Open Source im professionellen Einsatz
Linux-Magazin 01/2011
© AllzweckJack, Photocase.com

© AllzweckJack, Photocase.com

Plattformunabhängiges, korreliertes und erweiterbares IDS mit Prelude

Alarmzentrale

Das hybride Security-Information-Management-System (SIM) Prelude empfängt sowohl Host- als auch Netzwerk-basierte IDS-Meldungen und zeigt diese in einem übersichtlichen Webinterface an. Selbst komplexe, korrelierte Alarme von unterschiedlichen Endgeräten mit eigenen Plugins sind da kein Problem.

434

Im richtigen Moment reagieren können – das kann manchmal lebenswichtig sein. Systeme für Intrusion Detection und Prevention (IDS/IPS) helfen in modernen Rechenzentren den Administratoren dabei, Protokolldateien und Meldungen zahlreicher, meist unterschiedlicher Geräte und Betriebssysteme auszuwerten, Eindringlingen schnell auf die Schliche zu kommen und die richtigen Aktionen anzuleiern.

Host- und Netzwerk-basiert: Prelude

Prinzipiell zu unterscheiden sind dabei Host-basierte IDS (HIDS), die in der Regel nur Dateien auswerten und lokale Angriffe erkennen können, etwa Tripwire, sowie Netzwerk-basierte IDS (NIDS) wie Snort, die Spuren von Hackern auch im Netzwerktraffic suchen.

Prelude ( [1] , [2] ) als hybrides IDS vereint die Vorteile von HIDS und NIDS und bringt dabei zahlreiche Funktionen mit, zum Beispiel eine schicke Weboberfläche für die Administration und zahlreiche Agenten für Clients.

Die Entwickler haben Prelude in den letzten Jahren vorangetrieben, es ist ausgereift und bewährt sich in großen Szenarien. Mit seiner Plugin-Architektur und Features wie der Korrelator-Engine programmieren findige Admins auch eigene flexible Addons, die ihnen die tägliche Arbeit erleichtern.

Das Libprelude-API

Die Prelude-Bibliothek gestattet es darüber hinaus, vorhandene Programme an Prelude anzubinden: Die Libprelude stellt ein API für diverse Programmiersprachen, unter anderem C++, Python, Perl und Ruby, bereit [3] . Eine wichtige Hilfe ist dabei auch das von der Intrusion Detection Working Group (IDWG) entwickelte Intrusion Detection Message Exchange Format (IDMEF, [4] ). Es bietet ein standardisiertes Format für IDS-Meldungen, die mit Hilfe von Software wie den Tools des Libprelude-API in einer zentralen SQL-Datenbank landen.

Für den Admin entfällt so das Zusammentragen der Logeinträge des Netzwerks, weil die zahlreichen verfügbaren Prelude-Agenten ihre Daten über verschlüsselte SSL-Verbindungen zum zentralen Manager schicken. Der hinterlegt diese in Echtzeit in der Datenbank und stellt sie für Anfragen bereit. Heartbeats zu den Agenten informieren ihn dabei fortlaufend, ob deren Verbindung noch intakt ist. Bei Unterbrechungen halten die Agents nicht übertragene Einträge im Cache vor, um diese bei bestehender Verbindung nachzureichen.

Agenten gibt es unter anderem für folgenden Plattformen:

  • Für das Netzwerk-basierte IDS-System Snort ( [5] , [6] ).
  • Für das Host-basierte Open Source Security, Host-based Intrusion Detection System (Ossec, [7] ).
  • Für die Linux System Logs über Prelude-LML [8] .
  • Für die PAM-Authentifizierung.

Zudem kann das Security-Information-Management-System (SIM) alle Logs der üblichen Hardware-Appliances und Dienste analysieren, darunter diverse Cisco-Appliances, Exim, Microsoft SQL, Clam AV, Nessus, Apache, Tripwire, Netfilter, IPchains und IPfw.

Über Ossec kommen Features wie Rootkit-Erkennung, Windows-Registry-Überwachung und Datei-Integritätsüberprüfung ins Spiel. Das klappt dann weitgehend plattformunabhängig für Linux, Windows, VMware ESX, BSD, Solaris, AIX, HP-UX und Mac OS X. Remote-Syslog bindet Hardware-Appliances wie Cisco PIX/ASA, Juniper Netscreen und Sonic Wall Firewalls an.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Großer Auftakt

    Gängige Intrusion-Detection-Systeme beobachten nur den einzelnen Rechner (Host-IDS) oder nur das Netzwerk (NIDS). Zusammengenommen versprechen die Sensordaten aber bessere Informationen über Eindringlinge. Das Open-Source-IDS Prelude ist HIDS und NIDS zugleich.

comments powered by Disqus