mapWOC logo

Inhalt

Vorheriges Thema

mapWOC-Handbuch

Nächstes Thema

mapWOC installieren

Diese Seite

Einführung

Dieses Handbuch beschreibt die Nutzung und technische Hintergründe von mapWOC Version 1.4.x.

Gefahren auf Webseiten

Webseiten werden zunehmend als Einfallstor für die Infektion der Rechner ihrer Besucher genutzt. Dabei haben die Betreiber ihren Webseiten nicht etwa selbst missbräuchliche Inhalte hinzugefügt. Vielmehr werden sie selbst zu Opfern von Angriffen, bei denen die Inhalte ihrer Seiten verfälscht wurden. Meist handelt es sich nur um ein kleines Iframe-Element, das in die Datenbank des Betreibers eingeschleust wurde und während der Generierung neuer Seiten dem Inhalt unbemerkt hinzugefügt wird.

Während der Darstellung solcher Seiten wird im Browser noch Inhalt von einem zweiten (i.d.R. nicht vertrauenswürdigen) Server nachgeladen. Dieser Inhalt ist dann böswillig und infiziert über Schwachstellen im Webbrowser den Rechner. Der vollständige Vorgang wird auch als Drive-By-Download bezeichnet.

Was ist mapWOC?

mapWOC dient zur automatisierten Überprüfung der Integrität von Webseiten und der Erkennung böswillig verfälschter Inhalte.

mapWOC steht für massive automated passive Web Observation Center:

  • massive: umfassende virtuelle und native Browsersysteme, verwendbar als Einzel- oder hoch skalierbare Cluster-Lösung (bis zu 1 Mio URLs pro Tag pro Knoten)
  • automated: automatisiertes Ansurfen von definierten eigenen URL-Listen, analysieren des Netzwerkverkehrs nach Schadsoftware
  • passive: Verweilen für definierte Zeit auf jeder URL (Warten auf Angriff)

mapWOC wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt.

Komponenten von mapWOC

mapWOC nutzt u.a. folgende Freie Software Komponenten:

  • Debian Squeeze als Hostsystem
  • KVM zur Virtualisierung
  • ClamAV zur Untersuchung der Schadsoftware

Funktionsweise von mapWOC

_images/functionality-de.png

mapWOC im Cluster-Betrieb

mapWOC kann in einem Rechnerverbund (Cluster) betrieben werden, d.h. mapWOC kann auf mehr als einem Rechner laufen. Die Motivation für das Bilden eines Clusters ist die gesteigerte Performanz, also der Besuch und die Analyse von mehr URLs pro Zeit.

Ein Cluster besteht aus genau einem Master und beliebig vielen Knoten.

Der Master hält die Resultat-Datenbank und die Benutzeroberfläche; über letztere ist eine Interaktion mit den Knoten möglich.

Ein Knoten steuert die gewünschten Honey-Clients, analysiert den aufgezeichneten Netzwerkverkehr und überprüft gefundene Dateien auf Viren. Die Ergebnisse werden durch den Master über eine gesicherte Verbindung abgeholt und auf dem Knoten entfernt. Ein Knoten bietet keine Benutzeroberfläche an.

Es kann mehrere Knoten in einem Cluster geben, die allerdings alle eine eigene Verbindung zum Master benötigen. D.h. es können keine Knoten “hintereinander” verkettet werden. Der Master ist allen Knoten übergeordnet.

Auf einem physikalischen Rechner kann neben einem Master ebenfalls auch ein Knoten arbeiten. Eine typische Cluster-Konfiguration für mapWOC ist z.B.:

  • Rechner 1: Master, Redirector + Knoten A
  • Rechner 2: Knoten B
  • Rechner 3: Knoten C
  • ...