Der Aufbau eines Plugin

Jedes Korrelations-Plugin enthält eine Datei namens »setup.py« , die für die Installation des Plugin verantwortlich ist. Listing 1 zeigt den Inhalt der Datei. Um ein eigenes Plugin zu erstellen, braucht der Admin lediglich die Namen »PortscanGeoinfoPlugin« und »portscangeoinfoplugin« anzupassen, optional korrigiert er auch die Felder »description« , »author« und »version« . Im Beispiel liegt der Code des Plugin im Ordner »portscangeoinfoplugin« . Hier akzeptiert das Skript auch Platzhalter: Wer in das Setupskript die Zeile

Pluginname = Directory:My_plugin

einfügt, verweist auf das Plugin »My_plug- in« im Verzeichnis »Directory« , »python setup.py build« und »python setup.py install« installieren es schließlich.

Jetzt sind noch folgende Zeilen in die Datei »/etc/prelude-correlator/prelude-correlator.conf« einzufügen, um das Plugin beim Start des Korrelators zu aktivieren:

[PortscanGeoinfoPlugin]
disable = False

Im so gewählten Plugin-Ordner liegen die Dateien »init.py« und »main.py« ( Listing 2 ). Die Datei »init.py« enthält nur eine Zeile mit dem Namen des Plugin:

from main import PortscanGeoinfoPlugin

Das Plugin Portscangeoinfo zeigt die großen Möglichkeiten, die die Korrelator-Engine von Prelude bietet: Die Popen-Funktion bindet Konsolenprogramme und deren Ausgaben ein.

Volle Netzwerkkontrolle

Mit Hilfe der beschriebenen Kombination von NIDS und HIDS als Sensoren von Prelude lassen sich alle Informationen des Netzwerks, darunter auch die von Syslog-fähigen Endgeräten, über ein zentrales Webinterface analysieren. Egal ob Windows-Rechner, Cisc-Router oder der Linux-Server, alle Maschinen im Rechenzentrum lassen sich damit in die zentrale Überwachung integrieren.

Wer dann noch mit individuellen Plugins die Informationen gesammelt in übersichtlichen Korrelationsalarmen in Prewikka darstellen lässt, macht es jedem Angreifer schwer, lange unbemerkt zu bleiben.