Prozesse anzeigen
Gerhard Gaußling
ggrubbish at web.de
Sam Dez 8 11:19:08 GMT 2007
Am Samstag, 8. Dezember 2007 schrieb Uwe Walter:
> Am Samstag, den 08.12.2007, 02:32 +0100 schrieb Gerhard Gaußling:
> > tripwire ist übrigens so ein angeblich "mäßig sicheres" IDS, das
> > u.a. mit MD5 arbeitet.
> Bei tripwire würde ich nicht von einem IDS sprechen. Als
> Intrusion-Detection wird die *aktive* Überwachung bezeichnet, die
> tripwire ganz eindeutig nicht leistet. Dieser Integritätschecker
> dient nur dem Abgleich, aber keiner Liveüberwachung.
>[...]
> > "Tripwire is a form of intrusion detection [...]
> Das finde ich in der Tat etwas unglücklich formuliert, auch wenn ganz
> klar hier steht "... a form of ...".
>
> > It creates a 'secure'
> > (normally kept on a read-only disk/diskette along w/ the tripwire
> > executable) database [...]
>[...]
http://de.wikipedia.org/wiki/Intrusion_Detection
Wenn Du den Artikel über Intrusion Detection Systems liest, so wird dort
genau diese Unterscheidung getroffen, die Du auch triffst, aber IDS als
Oberbegriff für host based intrusion detection systems (HIDS) auf der
einen, und network based intrusion detection systems (NIDS) auf der
anderen Seite gesehen. Ich hatte ja u.a. auch samhain als HIDS erwähnt.
Ob das allgemein in der IT so definiert ist weiß ich nicht, aber es
würde zumindest die Sprachwahl im tripwire-Artikel erklären. Ich kenne
mich da wahrscheinlich auch weniger aus als Du, und bin, abgesehen von
Ausnahmen, womöglich weniger paranoid ;-).
> > http://de.wikipedia.org/wiki/MD5
>
> Die Sicherheit von MD5 als Hash-Funktion zum verschlüsseln von
> irgendwas steht außer Frage. Die Tools das zu knacken gibt es schon
> seit einigen Jahren. Aber für die Integritätsprüfung ist ein MD5
> Hasch allemal sicher genug.
>[...]
> Das stimmt so leider nicht ganz, wie vor allem der Preimage-Angriff
> zeigt. Aber es *dauert*!
So war das Wikipedia Zitat über die Sicherheit der MD5 hashes auch zu
lesen, insbesondere, wenn es um Datei-Prüfsummen geht, und z.B. nicht
um Signaturen oder Passwörter, sollte die Sicherheit der md5-Hashes zu
Integritätsprüfung mehr als ausreichend sein.
> > Hattest Du es nicht als einzige Möglichkeit gesehen, im Falle eines
> > Einbruchs darauf aufmerksam zu werden?
> > [...]
> > Irgendwie scheint es mir, dass Du Dich hier widersprichst?
>
> Wenn ich's genau bedenke, hast Du sogar Recht ja. Aber Intrusion
> Detection hat nach meiner Ansicht nichts mit System Hardening zu tun.
>[...]
Das Hardening war eher auf die Paranoia gemünzt, aber Du scheinst
Lösungen wie SELinux nicht abgeneigt zu sein...
> > Oder ist das der ganz alltägliche Verfolgungswahn eines Admins? ;-)
> Natürlich! :D
;-)
>[...]
> Gruß Uwe
ciao
Gerhard