:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tool-Tipp: OSSEC 2.9.1 Intrusion Detection mit Open Source
OSSEC ist ein Host Intrusion Detection System (HIDS) auf Basis von Open Source. Die Lösung ist für Systeme genauso geeignet, wie für Umgebungen, in denen auf Windows oder macOS X gesetzt wird. Das Open-Source-Tool arbeitet auch mit der Sicherheits-Linux-Distribution Kali zusammen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
OSSEC steht auch als virtuelle Appliance (OVA) zur Verfügung, mit der Administratoren eine virtuelle Appliance in vSphere, aber auch VMware Workstation einbinden können. Um Systeme in heterogenen Netzwerken zu überwachen, also Netzwerke in denen zahlreiche verschiedene Betriebssysteme zum Einsatz kommen, stellt OSSEC eine ideale Lösung dar.
Auch eine Installation in Kali-Linux ist möglich. Die Sicherheits-Linux-Distribution steht als Live-DVD zur Verfügung, kann aber auch installiert werden. Sie enthält zahlreiche Sicherheitstools und kann auch schnell und einfach mit weiteren Tools erweitert werden. Wir stellen OSSEC hier in der Version 2.9.1 vor.
:quality(80)/images.vogel.de/vogelonline/bdb/1315600/1315683/original.jpg "Windows-Rechner lassen sich mit einem Agenten anbinden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1315600/1315684/original.jpg "Der Agent für OSSEC erfordert nach der Installation eine Anbindung an den OSSEC-Server oder die -Appliance.")
:quality(80)/images.vogel.de/vogelonline/bdb/1315600/1315685/original.jpg "OSSEC lässt sich auch in Kali-Linux installieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1315600/1315686/original.jpg "OSSEC bietet eine eigene Weboberfläche zur Verwaltung.")
Wie man mit OSSEC Angriffe auf ein System erkennen kann, zeigen wir im Tool-Tipp-Video und in der kleinen Bildergalerie zu diesem Artikel.
Systeme mit OSSEC 2.9 überwachen
OSSEC wird zunächst als Server betrieben. Der OSSEC-Manager analysiert die mit ihm verbundenen Systeme, speichert Logs, Konfigurationen, Regeln und die zentralen Datenbanken. Um die Sicherheit zu verbessern kann auf Servern und Devices im Netzwerk auch ein Agent installiert werden, der regelmäßig Daten zur Analyse an den OSSEC-Server sendet. Agenten stehen auch für Windows und Linux zur Verfügung. Neben der Installationsvariante auf einem Linux-Server und der Einbindung als virtuelle Appliance, kann OSSEC auch in Docker-Container betrieben werden. Zur Verwaltung steht die Konsole zur Verfügung, aber auch eine Weboberfläche, die gesondert installiert werden muss.
OSSEC kann auch Agentenlos arbeiten. Es müssen also nicht alle Server per Agent angebunden werden. Vor allem auf Windows-Servern ist die Anbindung über Agenten aber effizienter, weil sich dadurch auch das Betriebssystem und die Registry überwachen lassen. Auch die lokalen Protokolldateien von Servern können angebunden werden. Sobald der Agent installiert ist, kann der entsprechende Rechner an OSSEC angebunden werden.
Grundlagen zur Einrichtung von OSSEC
OSSEC ist keine Umgebung, die schnell eingerichtet ist, sondern erfordert einiges an Einarbeitung für Installation du Betrieb. Die Entwickler stellen Anleitungen zur Verfügung, die bei der Einrichtung und dem Betrieb helfen.
Das Webinterface für OSSEC muss gesondert vom eigentlichen Serverdienst eingerichtet werden. Danach kann man OSSEC auch über die Weboberfläche verwalten. Auf Linux-Servern können die Installationsdateien am einfachsten mit „Wget“ heruntergeladen und mit „Tar“ extrahiert werden. Mit „./install.sh“ steht ein Skript für die Installation zur Verfügung.
Wie man mit OSSEC Angriffe auf ein System erkennen kann, zeigen wir im Tool-Tipp-Video und in der kleinen Bildergalerie zu diesem Artikel.
OSSEC installieren
Im ersten Schritt sollte aber sichergestellt werden, dass auf dem Linux-System alle notwendigen Tools für die Bereitstellung von OSSEC vorhanden sind. Dazu wird der folgende Befehl verwenden:
apt-get install build-essentialReichen die Rechte des Benutzers nicht an, muss der Befehl mit „sudo“ gestartet werden.
Der Link zum Downloaden der aktuellsten Version kann am einfachsten über den Browser in die Zwischenablage kopiert und dann in der Konsole eingefügt werden. Mit „wget <Link zur Datei>“ erfolgt anschließend der Download.
Anschließend wird das Archiv mit tar xvfz <Name der Datei> extrahiert. Anschließend wird mit „cd“ in das Verzeichnis gewechselt, in dem sich die Installationsdateien befinden.
Die Installation wird mit „./install.sh“ gestartet. Zunächst wird im Fenster die Sprache der Installation ausgewählt. Anschließend startet das Installationsskript, das durch die Einrichtung führt.
Zur lokalen Installation wird die Installationsvariante „lokal“ eingegeben. Im Rahmen der Einrichtung kann auch die E-Mail-Benachrichtigung konfiguriert die Anbindung an den SMTP-Server vorgenommen werden. Danach werden die verschiedenen Dienste ausgewählt, mit der OSSEC das Netzwerk schützen kann.
Wenn der Vorgang abgeschlossen ist, steht OSSEC generell zur Verfügung. Die Kompilierung dauert eine Weile. Anschließend ist OSSEC verfügbar. Die genaue Konfiguration erfolgt über die Systemdateien. Hier sollten die Hilfe-Dokus der Umgebung verwendet werden.
OSSEC als Appliance nutzen
Wer die Einrichtung nicht über Linux vornehmen will, kann OSSEC auch als Appliance herunterladen. Das ist für Testzwecke ideal, aber auch für Umgebungen in denen mit VMware vSphere virtualisiert wird. Administratoren, die sich mit OSSEC auseinandersetzen wollen, können die Appliance auch als OVA-Datei in VMware Workstation oder den Player einbinden, aber auch mit Virtualbox. Die Anmeldung an der Oberfläche erfolgt mit dem Benutzernamen „user“ oder „root“. Das Kennwort ist „_0ssec_“. Auf der englischen Tastatur finden Sie den Unterstrich („_“) über Umschalt+Fragezeichen.
Nachdem die Appliance installiert ist, steht die Web-Oberfläche von OSSEC über die folgende URL zur Verfügung:
<IP-Adress>/ossec-wui/index.php Zur Anmeldung wird auch hier der Benutzer „user“ und das Kennwort „„_0ssec_“ verwendet.
OSSEC nutzen
Sobald OSSEC installiert und eingerichtet ist, oder die Appliance im Netzwerk integriert wurde, kann das System zur Analyse der Sicherheit genutzt werden. Am einfachsten ist die Verwaltung über die Web-Oberfläche. Hier stehen auf der Hauptseite die wichtigsten Infos zur Verfügung. Über den Menüpunkt „Search“ kann nach aktuellen Alarmen gesucht werden.
Wie man mit OSSEC Angriffe auf ein System erkennen kann, zeigen wir im Tool-Tipp-Video und in der kleinen Bildergalerie zu diesem Artikel.
(ID:44994140)
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")