die Meldung ALERT: ET CINS Active Threat Intelligence Poor Reputation IP group 48 ein eingehendes HTTP-Paket im LAN gesichtet. Im lokalen Netz wird offenbar ein Webserver öffentlich angeboten, der von allen IP-Adressen im Internet zu erreichen ist. Weder Suricata noch Evebox empfehlen in diesem Fall eine konkrete Aktion, aber beide Tools machen den Admin immerhin auf den Missstand aufmerksam. Im einfachsten Fall liegt eine vergessene Port-Weiterleitung vor. Die Meldung deutet jedoch darauf hin, dass der eigene Webserver unter Beschuss steht. Als geeignete Maßnahme kommen hier ein GeoIP-Blocker oder ein DDoS-Tool wie Fail2ban [6] infrage.
Grundlose Alarme?
Nicht jeder Angriff muss gefährlich sein. Die orangefarbene Meldung ALERT: ET DNS Query to a *.pw domain — Likely Hostile warnt vor dem Zugriff auf eine Webseite mit der Top-Level-Domain http://pw. Eine kurze Recherche zeigt, dass hier jemand seinen Passwortmanager Buttercup über die Webseite http://buttercup.pw aktualisiert hat (Abbildung 7). Eine unmittelbare Gefahr geht davon nicht aus.
Abbildung 7: Eine DNS-Anfrage nach der TLD http://pw ist Suricata einen Alarm wert. Hier aktualisiert lediglich ein Client seinen Passwortmanager, der seine Webseite in dieser Domain hostet.
Kein Rechner läuft, aber das IDS meldet dennoch etwas? Hand aufs Herz: Wie viele Smartphones, Laptops und Smart-Home-Geräte nutzen Ihre Fritzbox? Jedes Endgerät im Netz hat eine IP-Adresse, und jede Suricata-Meldung enthält deren Quell- und Zieladresse. Ein Blick in die Teilnehmerliste der Fritzbox offenbart, welches Endgerät zu dieser Adresse gehört. Zugegeben: Wenn Suricata zum hundertsten Mal dieselbe Kommunikation anmeckert, sollten Sie diese Signatur aus dem Verkehr ziehen. Der richtige Ort dafür ist die bereits bekannte Datei disable.conf.
Sicherheit
Ein IDS bringt zwar ein Stückchen mehr Sicherheit, die vorgestellte Installation markiert allerdings nur den Einstieg in die seriöse Einbruchserkennung. Der robuste Einsatz im Unternehmen würde noch einige Ergänzungen erfordern. Die Webseiten von Evebox und M/Monit benötigen einen HTTPS-Zugang mit warnungsfreiem Zertifikat. Zudem sollte eine Authentifizierung nicht fehlen, damit nicht jeder in den Logs herumstöbern kann.
Fritzdump erwartet zwar das Kennwort der Fritzbox, doch das sollte auf keinen Fall in der Prozessliste zu sehen sein. Sicherheitsrelevante Informationen bewahren Sie besser in Variablen oder Dateien mit restriktiven Rechten auf. Darüber hinaus läuft Suricata als Root, was bedenklich ist. Das ändern Sie in der Konfigurationsdatei im Abschnitt run-as: und spannen ein dedizierten IDS-Benutzer dafür ein.
