Dieser Abschnitt beschreibt die Analyse der gesammelten Daten, vor allem über das Walleye-Interface. Fehler, Korrekturen, etc. können auf dem Bugzilla Server gemeldet werden.

Letzte Änderung: 26.5.2005

6. Datenanalyse

1. Überblick
2. Flows
3. Details
4. Sebek

6.1 Überblick
Genau genommen besteht der ganze Sinn und Zweck eines Honeynet im Sammeln von Daten. Diese Daten haben aber keinen Wert, wenn man sie nicht analysieren kann. Das Fehlen einer solchen Analyse war eine der größten Schwächen der vorigen Honeywall Eeyore, es gab keinen einfachen Weg, diese wichtigen Informationen zu sichten. Wir hoffen, dieses Problem mit der neuen Weboberfläche Walleye gelöst zu haben.

Anmerkung: alle Bilder, auf die in dieser Anleitung verlinkt wird, können sich jederzeit radikal ändern. Das optische Erscheinungsbild wird immer noch weiterentwickelt (wir versuchen, es einfacher und imtuitiver bedienbar zu machen). Rechnen sie damit, das neue Möglichkeiten hinzukommen und Verbesserungen vorgenommen werden.

6.2 Flows
Der Zugriff auf die Oberfläche zur Datenanalyse erfolgt genauso wie der Zugriff auf die Administrationsoberfläche (Kapitel 5.4). Geben sie in die Adresszeile ihres Browsers (wir testen zur Zeit mit Firefox und IE [Anmerkung des Übers.: es funktioniert auch mit Opera 8 sowie Netscape 7]) folgendes ein

https://ip-adresse-des-mgmt-interface/walleye.pl

Sie werden aufgefordert, sich anzumelden. Wenn sie sich zum ersten Mal anmelden, lautet er Benutzername roo und das Passwort honey. Nach erfolgreicher Anmeldung werden sie aufgefordert, das Passwort zu ändern. Wenn sie sich schon einmal angemeldet hatten, müssen sie den Benutzernamen und das neue Passwort verwen- den. Nach erfolgreicher Anmeldung werden sie zur Datenanalyse geleitet.

Auf dieser Seite werden ihnen die die Daten ihres Honeywallsensors angezeigt. Momentan basiert die Identifikation des Sensors auf der Management IP-Adresse der Honeywall. Bei einer Änderung der Adresse bekommen sie mehrere Sensoren angezeigt (es gibt keine Möglichkeit, alte zu löschen). Für die Zukunft ist geplant, das Walleye mehrere Honeynets unterstützt, zur Zeit wird jedoch nur die lokale Honeywall unterstützt. Der Sinn der Zusammenfassung auf dieser Seite ist es, einen Überblick über die Aktivität der Honeywall zu geben, speziell über den Verkehr hinein und hinaus. Primär werden die Informationen verwendet, die argus über die Datenströme liefert. Alles was als bidirektional aufgeführt wird, wird definiert als Datenfluß, bei dem Daten in beide Richtungen gehen: vom Client zum Server und umgekehrt. Total schließt auch einseitigen Verkehr mit ein (z.B. eingehende Scans die von der Firewall geblockt werden.).

Alles was blau dargestellt wird, können sie anklicken um mehr Informationen zu erhalten. Wenn sie z.B. auf die Identifikationsnummer ihre Honeywall Sensors klicken, erhalten sie eine detaillierte Übersicht über alle Aktivitäten an diesem Sensor. Der Abschnitt "Details" stellt eine administrative Übersicht über die Honeywall und die "top talkers" der letzten 24 Stunden zusammen. Die administrative Übersicht zielt auf verteilte Umgebungen ab und liefert eine Beschreibung, wo sich die Honeywall geographisch und innerhalb der Organisation befindet. Der "top talkers" Report zeigt die 25 aktivsten Kommunikationsquellen und –ziele an. Wenn sie auf den Abschnitt "Verbindungen" klicken, werden ihnen die Datenflüsse für diese Verbindung angezeigt, klicken Sie auf "ids Ereignisse" werden ihnen die Datenflüsse, die zu den Ereignissen gehörten, angezeigt. Klicken sie auf die IP-Adresse des Hosts, wird ihnen eine Seite mit einer Zusammenfassung der Informationen zu diesem Host angezeigt.

Der Abschnitt "Flows" ist der, wo sie ins Detail gehen können. Hier bekommen sie eine Übersicht über alle ein- und ausgehenden Verbindungen und die dazugehörigen Aktivitäten. Oben auf dem Bildschirm ist eine Möglichkeit, Abfragen zu formulieren. Links gibt es die Möglichkeit, verschiedene Tage und Uhrzeiten zu analysieren. Der Abschnitt "Filter" hilft ihnen, ihre Analyse zu verfeinern, indem uninteressante Daten ausgeblendet werden. Sie können sich beispielsweise nur bi-direktionale TCP-Verbindungen anzeigen lassen, die vom Honeynet initiiert wurden. Wenn sie detaillierte Informationen möchten, oder die Datenflüssen in der Reihenfolge angezeigt bekom- men möchten, in der sie passieren, klicken sie auf Details und geben sie ihre Anfrage ein.

6.3 Details
Hier kommen sie zum Abschnitt "Details", wo Verbindung detailliert in der Reihenfolge ihres Auftretens angezeigt werden. Alarme, die snort ausgelöst hat, werden ebenfalls neben der dazugehörigen Verbindung angezeigt. Links neben jeder Verbindung steht ein kleines Diskettensymbol. Wenn sie darauf klicken, können sie die Daten die zu dieser Verbindung gehören im pcap-Format speichern. Alternativ können sie ihren Browser auch so konfigurieren, dass ihr bevorzugtes Tool (z.B. ethereal) zur Analyse der pcap-Daten gestartet wird.

6.4 Sebek
Die neue Weboberfläche Walleye bietet auch die Möglichkeit, mit Sebek gewonnene Daten einzulesen und zu analysieren. Allerdings funktioniert dies nur mit ab der aktuellen Sebek Version 3.x. Ältere Versionen werden wegen neu hinzugekommener Fähigkeiten von Sebek nicht unterstützt.