Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

Delta-Reporting

Die zentrale Komponente von Dr. Portscan ist die Delta-Reporting-Instanz. Die Überprüfung, ob neue Scanergebnisse bearbeitet werden müssen, übernimmt das Skript »input-watcher.pl« . Zunächst werden die Dateien zeitlich sortiert, anschließend der entsprechende Input-Agent gesucht, die eingelesenen Daten durch diesen in ein einheitliches Datenformat konvertiert und an den Delta-Reporter zur Weiterverarbeitung geschickt. Wird diese Vorverarbeitung ohne Fehler abgeschlossen, wird die Datei in das Verzeichnis »old« verschoben, ansonsten in »failed« . Um eine regelmäßige Ausführung des Input-Watcher-Skripts zu gewährleisten, ist es zweckmäßig, das einem Cronjob zu übertragen.

Der Delta-Reporter vergleicht nun die aktuellen Ergebnisse mit denen der letzten Scans und trägt die Ergebnisse in die Datenbank ein. Die Output-Agenten bereiten diese für die weitere Verwendung geeignet auf. Ein erster Schritt in der typischen Anwendung ist der Output-Agent »xml-out.pl« , der die ermittelten Änderungen wiederum als XML-Dokument ausgibt. Dieses kann durch das Skript »xml2plaintex.pl« in eine textbasierte Version umgewandelt werden, die zum Beispiel per E-Mail verschickt wird. Alternativ dazu lässt sich das XML-Dokument etwa nach HTML konvertieren, um die Ergebnisse per Browser einsehen zu können.

Die Zukunft von Dr. Portscan

Dr. Portscan wird aktiv weiterentwickelt und soll in der nächsten Version insbesondere um ein mandantenfähiges Konfigurations- und Reportingtool erweitert werden. So sollen Administratoren, die nur für einige Teile des gesamten Netzes zuständig sind, den Scan-Umfang und die gewünschten Eckdaten der erstellten Reports über ein Webfrontend selber frei konfigurieren können. Zudem soll das Reporting für IPv4-/IPv6-Dual-Stack-Umgebungen verbessert werden, um beispielsweise zueinander inkonsistente IPv4- und IPv6-Firewall-Regeln identifizieren zu können. Ebenso ist ein Output-Agent zur Meldung der Portscan-Ergebnisse an bekannte Security Information und Event-Management-Systeme wie zum Beispiel AlienVault OSSIM in der Planung.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Workshop: Eigene Skripte für Nmap entwickeln

Wer möglichen Angriffen auf die eigene Infrastruktur zuvorkommen will, sollte sein Netzwerk typischen Hacker-Attacken aussetzen und die Umgebung kontinuierlich mit Sicherheitsscannern und Penetrationstests unter die Lupe nehmen. Bei Standardaufgaben leisten Nmap & Co. hervorragende Arbeit. Für spezifische Sicherheitsanalysen sollten Sie Ihre eigenen Testskripte entwickeln. Das ist mit der Nmap Scripting Engine möglich. In diesem Workshop bereiten wir den Weg zur Entwicklung eigener Nmap-Skripte.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022