Thematischer Schwerpunkt dieser Ausgabe ist die kontinuierliche Überwachung von Servern, Clients und anderen Geräten im Netzwerk: mit dem IPMI-Plugin, dem ... (mehr)

Der Aufbau eines Plugin

Jedes Korrelations-Plugin enthält eine Datei namens »setup.py« , die für die Installation des Plugin verantwortlich ist. Listing 1 zeigt den Inhalt der Datei. Um ein eigenes Plugin zu erstellen, braucht der Admin lediglich die Namen »PortscanGeoinfoPlugin« und »portscangeoinfoplugin« anzupassen, optional korrigiert er auch die Felder »description« , »author« und »version« . Im Beispiel liegt der Code des Plugin im Ordner »portscangeoinfoplugin« . Hier akzeptiert das Skript auch Platzhalter: Wer in das Setupskript die Zeile

Listing 1

setup.py

01 From setuptools import setup, find_packages
02 setup(
03 name='PortscanGeoinfoPlugin',
04 version='1.0',
05 description="Geographical information for portscanning hosts",
06 author="David Rupprechter",
07 packages=find_packages(),
08 entry_points='''
09   [PreludeCorrelator.plugins]
10   PortscanGeoinfoPlugin = portscangeoinfoplugin:PortscanGeoinfoPlugin
11     '''
12 )
Pluginname = Directory:My_plugin

einfügt, verweist auf das Plugin »My_plug- in« im Verzeichnis »Directory« , »python setup.py build« und »python setup.py install« installieren es schließlich.

Jetzt sind noch folgende Zeilen in die Datei »/etc/prelude-correlator/prelude-correlator.conf« einzufügen, um das Plugin beim Start des Korrelators zu aktivieren:

[PortscanGeoinfoPlugin]
disable = False

Im so gewählten Plugin-Ordner liegen die Dateien »init.py« und »main.py« (Listing 2). Die Datei »init.py« enthält nur eine Zeile mit dem Namen des Plugin:

from main import PortscanGeoinfoPlugin

Das Plugin Portscangeoinfo zeigt die großen Möglichkeiten, die die Korrelator-Engine von Prelude bietet: Die Popen-Funktion bindet Konsolenprogramme und deren Ausgaben ein.

Volle Netzwerkkontrolle

Mit Hilfe der beschriebenen Kombination von NIDS und HIDS als Sensoren von Prelude lassen sich alle Informationen des Netzwerks, darunter auch die von Syslog-fähigen Endgeräten, über ein zentrales Webinterface analysieren. Egal ob Windows-Rechner, Cisc-Router oder der Linux-Server, alle Maschinen im Rechenzentrum lassen sich damit in die zentrale Überwachung integrieren.

Wer dann noch mit individuellen Plugins die Informationen gesammelt in übersichtlichen Korrelationsalarmen in Prewikka darstellen lässt, macht es jedem Angreifer schwer, lange unbemerkt zu bleiben.

Der Autor

David Rupprechter ist IT-Techniker beim führenden österreichischen Systemintegrator und befasst sich auf http://www.dotlike.net mit IT-Sicherheit, Netzwerktechnik, Programmierung und Linux.

comments powered by Disqus
Mehr zum Thema

Das SIEM Prelude

IT-Sicherheitssysteme bestehen klassischerweise aus mehreren Komponenten. Ein umfangreiches Security-Information- und -Event-Management-System darf dabei nicht fehlen. Die Open-Source-Software Prelude fällt in diese Kategorie. Dieser Artikel schaut sich die Funktionsweise des Systems an und hilft dabei, einen Einstieg zu finden.

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite