© Anton Prado PHOTO, Fotolia.com

Das weitgehend unbekannte Open-Source-Tool Ourmon überwacht das Netzwerk in exzellenter Weise. Sein Spezialgebiet ist jedoch das Erkennen von Anomalien, verursacht insbesondere durch Würmer und ähnlich missliebiges Software-Getier.

Der kompletten Leistungsumfang von Ourmon [1] erscheint beeindruckend umfangreich. Im Kern gebärdet sich das Tool als normaler Netzwerkmonitor in der Tradition üblicher SNMP-Rmon-Systeme. So informiert es den Admin, welche Protokolle die meisten Ressourcen verbrauchen oder wie hoch die Gesamtauslastung ist. Zeiten hoher Last sind so schnell identifiziert. Dabei gefällt, dass die webbasierte Ausgabe grafisch und vor allem (fast) in Echtzeit passiert.

Ähnlich wie bei L7 aus dem Quality-of-Service-Artikel verarbeitet das Tool vielerlei Protokolle und versucht Informationen im Layer 7 einzuholen, etwa welcher Host als FTP-Server fungiert. Die Scan-Engine kennt drei Arten von Filtern: Fest verdrahtete in C programmierte, benutzerprogrammierte in Form von BSD-Berkeley-Packet-Filtern (BPF) und Top-N-artige Filter, die sortierte Listen längerer Abläufe erzeugen. Zum Identifizieren eignen sich Perl Compatible Regular Expressions (PCRE).

Statistiken, wie hoch die Grundauslastung des Netzwerks ist, gehört noch zu Ourmons leichten Übungen, wie Abbildung 1 zeigt. Es sichtet die gesammelten Daten, um etwa den zeitlichen Verlauf und das Ausmaß eines Leistungsabfalls – beispielsweise infolge Wurmbefalls oder einer UDP-basierten Attacke -, RRDtool-artig darzustellen.

Abbildung 1: Ourmons Stärke sind aussagekräftige Statistiken. Hier zeigt das Tool Auslastungen basierend auf Paketgrößen für mehrere Tage auf.

Apropos Wurm: Viele Funktionen tangieren weite Teile der Sicherheit. Attacken von außen oder von innerhalb des lokalen Netzwerks vermag Ourmon festzustellen, auch automatische von Botnets oder Malware. Es kann zwar einen Wurm nicht namentlich identifizieren, erkennt aber dessen Eindringen ins System.

Schwarze Schafe schlachten

Zusätzlich unterstützt es IP- und DNS-Blacklists, also Verzeichnisse bekannter Schadensverursacher. Wenn es dem Admin Spaß macht, untersucht er damit Datenströme zu gefährlichen IP-Adressen genauer statt sofort zu blocken. So kann er IRC-Channels nach Anomalien sortieren.

Alles, was außerhalb gewöhnlicher Parameter arbeitet, spürt das Tool auf. Die Interpretation des Gesammelten bleibt allerdings weiterhin Aufgabe des Admins.

Ourmon arbeitet auf FreeBSD, Linux und Solaris, am besten harmoniert es nach Entwicklerangaben mit Ubuntu. Frontend und Backend dürfen auf unterschiedlichen Hosts liegen. Ersteres scannt die vorbeilaufenden Netzwerkpakete, die typischerweise ein Ethernet-Switch per Port-Mirroring liefert. Das Backend, auf dem ein Apache laufen muss, bereitet die Daten statistisch auf. Auch die Dokumentation lässt keine Wünsche offen.

Admins finden schnell Gefallen dran

Ourmon weiß Standard- wie auch exotische Protokolle erkennungsdienstlich zu behandeln. Seine besondere Spezialiät ist es, anormale Netzaktivitäten zu erkennen. Administratoren mit einem Faible für Sicherheit finden an dem vielseitigen Diagnosetool sicher schnell Gefallen. Aufgrund der hohen Informationsdichte bei der Darstellung eignet sich Ourmon auch für große Netze. (jk)