Der Security Infrastructure Monitor Alien Vault schützt

Kontrolle der Verfuumlgbarkeit und Funkti-onsfaumlhigkeit von OSSIM selbst kann er hier uumlberwachen (Abbildung 2) Das GUI integriert ebenfalls eine kom-fortable Suche in den Logfiles sodass der Zugriff per SSH nur in Notfaumlllen er-forderlich ist Saumlmtliche Komponenten darf der Administrator einzeln konfigu-rieren oder durch eigene Komponenten ersetzen zum Beispiel den automatisch eingebauten Scanner Open VAS durch ein eigenes NessusSpeziell bei der Benutzerverwaltung ha-ben die Programmierer von Alien Vault groszlige Unternehmen und Netze beruumlck-sichtigt Neben den uumlblichen Informatio-nen wie Name Login und Kennwort legt der Admin genau fest welche Menuumls der Benutzer anschlieszligend sehen verwen-den oder welche Assets er analysieren darf Als Asset bezeichnet OSSIM Hosts und Netzwerke die der Admin vorher dem SIEM bekannt machen muss

Aktive und passive Scans

Fuumlr die Assets benutzt OSSIM eine eigene Datenbank wo sie der Admin entwe-der manuell eintraumlgt oder einfach uumlber einen Scan aufnehmen laumlsst inklusive Betriebssystem und laufender Dienste (Abbildung 3) Solche Asset Discoveries lassen sich auch automatisch durchfuumlh-ren (Abbildung 4) jedoch ist ein Scan nicht in jedem Netzwerk moumlglich und Vorsicht geboten Auch ein Nmap-Scan kann schlecht programmierte TCP

Keineswegs im eigenen Tresor wie sein Name mit bdquoVaultldquo vermuten laumlsst hinter-legte der Security-Spezialist Alien Vault [1] die 35 Millionen Risikokapital ([2] [3] [4]) die ihm zwischen 2010 und 2012 zuflossen Vielmehr nutzte er das Geld nach eigener Aussage um das freie Intrusion Detection System OSSIM [5] aggressiv voranzutreiben und parallel dazu unter dem Namen Alien Vault eine kommerzielle Variante der Software zu schaffen Erfolge hat man dabei durchaus vorzuweisen Einen groszligen Teil der Mittel erhielt die Firma nachdem die Software Schadcode identifizieren konnte der das US-amerikanische Verteidigungsministe-rium befallen hatte [6]Vor wenigen Wochen erschien mit OSSIM 40 die neueste Version der auf Debian

Squeeze basierenden Software Dieser Artikel analysiert zunaumlchst die Open-Source-Variante von Alien Vaults Soft-ware und vergleicht diese anschlieszligend mit der kommerziellen Version

Open Source OSSIM

Die Installationsroutine beruht auf dem Debian-Installer und wie uumlblich sollte der Admin nach der Installation zunaumlchst die noumltigen Updates einspielen Dies gelingt ihm sowohl auf der Kommandozeile mit raquoalienvault-updatelaquo als auch im uumlber-sichtlichen Web-Dashboard (Abbildung

1) Uumlberhaupt findet der Admin alle Funk-tionen im GUI Von der Netzwerkkon-figuration uumlber die Benutzerverwaltung bis hin zu Backup und Restore sogar die

2003 als Security Infrastructure Monitor gestartet und juumlngst in Version 40 freigegeben ist OSSIM unter Open-Source-Werkzeugen fuumlrs Security Information and Event Management (SIEM) eine beliebte Wahl Vergleichs-weise guumlnstig leisten sich aber sowohl die freie als auch die kommerzielle Version Schwaumlchen Ralf Spenneberg

Der Security Infrastructure Monitor Alien Vault schuumltzt lokale Netzwerke

Zugriff verwehrt

Auf der Delug-DVD finden Sie ein ISO-Image mit dem sich OSSIM die freie Alien-Vault-Variante laut Hersteller in 30 Mi-nuten installieren laumlsst

DELUG-DVDDELUG-DVD

Sysa

dm

in

56

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2copy

tie

ro 1

23RF

com

IP-Stacks zum Beispiel in Embedded-Systemen wie Klimaanlagen zum Ab-sturz bringen Bei aktiven Scans nutzt OSSIM auch die WMI-Schnittstelle [7] um Windows-Systeme auszulesen Au-szligerdem ist OCS NG (Open Computers and Software Inventory Next Generation [8]) in OSSIM integriert und laumlsst sich wie sein Vorgaumlnger OCS fuumlr regelmaumlszligige Pruumlfungen nutzenMit PRADS [9] ist ein bdquoPassive Realtime Asset Detection Systemldquo an Bord das selbststaumlndig den Netzwerkverkehr uumlber-wacht und so Hosts Betriebssysteme und Dienste erkennt (Abbildung 5) PRADS aktualisiert die Daten in der Asset-Daten-bank dynamisch selbst wenn der Admin keine regelmaumlszligigen Scans eingerichtet hat Das garantiert OSSIM stets aktuelle Daten fuumlr die Analyse

Dienste mit Open VAS und Nagios uumlberwachen

Die erkannten Systeme scannt der Admin gleich mit Open VAS nach undichten Stel-len (Abbildung 6) Alle Open-VAS- oder Nessus-Funktionen stehen parat Nessus 5 unterstuumltzt OSSIM-Software zurzeit nicht Doch die Integration des Verwund-barkeitsscanners haben die Entwickler gut geloumlst Sobald er eine Schwachstelle erkennt generiert OSSIM automatisch ein Ticket Das kann der Admin an ein-zelne Benutzer delegieren mit Anhaumlngen versehen und darin die Reaktionen do-kumentieren Geschlossene Tickets zeigt OSSIM per Default nicht an sie lassen sich aber jederzeit uumlber Einstellungen des Suchfilters wieder aufrufenDie erkannten Dienste und Hosts kann der Admin durch ein ebenfalls in OSSIM

integriertes Nagios uumlberwachen schlicht uumlber ein entsprechendes Haumlkchen in der Konfiguration der Asset-Datenbank Ein-facher laumlsst sich das komplexe Monito-ring mit Nagios schwerlich loumlsen leider ist eine uumlber die einfache Host-Port-Ver-fuumlgbarkeitsuumlberwachung hinausgehende Konfiguration nicht vorgesehen

Nicht zu Ende gedacht

Die Asset-Datenbank der OSSIM-Software hat aber auch einige Luumlcken Trotz hohen Detailgrads landen offenbar weder die Ergebnisse des Nmap- noch des Open-VAS-Scans in der Datenbank sondern nur PRADS-Daten Dabei koumlnnen sowohl Nmap als auch Open VAS sehr interes-sante Informationen liefern die die pas-sive Erkennung weit uumlbertreffen speziell fuumlr die Analyse der spaumlteren Security In-cidents muumlsste sich das fuumlr den Admin als sehr hilfreich erweisen Auch Snort lieszlige sich besser konfigurie-ren ist es doch eine der Kernfunktionen von OSSIM Sinnvoll waumlre es beispiels-weise die Asset-Datenbank direkt fuumlr

die Konfiguration von Snort einzusetzen Das Schnuumlffelschwein bietet ja bereits die Host Attribute Table (siehe Kasten

bdquoHost Attribute Tableldquo) die das von jedem Host verwendete Betriebssystem und die angebotenen Dienste enthaumllt Leider nutzt OSSIM diese Funktion uumlber-haupt nichtDie wichtigste Funktionalitaumlt der OSSIM-Software bleibt jedoch das Auswerten und Analysieren der Security Incidents wobei sie fuumlr den Admin aumlhnliche Ereig-nisse zu einer einzigen uumlbersichtlichen Meldung aggregiert Auch die grafische Darstellung des Risikofaktors erleich-tert die Auswahl der zu bearbeitenden Meldungen die sich direkt in ein Ticket umwandeln und einem Benutzer fuumlr die Bearbeitung zuweisen lassenAls Quelle fuumlr die Meldungen dienen die genutzten IDS-Sensoren und Verwund-barkeitsscanner bei OSSIM also OSSEC und Snort Letzteres verwendet erfreuli-cherweise fuumlr die Sammlung der Pakete die vom Ntop-Projekt betreute Pfring-Bi-bliothek [10] die fuumlr sehr hohen Durch-satz optimiert ist

Unvollstaumlndig und unsicher

Uumlberraschenderweise startet OSSIM Snort mit Rootrechten was unter Linux ndash vor-sichtig ausgedruumlckt ndash seit Jahren nicht mehr zeitgemaumlszlig ist Wie alle anderen Netzwerkdienste bietet auch Snort die Moumlglichkeit nach dem Start die Root-privilegien abzugeben Durch einen Pro-gram mierfehler in Snort koumlnnte ein An-greifer OSSIM uumlbernehmenAuch benutzt die Software fuumlr die Ana-lyse der Security Incidents wieder die Asset-Datenbank und vernachlaumlssigt die

Abbildung 1 Die OSSIM-Weboberflaumlche meldet moumlgliche Updates

Abbildung 2 OSSIM uumlberwacht sich selbst hier die System- und Netzwerkressourcen

57

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

Vor allem bei den Korrelationsdirekti-ven draumlngt sich der Eindruck auf dass der Hersteller versucht die freie Version in ihren Funktionen zu beschneiden ndash allzu mager sind sie im Vergleich mit der kommerziellen Version geraten Natuumlr-lich koumlnnte jeder Anwender seine eige-nen Direktiven erzeugen jedoch ist dies ein sehr aufwaumlndiges Unterfangen das enormes Wissen verlangt Ein oumlffentli-ches Repository in dem freie Direktiven gespeichert und getauscht werden waumlre wuumlnschenswert

Enterprise Alien Vault

Besser macht das die kommerzielle Va-riante zu der ein Upgrade uumlber einen Evaluation-Key in drei simplen Schritten fuumlhrt Dafuumlr ruft der Admin an der Kom-mandozeile raquoalienvault-setuplaquo auf und waumlhlt dort im Menuuml die Option raquoSys-tem-Upgradelaquo und anschlieszligend raquoAlien Vault 4laquo Nach Eingabe des Schluumlssels verbindet sich das System mit dem ge-schlossenen Repository bei Alien Vault und bezieht hier zusaumltzliche Pakete und Signaturen Alien Vault selbst bietet ne-ben der reinen Software-basierten Ver-

sion auch Hardware-Appliances an Die bdquoAll-In-One Appliancesldquo vereinen sowohl den Sensor den Protokollanalysator und das SIEM und schlagen mit knapp 20 000 Euro zu Buche Dafuumlr gibtrsquos den Alien-Vault-Feed fuumlr die Direktiven und Regeln im ersten Jahr als Subskription jedes weitere Jahr kostet gut 3000 Euro

gefunden Verwundbar-keiten straumlflich Wuumln-schenswert waumlre es vielmehr wenn die Oberflaumlche bei einer Meldung dem Admin direkt mitteilen wuumlrde ob der betroffene Host uumlberhaupt uumlber den angegriffenen Dienst verfuumlgt und ob der angegriffene Host ver-wundbar ist Hierzu koumlnnte OSSIM das in der Asset-Datenbank gespeicherte Betriebssystem auswerten und die hier hinterlegten Ports mit den Ports des Angriffs vergleichen Das aber erfordert entsprechende In-formationen die leider bisher nicht in der Open Source Vulnerability Database (OSVDB [11]) enthalten sind OSSIM verwendet als einziges System diese Datenbank waumlhrend die Wettbewerber ihren Kunden eigene DBs zur Verfuumlgung stellen Erst die kommerzielle Variante von Alien Vault bringt diese Funktionen mit und zwar unter dem Namen Event Context (Abbildung 7)

Freie Version ndash absichtlich verkruumlppelt

Da der freien OSSIM-Variante auch die entsprechenden Korrelationsregeln feh-len entstehen aus den vom IDS gemelde-ten Ereignissen nur in den seltensten Faumll-len tatsaumlchliche Incidents Die Praumlzision der Erkennung haumlngt von den wenigen im freien Alien-Vault-Feed mitgelieferten Korrelations-Direktiven ab auch hier hat die kommerzielle Variante mehr zu bie-ten (Abbildungen 8 und 9)

Vor etwa zehn Jahren fanden Forscher her-aus dass unterschiedliche Betriebssysteme TCP IP-Pakete unterschiedlich defragmentie-ren und Verbindungen individuell typisch re-assemblieren Bei regulaumlren Daten fallen diese Unterschiede nicht auf ein Angreifer kann je-doch zum Beispiel Daten gezielt fragmentiert uumlbertragen Dabei dupliziert er ein Fragment und versieht es mit unkritischen Daten waumlh-rend das folgende Fragment seinen Angriffs-code enthaumllt Im fertigen defragmentierten Paket kann das Zielsystem lediglich eines der beiden Fragmente einbauen Manche Betriebssysteme nehmen nur

das erste und ignorieren spaumltere uumlberlappende Fragmente waumlhrend andere die spaumlter eintref-fenden nutzen um aumlltere Daten in dem fertigen Paket zu uumlberschreiben Kennt ein Angreifer das Verhalten des Target dann kann er wenn das IDS und das Zielsystem unterschiedliche Varianten nutzen durch gezielte Fragmentie-rung einen Angriff durchfuumlhren ohne dass das IDS ihn erkennt Um dies zu vermeiden muss der Admin Snort fuumlr jedes (Betriebs-)System passend konfigu-rieren Genau das ermoumlglicht die Host Attribute Table Mit dieser Tabelle lassen sich aber auch Dienste auf ungewoumlhnlichen Ports analysieren

Die Snort-Regeln uumlberwachen HTTP-Dienste normalerweise nur auf den klassischen HTTP-Ports wie 80 oder 8080 Webmin auf Port 10000 bleibt da unbeobachtet und zwar auch bei OSSIMWeiszlig jedoch der Admin dass auf einem be-stimmten Host auf Port 10000 ein HTTP-Ser-vice aktiv ist kann er die Host Attribute Table nutzen um nur fuumlr diesen Host und Port die HTTP-Regeln zu aktivieren Saumlmtliche Regeln die dann die Information raquometadataservice httplaquo tragen uumlberwachen den entsprechen-den Datenverkehr

Host Attribute Table

Abbildung 5 Uumlber das passive PRADS hat OSSIM

einen Host gefunden auf dem Samba HTTP und

SSH-Server laufen

Abbildung 4 OSSIM entdeckt Hosts und DiensteAbbildung 3 Die Scans fuumlr die Asset Discovery lassen sich automatisieren

Sysa

dm

in

58

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2

Fuumlr so viel Geld gibt es aber auch einigen Gegenwert Die Alien-Vault-Installationen (Appliance und Softwareversion) verfuuml-gen auch uumlber wesentlich umfangrei-chere Signaturen fuumlr Snort Als Partner von Emerging Threats [12] haumllt der Her-steller fuumlr seine kommerziellen Kunden den ET-Pro-Regelsatz [13] bereit Fuumlr die Sourcefire-VRT-Regeln reicht es dagegen noch nicht weil Alien Vault noch kein Snort-Integrator istEnttaumluschend ist dass die kommerzielle Variante die oben aufgefuumlhrten Kritik-punkte auch nicht besser bewaumlltigt als die freie Snort ist auch hier ein Root-prozess Dass das gefaumlhrlich ist haben Sicherheitsluumlcken in der Vergangenheit bereits gezeigt [14] Auch die Host-spe-zifische Konfiguration von Snort mit Hilfe

der Host-Attribute-Tables nutzt Alien Vault nicht Mit intelligenter manueller Fragmentierung oder Segmentierung des Angriffs gluumlckt also ein Angriff so dass Alien Vault ihn nicht erkennt obwohl es uumlber eine entsprechende Signatur ver-fuumlgt Auch Dienste auf ungewoumlhnlichen Ports (ein Webserver auf Port 10000) kann Alien Vault daher nicht schuumltzen

Unzureichende Asset-DB

Dafuumlr sollte das System nun die Asset-Datenbank besser nutzen um den Ana-lysten bei der Bearbeitung der Incidents zu unterstuumltzen Leider werden diese Da-ten aber nur unzureichend aufgearbeitet Der Event Context eines Incident der in der freien Version nicht verfuumlgbar ist

Abbildung 6 23 potenzielle Sicherheitsluumlcken hat OSSIMs Open VAS gefunden zwei davon stuft der Scanner

als kritisch ein Schade dass OSSIM nicht alle verfuumlgbaren Daten zur Analyse nutzt

Abbildung 7 Nur die kostenpflichtige Version kann uumlber den Event Context erkennen ob ein Angriffsversuch

erfolgversprechend waumlre ndash der freien Version fehlt dieses Feature

59

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

NETWAYSreg

wwwwnetwaysdeosdc

presented by

OPEN SOURCE DATA CENTER CONFERENCE

OSDCde

17 - 18 APRIL 2013 | N U R E M B E R G

NETWAYSreg

wwwwnetwaysdeosdc

presented by

201210 OSDC CFP + EB_DRUCKindd 1 111012 1607

bietet in der kommerziellen Variante nur geringe zusaumltzliche Funktionen (Abbil-

dung 10)Das uumlberrascht da die Asset-Datenbank doch weitreichende Informationen uumlber das System hat Sie kennt das Betriebs-system und den Wert des Zielsystems eines Angriffs Bei dem in Abbildung 11 gezeigten Ereignis handelt es sich um einen gezielten Angriff auf den SSH-Port des Zielsystems Statt im Kontext lediglich zu zeigen dass dieser Port auf dem Zielsystem geoumlff-net ist waumlre es hilfreich auch das dort lauschende Produkt anzuzeigen wenn diese Informationen wie hier in der As-set-Datenbank ohnehin vorliegen Aus der OSVDB koumlnnten auch direkt moumlg-liche bekannte Sicherheitsluumlcken dieser Software dazustoszligen Auszligerdem wurde dem Zielsystem eine Rolle zugewiesen die ebenfalls nicht angezeigt wird Auch dies koumlnnte dem Admin bei der Analyse durchaus helfenDaruumlber hinaus fehlen in der Anzeige ei-nige Schwachstellen auf dem Zielsystem die Alien Vault erkannt hat (Abbildung

12) Auch die waumlren fuumlr die Analyse hilf-reich wenn sie direkt im Event Context angezeigt wuumlrden

Open Threat Exchange

Eine unter Security-Experten in letzter Zeit sehr beliebte Idee ist es statistische Informationen uumlber Angriffe deren Her-kunft und Art automatisch und anonymi-

Analyse von Angriffen ungeeignet Snort protokolliert nur das eine Paket das die von Snort erkannte Signatur enthaumllt Alle Pakete die vorher oder nachher uumlber die Verbindung liefen lassen sich anschlie-szligend nicht mehr analysieren Fuumlr die Pro-tokollierung der spaumlter uumlbertragenen Pa-kete besitzt Snort zwar eine Funktion die meisten Regeln nutzen sie jedoch nicht

Aufwaumlndige Forensik

Fuumlr seine forensischen Analysen kann der Admin sowohl in der freien als auch in der kommerziellen Version die um-fangreiche Deep-See-Software von Solera Networks [16] anbinden die den gesam-ten Netzwerkverkehr aufzeichnet Erkennt nun Alien Vault einen Angriff uumlber das Netzwerk so kann der Forensi-ker direkt uumlber die Solera-Oberflaumlche auf die gesamte Netzwerkverbindung zugrei-fen und so den Angriff in seinem Kontext analysieren Dies benoumltigt allerdings er-hebliche Ressourcen fuumlr die Speicherung

siert auszutau-schen Ob Sen-derbase von

Iron Port und Cisco fuumlr die Spam-Be-kaumlmpfung oder der Open Threat Ex-change von Alien Vault die Idee ist dabei immer eine weltweite Korrelation der Bedrohungen zu schaffenHier versucht Alien Vault sich von den anderen Mitbewerber abzusetzen indem es diese Dienstleistung allen OSSIM- und Alien-Vault-Anwendern kostenlos zur Verfuumlgung stellt wenn sie selbst ihre In-stallationen als Sensoren veroumlffentlichen Alien Vault hat OTX im Februar 2012 erst-mals vorgestellt und nutzt die Daten in erster Linie zur Korrelation der als gefaumlhr-lich bekannten IP-Adressen Im August hat Alien Vault die ersten gewonnenen Erkenntnisse veroumlffentlicht [15] Diese Daten lassen sich dann in OSSIM oder Alien Vault als IP-Reputation angezeigen (Abbildung 13)Snort selbst und alle hierauf aufbauen-den Produkte sind fuumlr die forensische

Abbildung 8 Das freie OSSIM kann nur

wenige Ereignisse korrelieren und als

Incident aufbereiten

Abbildung 9 Alien Vault liefert in

seinem Feed uumlber 1400 Regeln fuumlr das

automatische Erzeugen von Incidents

Abbildung 10 Zwar kommt die kommerzielle Version mit Event Context

uumlberzeugen kann der aber nicht

Abbildung 11 Auch Alien Vault nutzt nicht alle verfuumlgbaren Informationen aus seiner Asset-Datenbank

Sysa

dm

in

60

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2

der Daten daher bieten die wenigsten Systeme dies direkt an

Ein gelungenes GUI viele Schwaumlchen ndash aber guumlnstig

OSSIM bietet eine ansprechende Web-oberflaumlche fuumlr die Analyse und Bearbei-tung von Sicherheitsereignissen Dem SIEM-Anspruch wird die freie Software nicht gerecht da ihr die fuumlr die Korrela-tion der Daten wichtigen Direktiven feh-len und so automatisch kaum Incidents erzeugt werden Die Software birgt ledig-lich eine gefaumlllige und benutzerfreundli-che grafische Oberflaumlche fuumlr den Zugriff auf viele verschiedene Informationen wie Security Events erkannte Verwund-

barkeiten und die Asset-Datenbank Die Korrelation muss jedoch der Anwender selbst vornehmen was ihn in vielen Faumll-len uumlberfordern duumlrfte Die kommerzielle Variante bringt durch die bessere Unterstuumltzung mit Korrelati-onsdirektiven einen einfacheren Zugang zu den Daten nutzt jedoch ebenfalls nicht saumlmtliche Quellen um dem Admin diese Daten konzentriert zu praumlsentie-ren Fuumlr die Analyse muss der Anwen-der sich diese daher selbst zeitraubend zusammenklicken Die Konkurrenz be-herrscht dieses Feature sehr wohl ver-langt jedoch meist auch deutlich mehr Geld Das Alien-Vault-SIEM stellt trotz seiner Einschraumlnkungen eine preiswerte Variante dar (mfe) n

Infos

[1] Alien Vault [http www alienvault com]

[2] Erste Foumlrderrunde fuumlr Alien Vault [http

www businesswire com portal site home

permalink ndmViewId=news_viewamp

newsId=20100616005412amp newsLang=en]

[3] Weitere 8 Millionen [http techcrunch

com 2012 01 31 on-the-heels-of-nabbing-

7-hp-execs-cyber-security-startup

- alienvault-raises-8-million]

[4] Dank HP 22 Millionen fuumlr Alien Vault

[http in finance yahoo com news

alienvault-closes-22-4-million

-100000393 html]

[5] OSSIM [http communities alienvault

com community]

[6] Alien Vault spuumlrt chinesische Malware

im US-Verteidigungsministerium auf

[http venturebeat com 2012 01 31

alienvault-funding]

[7] Windows Management Instrumentation

[http msdn microsoft com en-us

library windows desktop aa394582(v=

vs 85) aspx]

[8] OCSNG [http www ocsinventory-ng org ]

[9] PRADS

[http gamelinux github com prads]

[10] Ralf Spenneberg bdquoAufgepasstldquo

Linux-Magazin 02 12 S 70

[11] The Open Source Vulnerability Database

[httpwwwosvdb org]

[12] Emerging Threats

[http www emergingthreats net]

[13] Emerging Threats PRO

[http www emergingthreatspro com]

[14] Snort-Sicherheitsluumlcken [http www us

-cert gov cas techalerts TA05-291A html]

[15] 2300 Beitraumlge aus 77 Laumlndern [http

www alienvault com 2012 08 the-2nd

-united-nations-the-world-comes-together

-to-open-source-security-infographic]

[16] Deep See von Solera Networks

[http www soleranetworks com

products deepsee]

Abbildung 12 Obwohl Alien Vault weitere Schwachstellen erkannt hat zeigt es diese dem Admin nicht an

Abbildung 13 Alien Vault nutzt statistische Daten der OSSIM- und Alien-Vault-Installationen um die Reputa-

tionen von IP-Adressen zu bewerten

Der Autor

Ralf Spenneberg arbeitet

als freier Unix Linux-Trai-

ner Berater und Autor Mit

seinem Unternehmen Open-

Source Training Ralf Spen-

neberg fuumlhrt er Schulungen

und Beratungen durch Vor wenigen Wochen

erschien sein neues Buch bdquoKVM fuumlr die Server-

Virtualisierungldquo das er gemeinsam mit Michael

Kofler verfasst hat

61

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

IP-Stacks zum Beispiel in Embedded-Systemen wie Klimaanlagen zum Ab-sturz bringen Bei aktiven Scans nutzt OSSIM auch die WMI-Schnittstelle [7] um Windows-Systeme auszulesen Au-szligerdem ist OCS NG (Open Computers and Software Inventory Next Generation [8]) in OSSIM integriert und laumlsst sich wie sein Vorgaumlnger OCS fuumlr regelmaumlszligige Pruumlfungen nutzenMit PRADS [9] ist ein bdquoPassive Realtime Asset Detection Systemldquo an Bord das selbststaumlndig den Netzwerkverkehr uumlber-wacht und so Hosts Betriebssysteme und Dienste erkennt (Abbildung 5) PRADS aktualisiert die Daten in der Asset-Daten-bank dynamisch selbst wenn der Admin keine regelmaumlszligigen Scans eingerichtet hat Das garantiert OSSIM stets aktuelle Daten fuumlr die Analyse

Dienste mit Open VAS und Nagios uumlberwachen

Die erkannten Systeme scannt der Admin gleich mit Open VAS nach undichten Stel-len (Abbildung 6) Alle Open-VAS- oder Nessus-Funktionen stehen parat Nessus 5 unterstuumltzt OSSIM-Software zurzeit nicht Doch die Integration des Verwund-barkeitsscanners haben die Entwickler gut geloumlst Sobald er eine Schwachstelle erkennt generiert OSSIM automatisch ein Ticket Das kann der Admin an ein-zelne Benutzer delegieren mit Anhaumlngen versehen und darin die Reaktionen do-kumentieren Geschlossene Tickets zeigt OSSIM per Default nicht an sie lassen sich aber jederzeit uumlber Einstellungen des Suchfilters wieder aufrufenDie erkannten Dienste und Hosts kann der Admin durch ein ebenfalls in OSSIM

integriertes Nagios uumlberwachen schlicht uumlber ein entsprechendes Haumlkchen in der Konfiguration der Asset-Datenbank Ein-facher laumlsst sich das komplexe Monito-ring mit Nagios schwerlich loumlsen leider ist eine uumlber die einfache Host-Port-Ver-fuumlgbarkeitsuumlberwachung hinausgehende Konfiguration nicht vorgesehen

Nicht zu Ende gedacht

Die Asset-Datenbank der OSSIM-Software hat aber auch einige Luumlcken Trotz hohen Detailgrads landen offenbar weder die Ergebnisse des Nmap- noch des Open-VAS-Scans in der Datenbank sondern nur PRADS-Daten Dabei koumlnnen sowohl Nmap als auch Open VAS sehr interes-sante Informationen liefern die die pas-sive Erkennung weit uumlbertreffen speziell fuumlr die Analyse der spaumlteren Security In-cidents muumlsste sich das fuumlr den Admin als sehr hilfreich erweisen Auch Snort lieszlige sich besser konfigurie-ren ist es doch eine der Kernfunktionen von OSSIM Sinnvoll waumlre es beispiels-weise die Asset-Datenbank direkt fuumlr

die Konfiguration von Snort einzusetzen Das Schnuumlffelschwein bietet ja bereits die Host Attribute Table (siehe Kasten

bdquoHost Attribute Tableldquo) die das von jedem Host verwendete Betriebssystem und die angebotenen Dienste enthaumllt Leider nutzt OSSIM diese Funktion uumlber-haupt nichtDie wichtigste Funktionalitaumlt der OSSIM-Software bleibt jedoch das Auswerten und Analysieren der Security Incidents wobei sie fuumlr den Admin aumlhnliche Ereig-nisse zu einer einzigen uumlbersichtlichen Meldung aggregiert Auch die grafische Darstellung des Risikofaktors erleich-tert die Auswahl der zu bearbeitenden Meldungen die sich direkt in ein Ticket umwandeln und einem Benutzer fuumlr die Bearbeitung zuweisen lassenAls Quelle fuumlr die Meldungen dienen die genutzten IDS-Sensoren und Verwund-barkeitsscanner bei OSSIM also OSSEC und Snort Letzteres verwendet erfreuli-cherweise fuumlr die Sammlung der Pakete die vom Ntop-Projekt betreute Pfring-Bi-bliothek [10] die fuumlr sehr hohen Durch-satz optimiert ist

Unvollstaumlndig und unsicher

Uumlberraschenderweise startet OSSIM Snort mit Rootrechten was unter Linux ndash vor-sichtig ausgedruumlckt ndash seit Jahren nicht mehr zeitgemaumlszlig ist Wie alle anderen Netzwerkdienste bietet auch Snort die Moumlglichkeit nach dem Start die Root-privilegien abzugeben Durch einen Pro-gram mierfehler in Snort koumlnnte ein An-greifer OSSIM uumlbernehmenAuch benutzt die Software fuumlr die Ana-lyse der Security Incidents wieder die Asset-Datenbank und vernachlaumlssigt die

Abbildung 1 Die OSSIM-Weboberflaumlche meldet moumlgliche Updates

Abbildung 2 OSSIM uumlberwacht sich selbst hier die System- und Netzwerkressourcen

57

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2














SSH-Server laufen


Sysa

dm

in

58

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2









59

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

NETWAYSreg

wwwwnetwaysdeosdc

presented by


OSDCde

17 - 18 APRIL 2013 | N U R E M B E R G

NETWAYSreg

wwwwnetwaysdeosdc

presented by





















Sysa

dm

in

60

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2





Infos













-100000393 html]


com community]




alienvault-funding]




vs 85) aspx]


[9] PRADS





[httpwwwosvdb org]













products deepsee]




Der Autor










Kofler verfasst hat

61

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2














SSH-Server laufen


Sysa

dm

in

58

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2









59

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

NETWAYSreg

wwwwnetwaysdeosdc

presented by


OSDCde

17 - 18 APRIL 2013 | N U R E M B E R G

NETWAYSreg

wwwwnetwaysdeosdc

presented by





















Sysa

dm

in

60

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2





Infos













-100000393 html]


com community]




alienvault-funding]




vs 85) aspx]


[9] PRADS





[httpwwwosvdb org]













products deepsee]




Der Autor










Kofler verfasst hat

61

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2









59

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

NETWAYSreg

wwwwnetwaysdeosdc

presented by


OSDCde

17 - 18 APRIL 2013 | N U R E M B E R G

NETWAYSreg

wwwwnetwaysdeosdc

presented by





















Sysa

dm

in

60

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2





Infos













-100000393 html]


com community]




alienvault-funding]




vs 85) aspx]


[9] PRADS





[httpwwwosvdb org]













products deepsee]




Der Autor










Kofler verfasst hat

61

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2




















Sysa

dm

in

60

ww

wlin

ux-m

agaz

ind

eO

SS

IM A

lien

Vau

lt12

201

2





Infos













-100000393 html]


com community]




alienvault-funding]




vs 85) aspx]


[9] PRADS





[httpwwwosvdb org]













products deepsee]




Der Autor










Kofler verfasst hat

61

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2





Infos













-100000393 html]


com community]




alienvault-funding]




vs 85) aspx]


[9] PRADS





[httpwwwosvdb org]













products deepsee]




Der Autor










Kofler verfasst hat

61

ww

wlin

ux-m

agaz

ind

e

Sysa

dm

inO

SS

IM A

lien

Vau

lt12

201

2

Documents

Der Security Infrastructure Monitor Alien Vault schützt