Open Source im professionellen Einsatz

Test: Security Information Management mit Neusecure

Fischen in der Logflut

Konstantin Agouros

Von Betriebssystemen, Firewalls und Intrusion-Detection-Mechanismen prasseln riesige Mengen sicherheitsrelevanter Logeinträge auf den Admin ein. Das kommerzielle Neusecure unterstützt ihn dabei, aus dieser Flut wichtige Spuren herauszufischen und damit auch gut getarnte Angriffe aufzudecken.

Bei jeder Linux-Installation jenseits simpler Heimsysteme scheitert manuelle Logfile-Kontrolle an der Masse: Netzwerkadministratoren leiden nie unter Arbeitsmangel, sich mehrere Stunden täglich durch Logfiles zu wühlen ist unmöglich. Aus diesem Bedarf ist eine neue Disziplin entstanden, die sich auf Neudeutsch Security Information Management (SIM) nennt. Der Computer übernimmt dabei Aggregation (Abbildung 1), Korrelation und Analyse der Logdaten und alarmiert den Admin, wenn er etwas Ungewöhnliches bemerkt.

Neusecure
Version: Neusecure 3.0.0SP2. IBM plant, das Produkt nach der Integration in Tivoli umzutaufen in "IBM Tivoli Security Operation Manager (TSOM)". Softwaregattung: Security Information Management Funktionsweise: Web-basiert und Java-Client Event-Quellen: Der Hersteller nennt 140 Produkte in 16 Kategorien wie IDS, Firewall, VPN, Router/Switch, Vulnerability Assessment, Betriebssysteme, Netzwerkmanagement, Antivirus- und Identity-Management. Lizenz: Proprietär. Das Starterkit für 75 000 Euro enthält eine CMS und eine EAM. Lizenzen für Sensoren und weitere EAMs sind einzeln zu erwerben. Der Preis der Sensoren hängt von ihrem Typ ab: Security-Devices (etwa Firewalls oder IDS-Systeme), Server für Betriebssystemlogs oder Desktops für Betriebssystemlogs von Arbeitsplatz-PCs.

Neusecure

Version: Neusecure 3.0.0SP2. IBM plant, das Produkt nach der Integration in Tivoli umzutaufen in "IBM Tivoli Security Operation Manager (TSOM)".

Softwaregattung: Security Information Management

Funktionsweise: Web-basiert und Java-Client

Event-Quellen: Der Hersteller nennt 140 Produkte in 16 Kategorien wie IDS, Firewall, VPN, Router/Switch, Vulnerability Assessment, Betriebssysteme, Netzwerkmanagement, Antivirus- und Identity-Management.

Lizenz: Proprietär. Das Starterkit für 75 000 Euro enthält eine CMS und eine EAM. Lizenzen für Sensoren und weitere EAMs sind einzeln zu erwerben. Der Preis der Sensoren hängt von ihrem Typ ab: Security-Devices (etwa Firewalls oder IDS-Systeme), Server für Betriebssystemlogs oder Desktops für Betriebssystemlogs von Arbeitsplatz-PCs.

IDS als SIM

Viele SIM-Lösungen basieren auf klassischen Intrusion-Detection-Systemen. Sie beschränken sich aber meist auf die eigenen IDS-Sensorendaten. Eine Zusammenfassung des Zoos auflaufender Rohdaten leisten nur wenige, etwa das im Folgenden vorgestellte Neusecure [1]. Dieses SIM-System gehört mittlerweile zu IBMs Tivoli-Familie. Ursprünglich entwickelte Guarded Net (eine Firma aus Atlanta) das Programm. Im Jahr 2005 erwarb Micromuse die Software und später schluckte IBM Micromuse mitsamt Neusecure. Das System ist derzeit in Version 3.0.0SP2 für Solaris 9 und Red Hat Enterprise Linux 3 verfügbar.

Komponenten

Die Logdaten stammen aus unterschiedlichen Quellen. Unix-Systeme benutzen für fast alles Syslog oder Syslog-NG. Firewalls der Firma Checkpoint haben ein eigenes, offen gelegtes Protokoll, um die Logdaten binär abzugreifen. Intrusion-Detection-Systeme schreiben zum Teil in SQL-Datenbanken. Windows-Systeme legen ihre Logs im eigenen proprietären Event-Format ab und geben sie über Microsoft-RPC-Aufrufe wieder preis. Andere Applikationen schreiben lokale Textdateien oder erzeugen pro Event ein File.

Die erste Aufgabe lautet somit: Alle Events einsammeln und so weit wie möglich normalisieren, damit eine einheitliche Tabelle entsteht. Die kann der Admin selbst durchsuchen, sie dient aber primär als Datenbasis für die Korrelation. Um das Einsammeln kümmert sich das so genannte Event Aggregation Module (EAM, Abbildung 1), mit seinen Anschlussmöglichkeiten für Checkpoint, Syslog, E-Mail, SNMP, etwas ältere Cisco-IDS-Systeme sowie einer Java-basierten XML-Schnittstelle. Diese Unterprogramme heißen Conduits.

Abbildung 1: Am Anfang steht die Aggregation. Das Event Aggregation Module von Neusecure sammelt Ereignisse (Logdaten) aus vielen Quellen und speichert sie einheitlich formatiert in der zentralen Datenbank. Auf dieser Basis gelingen die nachfolgenden Schritte Korrelation und Analyse.

Das Checkpoint-Conduit verbindet sich per LEA-Protokoll (Logfile Export Architecture) an einen Checkpoint-Management-Server und zieht dort die Logfiles ab. Für das Syslog-Conduit senden die Maschinen ihre Syslog-Meldungen direkt an den Rechner, auf dem das Conduit läuft. Es liest die Daten dann aus einer Logdatei. Leider lässt sich nur eine einzelne Datei angeben, daher sollte die Syslog-Konfiguration des Conduit-Rechners alle Events in einer gemeinsamen Datei ablegen. Beim E-Mail- und SNMP-Conduit wartet das System, auf dem das EAM läuft, ebenfalls auf Neueingänge.