Open-AudIT

What's on your network?
It is currently Mon Feb 19, 2018 5:46 am

All times are UTC + 10 hours




Forum locked This topic is locked, you cannot edit posts or make further replies.  [ 1 post ] 
Author Message
PostPosted: Tue Apr 15, 2008 10:36 pm 
Offline
Moderator
User avatar

Joined: Tue Jan 25, 2005 3:09 am
Posts: 2140
Location: Scotland
Open audit bilanziert sie Hardware und Software auf deinem Pc und schreibt sie auf die MySQL database. Von dort wird diese sauber lesbare Data via AUF EINE php Webpage gesetzt.

Bei Windows Pc’s liegt ein script "audit.vbs" welches daten von Microsoft’s Windows Mangement Interface (WMI) liest und seine Ergebnisse auf den Server legt.

Statt MyODBX connector auf allen Pc’s zu installieren, sammeln wir einfach die Daten durch das audit.vbs script und schreiben es direkt in den Webserver in der Form eines POST auf eine Webpage.

Deshalb müssen wir die audit.config File so konfigurieren, dass sie die Einstellungen unseres Webservers haben und auch die Methode, die wir wählten um die Seite zu posten.

Wir machen dies, indem wir die audit.config ändern, entweder von Hand oder mit Hilfe des Menüs (Admin>Audit Config) ** (Dieses Menü ist in den vorhandenen Versionen noch nicht erhältlich ist aber in Arbeit und erscheint in der Version (AJH 16jan07) )

Beachte auch, dass die Standarte (defaults) für die meisten eingaben im audit.config.defaults gelagert sind.

Die Haupt-Konfigurationen und deren Eigenschaften sind so gelistet:


- Code: Select all
audit_location = "r"

("l" Lokal oder "r" Remote kommt draufan, ob du auf der maschine arbeitest, die geauditet wird "l", oder von einer anderen Maschine aus "r" remote. )



- Code: Select all
verbose = "y"

(wenn "y" kannst du die Resultate des audits beim arbeiten sehen. Falls "n" macht er es im stillen, wenn du cscript audit.vbs laufen hast, dann ist es besser, es auf Verbose = "y" laufen zu lassen, ausser du hast ein riesiges Netzwerk zur verfügung. )


- Code: Select all
online = "yesxml"

(dies kann entweder "yesxml" oder "ie" sein, und sucuht sich aus, ob man es via Internet explorer oder direkt mit XMLPOST sendet. Ich würde yesxml nehmen, weil es nicht jedesmal Zeit verliert durch das öffnen eines IE. Yesxml arbeitet für mich mit 80 maschinen oder mehr in ca 10 Minuten, je nachdem was die Maschinen nebenbei noch tun. )


- Code: Select all
strComputer = ""

( setze das auf "." Um nur die lokale machine auf audit zu stellen, für alles andere gilt "" )


- Code: Select all
ie_visible = "n"

(macht nur sinn, wenn online (= "ie") und zeigt dir den Browser bei der arbeit)


- Code: Select all
ie_auto_submit = "y"

( Dito, aber es wählt zwischen automatischer Ausgabe oder User input. I würde "y" benützen)


-Code: Select all
ie_submit_verbose = "n"

( Macht was es aussagt. Zeigt die IE Seite mit allen Informationen wie es gesammelt wird.)


- Code: Select all
ie_form_page = "http://myoaserver.local/openaudit/admin_pc_add_1.php"

Das ist leider nicht zu klar, da es so ziemlich alles bedeuten kann. Die einfachste Weise ist, dies zu gebrauchen:
http://127.0.0.1/openaudit/admin_pc_add_1.php

Das wird dem Script erlauben, in die selbe Box zu schreiben, wie die OA web server, die laufen.

Dann können wir eine IP Adresse wie diese hier benützen: http://192.168.0.4/openaudit/admin_pc_add_1.php

Das erlaubt uns, die Resultate von einer maschine - nicht dem Webserver - UND dem Webserver zu posten.



Und schlussendlich kann das noch sein:
http://myopenauditbox.mydomain.myou/ope ... _add_1.php

Das erlaubt uns, von irgendwoher zu posten, so lange wie unser DNS Server myopenauditbox.mydomain.myou zur richtigen IP Adresse und keine Firewall blockiert, ausführen kann.

(in kurz, das ist die seite, wo IE hinsendet, es kann eine IP oder ein maschinenname gefolgt mit dem Foldernamen worin htmlroot auf dem webserver, wo OA läuft.)


- Code: Select all
non_ie_page = "http://myoaserver.local/openaudit/admin_pc_add_2.php"

( die Seite, wo yesxml hinschreibt, und die Seite, die IE als nächstes aufruft, so muss es richtig eingetragen sein, siehe vorherige Beschreibung)


- Code: Select all
nmap_subnet = "192.168.45." ' The subnet you wish to scan

(macht was es aussagt (das subnet, das gescannt warden soll) aber wird nur vom nmap script benützt)


- Code: Select all
nmap_subnet_formatted = "192.168.045." ' The subnet padded with 0's

(Macht was es aussagt (das subnetz auffüllen mit O’s) aber nur durch das nmap script benützt, etwas mühsam, weil wir es eigentlich vom oberen nmap subnet generieren sollten)


- Code: Select all
nmap_ie_form_page = "http://myoaserver.local/openaudit/admin_nmap_input.php"

(macht das selbe wie die audit seite IE_Form Seite, aber für das nmap script siehe vorherige beschreibung)


- Code: Select all
nmap_ie_visible = "n"

(wieder für das nmap script)


- Code: Select all
nmap_ie_auto_close = "y"

(wieder für das nmap script)


- Code: Select all
nmap_ip_start = 1

(started das oben gewählte subnet)


-Code: Select all
nmap_ip_end = 254

(das ende der IP range auf dem oberen subnet)


- Code: Select all
nmap_tmp_cleanup = true

(setze es falsch, wenn du willst, dass die tmp files zur analysierung im tmp Folder bleiben)


- Code: Select all
nmap_syn_scan = "y" ' Tcp Syn scan
nmap_udp_scan = "y" ' UDP scan
nmap_srv_ver_scan = "y" ' Service version detection.
nmap_srv_ver_int = 0 ' Service version detection intensity level. Values 0-9, 0=fast

Die oberen Optionen addieren UDP- und SYN-scanning zum NMAP aber es kann alles sehr verlangsamen, wenn viele hosts gescannt werden müssen. (normalerweise mehrere Stunden für ein C class subnet)
Diese extra details helfen dir, genau zu sehen, welcher Service auf den gefundenen ports angeboten wird. Ganz gut, es einmal zu tun, wenn man OA aufsetzt und dann vielleicht alle monate einmal, um alles uptodate zu haben. Wenn es auf "n" gesetzt ist, macht es nichts und nur der normale nmap scan wird gemacht, das würde für viele Leute ausreichen, die nur wissen möchten, welche service da sind.

Dieses Setting nmap_srv_ver_int = 0 läuft relative schnell, nmap_srv_ver_int = 9 ist sehr intens und braucht viel Zeit (bei mir gings einen ganzen Tag)
Für einen ganzen TCP/IP security audit ist es empfehlenswert, nur einen nmap audit zu machen, normalerweise in eine separate Kopie des OpenAudit, weil die Resultate für Windows und "andere" Sachen zusammen erscheinen in den "anderen" Tabellen, so dass die reporte und diagramme einfacher ersichtlich sind.


- Code: Select all
input_file = ""

( wird gebraucht, um eine liste von pc’s und deren Usernamen und Passwörter zu geben, diese User müssen rechte via netzwerk haben. Achte darauf: Administratoren ohne Passwort haben keine rechte, deshalb musst du auf jeder maschine einen user dafür kreieren oder den lokalen Administrator mit passwort setzen. Falls du eine domain benützt, benütze einen somain admin user um das zu machen, oder besser audit die ganze domain mit der audit_local_domain option ).

Ältere versionen des OpenAudit (<Version 07.12.09) benützen die folgenden email felder:

- Code: Select all
email_to = ""

(schicke fehlgeschlagenes audit emails zu werauchimmer@wasauchimmer.woauchimmer)

- Code: Select all
email_from = ""

(schicke fehlgeschlagene audit email von werauchimmer@wasauchimmer.woauchimmer)


- Code: Select all
email_server = ""

Spätere versionen (<Version 07.12.09) benützen dieses email feld.



- Code: Select all
use_audit_log = "n"


Sagt OpenAudit seinen process zu loggen ( im moment nur zeit, maschinen name, verbinden zu WMI, start OK und finish OK für jede maschine)
es ist die idée da, die resultate jeder section des audits zu verbinden,damit wir wissen, wenn ein audit gelöst wird. Setze es auf "n" oder "y". Standard ist "n".


- Code: Select all
keep_audit_log = "n"

Erzählt OpenAudit ob es ein neues Log kreieren soll bei jedem durchlauf oder die resultate zum laufenden log hinzuzufügen. Setze es auf "n" oder "y" Standard ist "n"


- Code: Select all
send_email = false

Sagt dem Open Audit ob oder ob nicht ein resultat als email gesendet warden soll. Setze auf True oder false, standard ist false.


- Code: Select all
email_to = "user@domain"

Das "to" : zeigt wohin die email geht


- Code: Select all
email_from = "user@domain"

Das "from": zeigt den Ursprung an, woher die mail kommt. Die meisten systeme wollen, dass der sender mit dem user übereinstimmt.


- Code: Select all
'email_sender = "Open-AudIT"

ist der sender, pass auf, dass sich damit keine probleme ergeben. Bei standard ist dieses Feld im script kommentiert, weil viel Spam filter diese mails sonst weg schmeisst.


Code: Select all
email_server = "aaa.bbb.ccc.ddd" ' IP address or FQDN

IP oder FQDN vom mailserver


- Code: Select all
email_port = "25" ' The SMTP port

Ändere dies , wenn deine locale situation einen nicht standard port benützt, z B. Wenn du alles durch einen Spamfilter gibst.


- Code: Select all
email_auth = "1" ' 0 = Anonymous, 1 = Clear-text Authentication, 2 = NTLM

kein auth, lösche auth text oder NTLM (für MS- exchange moistens)


- Code: Select all
email_user_id = "user@domain" ' A valid Email account in user@domain format

Dies wird das selbe sein wie die "from" form: braucht aber nicht unbedingt das "@" teil. Kontroliere mit deiner mailserver dokumentation.


- Code: Select all
email_user_pwd = "abc123" ' The SMTP email password

Falls auth eingeschalten ist, muss dies das Passwort für email_user_id sein.
(Beachte: es wäre gut, wenn du ein unikates account für das mailen vom OA aus hast, so dass, falls ein hacker auf den pc zugreift, nichts damit machen kann.)
BENÃœTZE NIE DEIN POSTMASTER ODER ADMINISTRATOR ACCOUNT AUSSER DU MUSST ES TUN! Blamiere uns nicht, falls du diese Warnung ignorierst.


- Code: Select all
email_use_ssl = "false" ' True/False

Benütze/benütze nicht SSL für auth. Das wird evt eine änderung im port value oben brauchen.


- Code: Select all
email_timeout = "60" ' In seconds

Kann erhöht werden wenn benötigt.


- Code: Select all
audit_local_domain = "y"

(setze dies, um die ausgewählte domain mit der nächsten variable zu auditen)


- Code: Select all
local_domain = "LDAP://mydomain.local"

Die AD domain zum auditen)
Du kannst auch einen älteren Style eintragen (siehe NT4 oder SAMBA domain) mit domain type = "nt"
Lokale Domain = "WinNT://<domainname>"


- Code: Select all
'
' Set domain_type = 'nt' for NT4 or SAMBA otherwise leave blank or set to ldap
domain_type = "nt"

'
' Example Set Domain name for NT ONLY for LDAP use the above format
' NOTE This is Case Sensetive. See the example below.
'
local_domain = "WinNT://MYDOMAIN"

wenn du den domain typ zu etwas anderem als NT oder gar nicht setzt, wird eine LDAP domain angenommen.


- Code: Select all
hfnet = "n"

(benütze hfnet **experimental** irgendjemand weiss ob das geht??)


- Code: Select all
Count = 0

(bin nicht sicher was das tut)


- Code: Select all
number_of_audits = 20

die höchste nummer für audit prozesse für die simultane audition einer domain.


- Code: Select all
script_name = "audit.vbs"

(der name für den process sollte immer audit.vbs sein, aber du kannst eihnen path legen wenn du willst)


- Code: Select all
monitor_detect = "y"

(bringt Monitor typ serial nummer etc zu deiner database)

- Code: Select all

printer_detect = "y"

(bringt printer zu deiner database)


- Code: Select all
software_audit = "y"

(audited software wie hardware)


- Code: Select all
uuid_type = "uuid"

ändert den key zur datenbank kann sein UUID, MAC Adresse oder system name + domain, ich würde UUID nehmen.)

Mehr infos auf dieser seite:
http://www.open-audit.org/phpbb2/viewtopic.php?t=1372

_________________
Andrew

OA Server: Windows XP/ XAMPP, Mandriva/Apache, Ubuntu
Auditing: 300+ Wstns, 20+ Srvrs, Thin clients, Linux boxes, Routers, etc
OS's: Windows XP , W2K Srvr, W2K3 Srvr, W2K8, Vista, Windows 7, Linuxes (and a Mac at home)
LDAP: Active Directory


Top
 Profile  
Reply with quote  
Display posts from previous:  Sort by  
Forum locked This topic is locked, you cannot edit posts or make further replies.  [ 1 post ] 

All times are UTC + 10 hours


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB® Forum Software © phpBB Group