Netzwerk-Sicherheit

Bothunter: Bot-Suche mit kostenloser VM-Appliance

Bothunter-Sensoren einrichten und Scan durchführen

Nach dem Start der VM müssen Sie zunächst einen „Sensor“ einrichten, der im Netzwerk nach Bot-Spuren sucht. Anschließend starten Sie den Scanvorgang, ähnlich zu einem Sniffervorgang mit einem Netzwerkscanner. Dazu gehen Sie folgendermaßen vor:

  1. Wenn Sie sich mit root und dem Kennwort metaflows angemeldet haben, wählen Sie mit 1den Start und die Konfiguration eines Sensors.

  2. Aus den Einrichtungsoptionen wählen Sie dann die Option 4 Stand-Alone Bothunter Only Sensor aus. Damit können Sie auch ohne Anmeldung vom Anbieter das Netzwerk nach Bots durchsuchen.

  3. Danach wählen Sie mit 2 die non-commercial-Option aus. Wenn Sie das Produkt auf Dauer im Netzwerk einsetzen wollen, könnten Sie mit der kostenpflichtigen Edition noch mehr Optionen steuern.

  4. Im Anschluss lädt die VM noch einige Daten aus dem Internet nach. Das kann einige Minuten dauern.

  5. Geben Sie nach den Downloads den Namen für den neuen Sensor ein, zum Beispiel den Vorschlag „metaflows“.

  6. Als Domänennamen verwenden Sie „localdomain“. Sie können hier natürlich auch Ihre interne Domäne verwenden.

  7. Im nächsten Schritt geben Sie den Namen der Netzwerkschnittstelle an, bei der Sie auf Anzeichen von Bots scannen wollen. In den meisten Fällen ist das „eth0“.

  8. Der nächste Schritt besteht darin, dass Sie das Subnetz festlegen, in dem Sie nach Bots scannen wollen. Dieses geben Sie in der Form 192.168.178.0/24 an. Sie können an dieser Stelle auch mehrere Subnetze angeben. Die Syntax dazu zeigt Bothunter an.

  9. Bestätigen Sie die Eingabe mit „Y“. Da die VM meistens die englische Tastatureinstellung verwendet, findet Sie das „Y“ auf der „Z“-Taste.

  10. Danach geben Sie einen Syslog-Server an, der die Daten verarbeiten kann. Diese Verwendung ist aber nur optional und kann auch leer gelassen werden, wenn Sie keinen Syslog-Server im Netzwerk einsetzen.

  11. Im letzten Schritt geben Sie auf Wunsch eine E-Mail-Adresse an, an die der Scanner Alarme senden kann. Das @-Zeichen finden Sie auf der englischen Tastatur über das gleichzeitige Drücken von „Umschalt-/Shift-Taste“ und „2“. Auch diese Eingabe ist nur optional und wird für den Scanvorgang benötigt.

  12. Danach beginnt der Sensor mit seinem Scanvorgang. Sie sehen im oberen Bereich die IP-Adresse der Weboberfläche, über die Sie ebenfalls Daten abrufen können. Die Ergebnisse sehen Sie auf der Webseite des Servers.

Über das Webinterface können Sie überprüfen, ob Bothunter Bots im Netzwerk aufgespürt hat
Über das Webinterface können Sie überprüfen, ob Bothunter Bots im Netzwerk aufgespürt hat

Klicken Sie auf den Link einer potentiellen Infektion, zeigt die Weboberfläche die IP-Adresse an sowie den gefundenen Angreifer.

Einstellungen zurücksetzen und neu eingeben

Die Einrichtung können Sie jederzeit neu vornehmen. Dazu wählen Sie einfach die Option 4 im Hauptmenü (Reset Sensor Configuration). Dabei werden alle Einstellungen gelöscht und Sie können die Konfiguration erneut vornehmen.

Fazit zu Bothunter


Bothunter und die VM von Metaflows können Sie unkompliziert ganze Netzwerke auf verdächtiges Verhalten überprüfen. Die meisten anderen Tools zum Scannen nach Bots müssen dagegen lokal auf dem Computer gestartet werden oder kosten viel Geld und Zeit bei der Einrichtung.

Auch wenn Administratoren keinen Verdacht auf Botbefall im Netzwerk haben, kann es durchaus Sinn machen, sich den Netzwerkverkehr auf verdächtige Aktivitäten anzusehen. Vor allem in kleinen Büros, Heimnetzwerken oder Niederlassungen lassen sich auf diesem Weg schnell Angreifer finden und eingrenzen. Wer das Produkt dauerhaft einsetzen will, kann sich erweiterte Lizenzen kaufen oder sogar VMs in den Amazon Web Services buchen. Diese stehen schon vorkonfiguriert zur Verfügung. Diese ganzen Möglichkeiten sind aber alle nur optional und zu Beginn nicht notwendig.

(PC-Welt/ad)