Open Source im professionellen Einsatz
Linux-Magazin 12/2012
© tiero, 123RF.com

© tiero, 123RF.com

Der Security Infrastructure Monitor Alien Vault schützt lokale Netzwerke

Zugriff verwehrt

2003 als Security Infrastructure Monitor gestartet und jüngst in Version 4.0 freigegeben, ist OSSIM unter Open-Source-Werkzeugen fürs Security Information and Event Management (SIEM) eine beliebte Wahl. Vergleichsweise günstig, leisten sich aber sowohl die freie als auch die kommerzielle Version Schwächen.

537

Keineswegs im eigenen Tresor, wie sein Name mit "Vault" vermuten lässt, hinterlegte der Security-Spezialist Alien Vault [1] die 35 Millionen Risikokapital ([2], [3], [4]), die ihm zwischen 2010 und 2012 zuflossen. Vielmehr nutzte er das Geld nach eigener Aussage, um das freie Intrusion Detection System OSSIM [5] aggressiv voranzutreiben und parallel dazu unter dem Namen Alien Vault eine kommerzielle Variante der Software zu schaffen. Erfolge hat man dabei durchaus vorzuweisen: Einen großen Teil der Mittel erhielt die Firma, nachdem die Software Schadcode identifizieren konnte, der das US-amerikanische Verteidigungsministerium befallen hatte [6].

Vor wenigen Wochen erschien mit OSSIM 4.0 die neueste Version der auf Debian Squeeze basierenden Software. Dieser Artikel analysiert zunächst die Open-Source-Variante von Alien Vaults Software und vergleicht diese anschließend mit der kommerziellen Version.

Open Source: OSSIM

Die Installationsroutine beruht auf dem Debian-Installer und wie üblich sollte der Admin nach der Installation zunächst die nötigen Updates einspielen. Dies gelingt ihm sowohl auf der Kommandozeile mit »alienvault-update« als auch im übersichtlichen Web-Dashboard (Abbildung 1). Überhaupt findet der Admin alle Funktionen im GUI: Von der Netzwerkkonfiguration über die Benutzerverwaltung bis hin zu Backup und Restore, sogar die Kontrolle der Verfügbarkeit und Funktionsfähigkeit von OSSIM selbst kann er hier überwachen (Abbildung 2).

Abbildung 1: Die OSSIM-Weboberfläche meldet mögliche Updates.

Abbildung 2: OSSIM überwacht sich selbst, hier die System- und Netzwerkressourcen.

Das GUI integriert ebenfalls eine komfortable Suche in den Logfiles, sodass der Zugriff per SSH nur in Notfällen erforderlich ist. Sämtliche Komponenten darf der Administrator einzeln konfigurieren oder durch eigene Komponenten ersetzen, zum Beispiel den automatisch eingebauten Scanner Open VAS durch ein eigenes Nessus.

Speziell bei der Benutzerverwaltung haben die Programmierer von Alien Vault große Unternehmen und Netze berücksichtigt: Neben den üblichen Informationen wie Name, Login und Kennwort legt der Admin genau fest, welche Menüs der Benutzer anschließend sehen, verwenden oder welche Assets er analysieren darf. Als Asset bezeichnet OSSIM Hosts und Netzwerke, die der Admin vorher dem SIEM bekannt machen muss.

Aktive und passive Scans

Für die Assets benutzt OSSIM eine eigene Datenbank, wo sie der Admin entweder manuell einträgt oder einfach über einen Scan aufnehmen lässt, inklusive Betriebssystem und laufender Dienste (Abbildung 3). Solche Asset Discoveries lassen sich auch automatisch durchführen (Abbildung 4), jedoch ist ein Scan nicht in jedem Netzwerk möglich und Vorsicht geboten: Auch ein Nmap-Scan kann schlecht programmierte TCP/IP-Stacks, zum Beispiel in Embedded-Systemen wie Klimaanlagen, zum Absturz bringen. Bei aktiven Scans nutzt OSSIM auch die WMI-Schnittstelle [7], um Windows-Systeme auszulesen. Außerdem ist OCS NG (Open Computers and Software Inventory Next Generation, [8]) in OSSIM integriert und lässt sich wie sein Vorgänger OCS für regelmäßige Prüfungen nutzen.

Abbildung 3: Die Scans für die Asset Discovery lassen sich automatisieren.

Abbildung 4: OSSIM entdeckt Hosts und Dienste.

Mit PRADS [9] ist ein "Passive Realtime Asset Detection System" an Bord, das selbstständig den Netzwerkverkehr überwacht und so Hosts, Betriebssysteme und Dienste erkennt (Abbildung 5). PRADS aktualisiert die Daten in der Asset-Datenbank dynamisch, selbst wenn der Admin keine regelmäßigen Scans eingerichtet hat. Das garantiert OSSIM stets aktuelle Daten für die Analyse.

Abbildung 5: Über das passive PRADS hat OSSIM einen Host gefunden, auf dem Samba, HTTP und SSH-Server laufen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Alienvault holt Fyodor & Co. in den Beirat

    Alienvault, Anbieter von Security-Software, hat einen technischen Beirat gegründet und mit Fachleuten aus Forschung, Sicherheitsbranche und der Open-Source-Community besetzt.

  • Einführung

    Auch diesen Monat bekommen DELUG-Käufer wieder die doppelte Menge zum einfachen Preis. Auf zwei Seiten bringt die Silberscheibe exklusive Inhalte: Von der einen bootet Caine 3.0, von der anderen Ubuntu 12.04.1. Dazu gibt's API-Tools, eine virtuelle Maschine mit Owncloud und ein E-Book über Cross-Site-Scripting.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.