Schluss mit lustig!

Hinter der Bezeichnung HenWen – die Anwendung wurde von Nick Zitzmann zwischen 2002-05 entwickelt – verbirgt sich eine vorkompilierte Snort-Version. Für den Fall, dass Sie mit Snort nicht vertraut sind: es handelt sich um ein leistungsfähiges „Network Intrusion Detection System“ (kurz NIDS). Snort hilft Ihnen also zu erkennen, ob im Netzwerk ungewöhnliche Aktivitäten zu verzeichnen sind (Portscans, Einbruchsversuche etc.). Selbstredend erleichtert die grafische Oberfläche von HenWen gerade Einsteigern die Arbeit erheblich; somit können Sie sich auf bequeme Weise mit den Grundlagen der Netzwerksicherheit vertraut machen. Einige Stichpunkte umreißen das Leistungsspektrum von HenWen:

- einfache Drag&Drop-Installation

- HenWen bietet alle wesentlichen Ausstattungsmerkmale von Snort

- HenWen bietet Logging für MySQL, PostgreSQL, Oracle etc.

- Snort-Regeln können jederzeit über das Netzwerk nachgeladen werden

Zum Lieferumfang gehört auch ein Programm namens LetterStick (dazu gleich mehr). Last not least ist HenWen für Mac OS X 10.4 erhältlich. Beide Programme, HenWen und LetterStick, werden überdies kostenlos abgegeben.

Die Grundlagen

Installieren Sie zunächst das HenWen-Paket von unserer CD-ROM; anschließend mounten Sie das Disk-Image und kopieren HenWen und LetterStick per Drag&Drop in Ihr Benutzerverzeichnis. HenWen wird dann einfach mit einem Doppelklick geöffnet. Über die grafische Oberfläche konfigurieren Sie die Anwendung (ob die Netzwerkkarte beispielsweise im „Promiscuous-Mode“ arbeiten soll etc.). Das GUI – Graphical User Interface – bietet für die Konfiguration insgesamt sechs Hauptpunkte (Main-Tabs genannt), die sich direkt unter der Fensterleiste befinden: Netzwerk, Preprozessor, Spoof-Detektor, Ausgabe, Alarm und Snort. Für den Anfang genügen sicher die Standardeinstellungen, es lohnt sich später aber, zu experimentieren, um die Arbeitsweise von Snort besser zu verstehen. Snort muss explizit gestartet werden, dazu klicken Sie auf den Button NIDS starten.

Ein Wort zu LetterStick. Dieses Werkzeug generiert so genannte Alerts (das sind Alarmmeldungen) in Englisch, Deutsch oder Französisch; mit Hilfe von Alerts informiert Sie HenWen darüber, ob verdächtige Aktivitäten bemerkt wurden. Es existieren mehrere Alert-Varianten:

- Real-Time Alerts (Pop-up-Fenster)

- E-Mail-Alerts (Sie erhalten eine E-Mail)

- als gesprochener Text/ Soundeffekt

Sie starten LetterStick ebenfalls mit einem Doppelklick; danach sehen Sie sofort das Programmsymbol in der Menüleiste (rechts). Klicken Sie auf das Symbol und nehmen Sie die gewünschten Einstellungen vor (die Einstellungen sind selbsterklärend).

Ein Beispiel

Ein einfaches Beispiel beendet unseren kleinen Exkurs. Dafür wurden zwei Maschinen verwendet: ein Linux-Rechner (hamlet, 192.168.1.101) sowie ein Mac-OS-X-System (macbeth, 192.168.1.100). Als Portscanner dient das weit verbreitete Programm nmap.

Wenn nun Rechner hamlet, die Linux-Maschine, einen Portscan gegen den Mac durchführt, passiert folgendes: HenWen registriert den Portscan und LetterStick generiert umgehend eine Alarmmeldung (Alert), d. h. ein Pop-up-Fenster erscheint auf dem Desktop und informiert über diesen Umstand. Damit das Beispiel funktioniert, muss im HenWen-Main-Tab Alarm das Kästchen Netzwerkscanning (Port-Scanning, Netzwerkmapping, usw.) aktiviert sein. Noch genauere Informationen liefert die Snort-Protokolldatei; klicken Sie wiederum auf den LetterStick-Menüpunkt Snorts Protokoll-Datei öffnen … Sie sehen dann auf der Konsole weitere Informationen.

Die Ausgabe lässt sich natürlich jederzeit über den HenWen-Menüpunkt Ausgabe anpassen. Weiterhin ist der LetterStick-Menüpunkt Statistik zeigen … in diesem Kontext hilfreich.

Fazit

HenWen ist leicht zu installieren, einfach zu gebrauchen, sehr effektiv und gestattet es, Snort bequem über eine grafische Oberfläche zu steuern. Es lohnt sich, das Werkzeug schon allein deswegen zu testen, da sich die Sicherheitslage in absehbarer Zeit nicht wesentlich verbessern wird.

Thomas Kaufmann