Intrusion Detection mit Prelude

Feuermelder

Nachdem Edenwall Technologies, Hersteller des Security-Information-Management-Systems Prelude im letzten Jahr Konkurs anmeldete, war nicht klar, wie es weitergeht. Nun scheint die Zukunft gesichert. Wir stellen Architektur und Konzept der SIEM-Lösung vor.
NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Das früher schlicht als IDS-System bezeichnete Prelude [1] gibt es außer in der kommerziellen Version Prelude Pro auch in einer Open-Source-Variante, die aktuell in den Paketquellen nahezu aller wichtigen Distributionen enthalten ist. Die Download-Seite [2] sollte optional die Sourcen zur Verfügung stellen, befand sich aber zum Zeitpunkt des Tests in Überarbeitung.

Die CS-Group, neuer Besitzer von Prelude ist ein Anbieter von IT-Dienstleistungen in Frankreich und Deutschland. Prelude firmiert heute selbstbewusst als SIEM-Lösung (Security-Information-Management-System). Als solches sammelt sie sämtliche sicherheitsrelevanten Ereignisdaten im Netzwerk ein. Neben der Analyse sowie der grafischen Aufbereitung leitet ein SIEM gegebenenfalls auch Abwehrmaßnahmen ein. Genau genommen sind moderne SIEM-Systeme eine Kombination aus Security-Information- und Event-Management-Systemen. Prelude vereint den Großteil der zugehörigen Funktionen unter einer gemeinsamen Oberfläche.

Der Wald vor lauter Bäumen

SIEM-Systeme sind zwar ein wichtiger Bestandteil einer modernen Sicherheits-Infrastruktur, stellen den Admin aber vor das Problem, dass es oft schwierig ist, zwischen False-Positive-Meldungen und tatsächlichen Einbruchsversuchen zu unterscheiden. Das Problem trifft allerdings bei allen Sicherheitslösungen bis zum einfachen Virenscanner zu. False Positives treten zum Beispiel auf, wenn die Sicherheitslösung unzureichend getestet wurde, sodass angebliche Viren-Signaturen auf harmlose Programme zutreffen. Nicht immer ist die Sicherheitslösung schuld. Eine nicht sauber programmierte Anwendung, die sich nicht an RFCs hält, kann ein Fehlansprechen der SIEM-Signaturen verursachen.

Ein weiteres Problem mit komplexen SIEM-Lösungen besteht darin, die Vielzahl analysierter Logs so aufzubereiten, dass der Admin überhaupt eine Chance hat, diese systematisch nach Anzeichen für Problemfälle zu durchsuchen.

Prelude-Architektur

Prelude versucht, die skizzierten Probleme durch seine modulare Architektur in den Griff zu bekommen, in deren Zentrum der Prelude Manager samt zugrunde liegendem Framework (»libprelude« , »libpreludedb« ) steht. Er sammelt Ereignisdaten von den angeschlossenen Sensoren beziehungsweise Agenten ein und speichert sie in einer MySQL-Datenbank, von wo aus sie das Webinterface Prewikka auslesen und aufbereiten kann. Die einzelnen Sensoren sowie der Prelude Correlator sind das eigentliche Herzstück der Lösung und ermöglichen es, Log-Meldungen aus unterschiedlichsten Quellen miteinander in Beziehung zu setzen (zu korrelieren). Dabei spielt das von der IETF beschriebene Intrusion Detection Message Exchange Format (IDMEF) eine zentrale Rolle, das Prelude in die Lage versetzt, die Meldungen unterschiedlicher Sensoren in ein einheitliches Format zu bringen und in einer MySQL-Datenbank abzulegen. Prelude selbst liefert etwa den Sensor Prelude LML, einen Logfile-Monitor mit vordefiniertem Regelsatz mit.

Prelude unterstützt aber noch eine große Zahl weiterer Sensoren, deren Outputs es normiert und ins einheitliche IDMEF-Format bringt. Neben Snort und Linux-PAM stehen als Sensoren außerdem der Linux Audit Daemon »auditd« , das Versatile Tool »nepenthes« , der File Itegrity Checker »samhain« oder NuFW, eine Identity Access-Management-Lösung (Firewall) aus der Edenwall-Konkursmasse, zur Verfügung. Alle sind in den Paketquellen von Ubuntu 11.x und Debian 6.x enthalten. Außerdem steht das Host-basierte IDS OSSEC von Trend Micro [4] zur Wahl. Läuft der Prelude Manager auf einem Remote Server, sorgt der in Python realisierte regelbasierte Prelude Correlator dafür, Alerts von einem Remote Prelude-Manager-Server abzuholen und mit den auf dem lokalen System eingehenden Meldungen in Beziehung zu setzen. Das Webinterface Prewikka holt die normierten Meldungen aus der MySQL-Datenbank und bereitet sie visuell auf. Abbildung 1 verdeutlicht die architektonischen Zusammenhänge.

Abbildung 1: Die Architektur des Prelude-Systems.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

CloudForms & ManageIQ

ManageIQ verspricht Admins die effiziente Verwaltung von virtuellen Umgebungen. Als Bestandteil von CloudForms vermarktet Red Hat ManageIQ auch kommerziell. Ein Überblick über die Möglichkeiten, die die Software bietet. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Welche Art von Containern haben Sie im praktischen Einsatz?

  • LXC
  • LXD
  • Docker
  • Rocket
  • (Noch) keine
  • Container sind überbewertet

Google+

Ausgabe /2016

Microsite