2048793

Bothunter: Bot-Suche mit kostenloser VM-Appliance

20.06.2015 | 09:19 Uhr |

Mit Bothunter können professionelle Anwender im Netzwerk nach Bot-verseuchten Rechnern suchen. Wir stellen diese kostenlose VM-Lösung vor.

Mit der in der Basisversion kostenlosen Software Bothunter können Unternehmen im Netzwerk auf Anzeichen nach Bot-verseuchten Rechnern suchen. Die Anwendung steht auch als kostenlose VMware-Appliance zur Verfügung. Diese können Administratoren entweder in vSphere oder in VMware Workstation/Player anbinden. Auch die Appliance steht kostenlos zur Verfügung und zwar unter http://www.metaflows.com/features/bothunter . Der virtuelle Computer basiert auf dem Linux-System CentOS.

In diesem Beitrag zeigen wir Ihnen, wie Sie mit dieser virtuellen Maschine (VM) schnell und kostenlos Ihr Netzwerk auf Bots untersuchen. Wenn Sie mit der kostenlosen Version zufrieden sind, haben Sie die Möglichkeit über die Internetseite des Herstellers weitere Sensoren zu erstellen und erweiterte Suchmöglichkeiten zu konfigurieren. Diese kostenpflichtigen Möglichkeiten sind aber nur optional.

In den erweiterten Optionen können Administratoren im Webkonto bei Metaflows auch zahlreiche Einstellungen bezüglich der Botsuche vornehmen
Vergrößern In den erweiterten Optionen können Administratoren im Webkonto bei Metaflows auch zahlreiche Einstellungen bezüglich der Botsuche vornehmen

Erste Schritte mit Bothunter

Bothunter durchsucht nicht einzelne Rechner im Netzwerk auf installierte Viren und Trojaner, sondern überprüft den Netzwerkverkehr auf verdächtige Aktivitäten. Sie müssen daher für Bothunter nichts installieren, sondern lediglich die Appliance in Ihre Virtualisierungs-Infrastruktur einbinden oder wahlweise in VMware Workstation/Player. Danach starten Sie die VM und melden sich mit dem Benutzer root und dem Kennwort metaflows an. Das Kennwort können Sie später im Menü anpassen. Wichtig ist natürlich, dass der virtuelle Rechner auch mit dem Netzwerk und dem Internet verbunden ist.

Nach der Anmeldung an der Bothunter-VM, können Sie die Appliance über ein Menü steuern
Vergrößern Nach der Anmeldung an der Bothunter-VM, können Sie die Appliance über ein Menü steuern

Mit der Auswahl von „1“ starten Sie den Sensor für das Durchsuchen des Netzwerkes. Im Anschluss können Sie über ein Menü auswählen auf welche Art Sie das Netzwerk durchsuchen wollen. Sie haben die Möglichkeit ein kostenpflichtiges Konto auf der Downloadseite zu verwenden oder Sie nutzen die kostenlose Möglichkeit das Netzwerk zu scannen. In den folgenden Schritten zeigen wir Ihnen, wie sie dafür vorgehen. Sie haben jederzeit die Möglichkeit die Einstellungen anzupassen und erweiterte Funktionen zu verwenden. Das alles ist aber optional.

Nach der Anmeldung bei Bothunter wählen Sie die Scanoptionen im Netzwerk aus
Vergrößern Nach der Anmeldung bei Bothunter wählen Sie die Scanoptionen im Netzwerk aus

Bothunter-Sensoren einrichten und Scan durchführen
 
Nach dem Start der VM müssen Sie zunächst einen „Sensor“ einrichten, der im Netzwerk nach Bot-Spuren sucht. Anschließend starten Sie den Scanvorgang, ähnlich zu einem Sniffervorgang mit einem Netzwerkscanner. Dazu gehen Sie folgendermaßen vor:
1. Wenn Sie sich mit root und dem Kennwort metaflows angemeldet haben, wählen Sie mit 1 den Start und die Konfiguration eines Sensors.
2. Aus den Einrichtungsoptionen wählen Sie dann die Option 4 Stand-Alone Bothunter Only Sensor aus. Damit können Sie auch ohne Anmeldung vom Anbieter das Netzwerk nach Bots durchsuchen.
3. Danach wählen Sie mit 2 die non-commercial-Option aus. Wenn Sie das Produkt auf Dauer im Netzwerk einsetzen wollen, könnten Sie mit der kostenpflichtigen Edition noch mehr Optionen steuern.
4. Im Anschluss lädt die VM noch einige Daten aus dem Internet nach. Das kann einige Minuten dauern.
5. Geben Sie nach den Downloads den Namen für den neuen Sensor ein, zum Beispiel den Vorschlag „metaflows“.
6. Als Domänennamen verwenden Sie „localdomain“. Sie können hier natürlich auch Ihre interne Domäne verwenden.
7. Im nächsten Schritt geben Sie den Namen der Netzwerkschnittstelle an, bei der Sie auf Anzeichen von Bots scannen wollen. In den meisten Fällen ist das „eth0“.
8. Der nächste Schritt besteht darin, dass Sie das Subnetz festlegen, in dem Sie nach Bots scannen wollen. Dieses geben Sie in der Form 192.168.178.0/24 an. Sie können an dieser Stelle auch mehrere Subnetze angeben. Die Syntax dazu zeigt Bothunter an.
9. Bestätigen Sie die Eingabe mit „Y“. Da die VM meistens die englische Tastatureinstellung verwendet, findet Sie das „Y“ auf der „Z“-Taste.
10. Danach geben Sie einen Syslog-Server an, der die Daten verarbeiten kann. Diese Verwendung ist aber nur optional und kann auch leer gelassen werden, wenn Sie keinen Syslog-Server im Netzwerk einsetzen.
11. Im letzten Schritt geben Sie auf Wunsch eine E-Mail-Adresse an, an die der Scanner Alarme senden kann. Das @-Zeichen finden Sie auf der englischen Tastatur über das gleichzeitige Drücken von „Umschalt-/Shift-Taste“ und „2“. Auch diese Eingabe ist nur optional und wird für den Scanvorgang benötigt.
12. Danach beginnt der Sensor mit seinem Scanvorgang. Sie sehen im oberen Bereich die IP-Adresse der Weboberfläche, über die Sie ebenfalls Daten abrufen können. Die Ergebnisse sehen Sie auf der Webseite des Servers.

Über das Webinterface können Sie überprüfen, ob Bothunter Bots im Netzwerk aufgespürt hat
Vergrößern Über das Webinterface können Sie überprüfen, ob Bothunter Bots im Netzwerk aufgespürt hat

Klicken Sie auf den Link einer potentiellen Infektion, zeigt die Weboberfläche die IP-Adresse an sowie den gefundenen Angreifer.

Einstellungen zurücksetzen und neu eingeben

Die Einrichtung können Sie jederzeit neu vornehmen. Dazu wählen Sie einfach die Option 4 im Hauptmenü ( Reset Sensor Configuration ). Dabei werden alle Einstellungen gelöscht und Sie können die Konfiguration erneut vornehmen.

Fazit zu Bothunter
Bothunter und die VM von Metaflows können Sie unkompliziert ganze Netzwerke auf verdächtiges Verhalten überprüfen. Die meisten anderen Tools zum Scannen nach Bots müssen dagegen lokal auf dem Computer gestartet werden oder kosten viel Geld und Zeit bei der Einrichtung.

Auch wenn Administratoren keinen Verdacht auf Botbefall im Netzwerk haben, kann es durchaus Sinn machen, sich den Netzwerkverkehr auf verdächtige Aktivitäten anzusehen. Vor allem in kleinen Büros, Heimnetzwerken oder Niederlassungen lassen sich auf diesem Weg schnell Angreifer finden und eingrenzen. Wer das Produkt dauerhaft einsetzen will, kann sich erweiterte Lizenzen kaufen oder sogar VMs in den Amazon Web Services buchen. Diese stehen schon vorkonfiguriert zur Verfügung. Diese ganzen Möglichkeiten sind aber alle nur optional und zu Beginn nicht notwendig.

Auch ohne Bothunter: So schützen Sie sich gegen Botnetze


 

Video: Die unglaublichsten Sicherheitslücken im Internet
0 Kommentare zu diesem Artikel
2048793