NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Weitere Sensoren

Wie schon erwähnt, unterstützt Prelude noch eine ganze Reihe weiterer Sensoren. Einer der interessantesten, um Prelude als Netzwerkwerk basiertes IDS einsetzen zu können, ist sicherlich Snort. Snort identifiziert als Netzwerk-Sniffer verdächtige Pakete anhand von Signaturen, welche sich etwa von der Snort-Webseite herunterladen lassen, allerdings erst 30 Tage nach ihrem erstem Erscheinen. Für aktuelle Signaturen ist ein kostenpflichtiges Abo fällig. Das Installieren, sowie die grundlegende Funktionsweise von Snort dürfte wenige Admins vor Probleme stellen.

Die Vorgehensweise beim Registrieren des Sensors ist ähnlich wie bei Prelude-LML. Snort lässt sich ebenfalls mit einer MySQL-Datenbank als Backend betreiben. Freundlicherweise enthält das Snort-Paket eine passende Schema-Datei in »/usr/share/doc/snortxxx/create mysql« , mit der die zugehörige Datenbank im Nu erstellt und die benötigten Tabellen angelegt sind. Die für den praktischen Einsatz maßgeblichen Variablen setzt der Admin in der zugehörigen Snort-Konfigurationsdatei »/etc/snort/snort.conf« , etwa das Netzwerk-Interface, welches Snort zur Überwachung des Netzwerkverkehrs nutzt, sowie den Pfad zum Ordner mit den Signaturen.

In den Paketquellen der meisten Distributionen finden sich noch weitere Sensoren für Prelude. Nützlich ist unter anderem der Notify-Sensor, zu installieren über das Paket »prelude-notify« . Prelude-Notify ist ein Gnome-Applet, das im Prelude-Manager eintreffende Nachrichten in einem Popup-Fenster anzeigt. Der Admin kann dann das Webfrontend aufrufen und in Ruhe nach der Ursache für die Meldung forschen. Zuvor muss er jedoch noch »prelude-notify« via »prelude-admin« als Sensor registrieren. Erst nach einer erfolgreichen Registrierung kann er das Applet aus dem Gnome-Menü tatsächlich starten.

Fazit

Wer bisher nur ein HIDS, wie etwa Tripwire oder ein NDIS wie Snort alleine genutzt hat, sollte unbedingt einen Blick auf ein kostenloses Hybrid-System wie Prelude werfen. Prelude ist ein über viele Jahre bewährtes, extrem leistungsfähiges und flexibles SIEM-System.

Der Einsatz als IDS deckt nur eine seiner zahlreichen Anwendungsmöglichkeiten ab. Dank der Vielzahl verfügbarer Sensoren und Agents verschwimmen die Grenzen zwischen Log-Analyzer und Netzwerk-basiertem (NIDS), beziehungsweise Host-basiertem (HIDS) Intrusion Detection- oder Event-Management-System. Mit der Übernahme des im letzten Jahr in Konkurs gegangenen Vorbesitzers Edenwall duch die CS Group scheint die Zukunft eines extrem leistungsfähigen Systems jetzt gesichert.

Doch wo viel Licht, ist auch Schatten. Die von uns im Beispiel installierte Community-Version versetzt den Admin zwar in die Lage, ein ausgewachsenes Enterprise-System kostenlos zu nutzen, teilt aber auch das Schicksal anderer Community-Ableger von Enterprise-Lösungen insofern, als der Weg zu einem praktisch einsetzbaren System lang ist.

Zwar lassen sich Installation und Basis-Konfiguration des Frameworks mit etwas Aufwand unter Zuhilfenahme der Informationen im gut gepflegten Wiki mit vertretbaren Aufwand bewältigen, das Installieren und Anpassen der für den eigenen Einsatzzweck passenden Sensoren, deren Konfiguration und das Auswerten der ermittelten Informationen erfordert aber viel Geduld. Das Python-Interface Prewikka ist zwar eine unverzichtbare Hilfe, optisch und funktional ist es aber sichtlich in die Jahre gekommen.

Wer Prewikka partout nicht mag, kann bei den meisten Distributionen problemlos die Vorgänger-Lösung PIWI ( Abbildung 5 ) installieren, die ebenfalls in allen gängigen Paketquellen enthalten ist. PIWI ist nun aber keineswegs ein Fortschritt, sonst wäre es ja nicht durch Prewikka abgelöst worden. @L:Eine Javascript- oder auch Ajax-Oberfläche wäre für die Zukunft sicherlich sehr wünschenswert.

Abbildung 5
comments powered by Disqus
Mehr zum Thema

Das SIEM Prelude

IT-Sicherheitssysteme bestehen klassischerweise aus mehreren Komponenten. Ein umfangreiches Security-Information- und -Event-Management-System darf dabei nicht fehlen. Die Open-Source-Software Prelude fällt in diese Kategorie. Dieser Artikel schaut sich die Funktionsweise des Systems an und hilft dabei, einen Einstieg zu finden.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023