Log Meldungen des Intrusion Detection Systems (IDS)
Bei der Interpretation aller IDS-Meldungen ist eine gewisse Erfahrung im Bereich von IP und Protokollen wie PoP3, SMTP, etc. sehr nützlich. Anhand der Warnmeldung lässt sich meistens auf die Art des „Angriffes“ deuten. Wobei ein vermeintlicher „Angriff“ auch nur eine „Infomeldung“ mit geringem Informationsgehalt sein kann.
Es ist weiterhin zu beachten, dass die FW keine verschlüsselten Verbindungen (SSL, VPN ) durchsuchen kann. Warnmeldungen die auf Exploits/ Buffer Overflows in Systemen (IIS) deuten die gar nicht installiert sind, können komplett ignoriert werden.
Beispiel:
IDS Engine [6774]: [1:1631:8]
- - Gibt die ID der ausgelösten Regel an.
CHAT AIM login [Classification: Potential Corporate Privacy Violation]
- - Zeigt den Text der ausgelösten Regel.
[Priority: 1]: {TCP} 10.10.10.6:50772 -> XX.12.200.89:443
- - Die Priorität reicht von 1-4, wobei 1 der höchste Wert ist.
Info:
- Ein Instant Messanger versucht sich am Server zu authentifizieren.
Meldung:
IDS Engine [6774]: [1:402:7] ICMP Destination Unreachable Port Unreachable [Classification: Misc activity] [Priority: 3]: {ICMP} 62.226.204.112 -> 84.134.51.57
Info:
- Der Zielport am Server ist nicht erreichbar.
Meldung:
IDS Engine [6774]: [1:1632:6]CHAT AIM send message [Classification: Potential Corporate PrivacyViolation] [Priority: 1]: {TCP} 10.10.10.6:50773 -> xxx.xxx.7.202:443
Info:
- Eine Meldung wurde über einen Messenger geschickt.
Meldung:
IDS Engine [2554]: [1:1794:1] PORN masturbation [Classification: SCORE! Get the lotion!] [Priority:1]: {TCP} xxx.187.97.85:80 -> xxx.134.51.57:50398
Info:
- Pornografisches Material wurde von einer Webseite abgerufen.
Meldung:
IDS Engine [2554]: [122:19:0] portscan) UDP Portsweep {PROTO255} xxx.xxx.51.57 -> xxx.xxx.204.112
Info:
- Mehrere Clients versuchen auf ein Ziel einen Port zu scannen. Kann auch durch Broadcasts ausgelöst werden.
Meldung:
IDS Engine [6774]: [1:1365:5]WEB-ATTACKS rm command attempt [Classification: Web Application Attack] [Priority: 1]: {TCP} xxx.xxx.51.57:47770 -> xxx.xxx.139.70:80
Info:
- In einem http-command ist der String rm% aufgetaucht, dies könnte potenziell verwendet werden, um auf einem Linux-PC Daten zu löschen.
Meldung:
IDS Engine [6774]: [1:469:3]ICMP PING NMAP [Classification: Attempted Information Leak] [Priority:]: {ICMP} xxx.xxx.57.5 -> xxx.xxx.51.57
Info:
- Eventuell ein Portscan auf ein definiertes Ziel.
Meldung:
IDS Engine [1061]: [1:100000241:2] COMMUNITY BOT Internal IRC server detected [Classification: Potential Corporate Privacy Violation] [Priority: 1]: {TCP} xxx.xxx.190.12:6667 -> 192.168.1.80:1080
Info:
- Im Netzwerk könnte sich ein IRC-Server oder aber ein IRC-Bot befinden, der Schaden im Netzwerk anrichtet!
Meldung:
IDS Engine [3654]: [1:721:8] VIRUS OUTBOUND bad file attachment [Classification: A suspicious filename was detected] [Priority: 2]: {TCP} xxx.xxx.221.78:32788 -> 10.1.136.50:25
Info:
- Es wurde eine Datei übertragen, die auf einen bestimmten Präfix endet. Die Datei wurde jedoch nicht auf ein Virus untersucht.