Auf dem Laufenden

von Thorsten Scherf

Open-AudIT ist eine vielseitige Open-Source-Software, speziell dafür entwickelt, IT-Assets zu erfassen, zu verwalten und zu überwachen. Egal, ob es sich um Hardware, Software, Netzwerkgeräte oder virtuelle Maschinen handelt – Open-Audit bietet die nötigen Werkzeuge, um einen detaillierten Überblick über die IT-Infrastruktur zu erhalten und diese effizient zu administrieren. Unser Workshop unterstützt Sie bei der Installation und initialen Konfiguration der Software.

Open-AudIT ermöglicht die vollständige Bestandsaufnahme von IT-Ressourcen. Die Software erfasst hierfür automatisch alle Geräte und Anwendungen in Ihrem Netzwerk und stellt sicher, dass Sie stets über aktuelle Informationen verfügen. Dies hilft bei der Einhaltung Ihrer Compliance- und Sicherheitsrichtlinien. Auch unterstützt die Software dabei, Ihr Netzwerk kontinuierlich zu überwachen, nicht nur um unautorisierte Geräte oder Anwendungen zu erkennen, sondern auch mögliche Sicherheitslücken zu identifizieren und zu schließen. Die intuitive Benutzeroberfläche erfordert keine tiefgehenden technischen Kenntnisse. Und auch die Installation und Einrichtung der Software gestalten sich unkompliziert.

Umfangreiche Berichtsfunktionen helfen Ihnen dann im Alltag dabei, Entscheidungen bezüglich Ihrer IT-Assets zu treffen. Sie können benutzerdefinierte Berichte erstellen, um spezifische Informationen zu analysieren und somit Ihre IT-Strategie anzupassen. Die Software lässt sich in bestehende Systemlandschaften integrieren und an die spezifischen Bedürfnisse Ihres Unternehmens anpassen.

Lange Historie

Die erste, noch sehr einfache und rein skriptbasierte Version von Open-AudIT wurde bereits 1999 von Mark Unwin veröffentlicht. Nach einer kompletten Überarbeitung der Software in PHP steht Open-AudIT seit 2006 unter der GNU General Public License und hat viele weitere Funktionen, wie beispielsweise ein Webinterface, erhalten. Dank der großen Beliebtheit des Projekts hat die australischen Firma Opmantek dieses dann im Jahr 2012 übernommen und mehrere Major-Releases in in den Jahren darauf veröffentlicht, bis Opmantek schließlich in 2021 von der auf Cybersecurity- und Netzwerkmanagement spezialisierten Firma FirstWave aufgekauft wurde. Diese Übernahme ermöglichte es FirstWave, sein Portfolio um die IT-Assetmanagement- und Netzwerkaudit-Funktionen von Open-AudIT zu erweitern und seinen Kunden eine umfassendere Suite von IT-Managementtools anzubieten. Die aktuelle Version 5.2.2 hat Mark Unwin im Mai 2024 veröffentlicht, der immer noch aktiv an dem Projekt mitarbeitet.

Die Software steht in den Editionen Community, Professional, Enterprise und Cloud zur Verfügung. Die Codebasis dieser Editionen ist grundlegend identisch, jedoch fehlen der Community-Version einige Plug-ins und Funktionen, die in den anderen Releases enthalten sind. Ein kommerzieller Support ist in dieser Variante natürlich ebenfalls nicht verfügbar, stattdessen gibt es aber eine sehr aktive Community, die bereitwillig bei Problemen unterstützt.

Unterschiedliche Installer-Typen

Wer die Community-Version der Software ausprobieren möchte, landet wahrscheinlich auf der Webseite des Open-AudIT Projekts [1]. Über den Menüpunkt "Downloads" gelangen Sie auf eine Webseite, auf der Sie eine Installationsdatei entweder für Linux oder Windows auswählen können. Etwas verwirrend an der Stelle ist jedoch, dass etliche Links immer noch auf die alte Opmantek-Webseite verweisen, obwohl die Firma ja schon vor mehr als drei Jahren von FirstWave übernommen wurde. Es scheint tatsächlich so zu sein, dass die Opmantek-Webseite primär Mitglieder der Community ansprechen möchte, während die FirstWave-Webseite [2] ganz klar Enterprise-Kunden im Blick hat.

FirstWave bietet des Weiteren eine Software-Appliance für den Betrieb von Open-AudIT an. Hierfür steht auf der FirstWave-Webseite eine Image-Datei für den Betrieb einer virtuellen Maschine zum Download bereit. Das darin enthaltene "Network Management Information System" (NMIS) umfasst neben Open-AudIT noch weitere Produkte wie beispielsweise opCharts, opConfig, opEvents, opReports, um nur einige zu nennen. Die auf Debian basierende Appliance ermöglicht Ihnen somit ein umfassendes Netzwerkmanagement in Form einer vorgefertigten VM. Die aktuelle Version dieser Appliance stammt vom Januar 2024. Für weitere Informationen lohnt sich ein Blick auf die entsprechende Produktseite [3].

Unser Workshop basiert auf der aktuellen Community-Variante von Open-AudIT. Die Installation unterscheidet sich jedoch, abgesehen von der Software-Appliance, nicht im Vergleich zu den anderen Editionen der Software und auch die grundlegende Konfiguration ist somit identisch.

Installation mit kleinen Haken

Die Installation für unseren Workshop erfolgte auf einem aktuellen Red Hat Enterprise Linux (RHEL) 9.4. Den Linux-Installer können Sie jedoch auch auf anderen aktuellen Linux-Distributionen wie Debian oder Ubuntu ausführen. Sollten nicht alle notwendigen Pakete installiert sein, kümmert sich das Installationsskript selbstständig darum, die fehlenden aus dem Software-Repository der jeweiligen Distribution zu laden und zu installieren. Auch das Einbinden von externen Repositories ist Teil des Installationsprozesses. Auf einem RHEL-System wird beispielsweise das bekannte Repository EPEL (Extra Packages for Enterprise Linux) automatisch durch den Installer eingebunden und Pakete hieraus eingespielt. Dieser Vorgang ist jedoch zuerst durch den aufrufenden Benutzer zu bestätigen (Bild 1).

Den Installer selbst starten Sie einfach durch den Aufruf von sudo:

Nach der Installation liegen sämtliche Dateien im Verzeichnis "/usr/local/open-audit". Für das Document-Root des Apache-Webservers kommt der Unterordner "public" zum Einsatz. Zu beachten ist hier allerdings, dass es im Lab nicht möglich war, die Software auf einem Red Hat Enterprise Linux im SELinux-Enforcing-Mode zu betreiben. Erst nach einem Wechsel in den Permissive-Mode ließ sich der Installer ohne Fehler beenden. Hier besteht sicherlich noch Verbesserungsbedarf. Alternativ dazu gibt es natürlich die Möglichkeit, ein eigenes SELinux-Policy-Modul für die Software zu erzeugen, um das System weiterhin im sicheren SELinux-Enforcing-Mode betreiben zu können.

Als Teil des Setups wird neben einem Apache-Webserver auch eine MariaDB-Datenbank aufgespielt und konfiguriert. Diese ist später dafür verantwortlich, sämtliche Informationen über Ihre IT-Assets zu speichern. Der vom Installer verwendete Datenbank- und Benutzername lautet jeweils "openaudit". Das Passwort für den Benutzer wird während der Installation auf dem Bildschirm ausgegeben und ist natürlich ebenfalls in der Dokumentation enthalten.

Für die Installation unter Windows gibt es einige Besonderheiten zu beachten. So läuft Open-AudIT zwar problemlos auf einem aktuellen Windows Server in 64 Bit, nicht jedoch unter Windows 10 oder 11. Wie auch unter Linux benötigen Sie den Netzwerkscanner nmap. Dieser kommt während des Discovery-Vorgangs von Netzwerkgeräten zum Einsatz. Während die Installation dieses Pakets unter Linux automatisch erfolgt, müssen Sie unter Windows die nmap-Sofware zuerst von der Webseite herunterladen [4] und dann manuell installieren. Ebenfalls im Vorfeld ist eine Visual-C-Runtime [5] aufzuspielen. Erst danach starten Sie die Installation von Open-AudIT unter dem Benutzerkontext "Administrator". Der Installer steht als EXE-Datei unter [1] zum Download zur Verfügung.

Hat die Installation geklappt, ist es Zeit, einen ersten Blick auf das Webinterface der Software zu werfen. Geben Sie hierfür in Ihrem Browser einfach den Namen des Systems ein, auf dem Sie den Installer ausgeführt haben, gefolgt vom String "open-audit". Also beispielsweise "http://monitoring.example.com/open-audit/". Ein Login erfolgt als Benutzer "admin". Das Password wird für den initialen Login auf der Anmeldeseite dargestellt.

Sollten Sie bereits jetzt Funktionen der Enterprise-Version testen wollen, können Sie über den Menüpunkt "Licenses" eine auf ein Jahr begrenzte Lizenz erwerben. Bedenken Sie aber, dass Ihnen in diesem Fall zwar weitere Funktionen als in der Community-Variante zur Verfügung stehen, die Anzahl der verwaltbaren Geräte jedoch auf 20 beschränkt ist. Insofern bietet sich der Erwerb einer solchen Testlizenz wirklich nur zu Testzwecken an. Sollten Sie Funktionen der Enterprise-Edition benötigen, empfehlen wir den Erwerb einer kostenpflichtigen Lizenz. Diese können Sie über den gleichen Menüpunkt, in dem Sie auch die Testlizenz generiert haben, importieren. Eine genaue Übersicht, welche Funktionen in welcher Edition von Open-AudIT zur Verfügung stehen, finden Sie unter [6].

Initiale Konfiguration

Unabhängig davon, ob Sie nun die Community- oder eine Enterprise-Edition verwenden, sollten Sie zuerst einige grundlegende Einstellungen vornehmen. Dazu gehört beispielsweise die Konfiguration des E-Mail-Systems. Dies ist wichtig, damit Sie im Bedarfsfall entsprechende Nachrichten, beispielsweise Reports von Discovery-Prozessen von Open-AudIT, empfangen können. Unter dem Menüpunkt "Admin / Configuration" nehmen Sie die hierfür notwendigen Einstellungen vor. In der Enterprise-Edition gibt es mehr als 160 unterschiedliche Konfigurationsmöglichkeiten. Eine Übersicht der Standard-Settings erhalten Sie über "admin / Configuration / List Configuration".

Im nächsten Schritt gilt es, die Credentials für den Zugang zu Ihren IT-Assets zu hinterlegen. Diese sind Teil eines Discovery-Prozesses, um Informationen der jeweiligen Geräte abzurufen und innerhalb von Open-AudIT darzustellen. Über den Menüpunkt "Discover / Credentials / Create Credentials" haben Sie die Möglichkeit, Zugangsdaten für SNMP, SSH oder Windows-Systeme einzugeben. Für den Zugang mittels SSH können Sie neben Passwörtern natürlich auch SSH-Schlüssel verwenden (Bild 2). Für SNMP unterstützt Open-AudIT die Versionen v1, v2 und v3. Mithilfe der WMI-Spezifikation greift Open-AudIT auf Windows-Systeme zurück, um auch für diese Informationen zur eingesetzten Hardware und Software zur Verfügung zu stellen.

Die Credentials speichert Open-AudIT in verschlüsselter Form innerhalb der MariaDB in einer Tabelle mit dem Namen "Credentials". In der Standardeinstellung landen diese jedoch bei einem Export der Zugangsdaten im Klartext in einer JSON- oder CSV-Datei. Dies ist nicht unbedingt wünschenswert und insofern bietet es sich an, den Konfigurationsparameter "decrypt_credentials" von "yes" auf "no" zu ändern. Führen Sie nun einen Export der Daten durch, liegen diese, wie auch in der Datenbank selbst, in verschlüsselter Form vor.

Netzwerk- und AD-Scans

Credentials alleine bringen Ihnen natürlich nichts, wenn Sie diese nicht auch als Teil eines Discovery- oder Audit-Vorgangs einsetzen können. Schließlich geht es bei Open-AudIT im Kern darum, Geräte innerhalb eines Netzwerks zu identifizieren und Informationen über diese zur Verfügung zu stellen. Über den Menüpunkt "Discover / Discoveries / Create veries" haben Sie nun also die Möglichkeit, unterschiedliche Arten von Netzwerkscans zu definieren. Ein Scan bezieht sich dabei immer auf eine einzelne IP, einen IP-Range oder ein IP-Subnetz.

Über die Art des Scans legen Sie fest, wie detailliert Open-AudIT ein System untersuchen soll. Dies hat natürlich Auswirkungen darauf, wie viel Informationen Sie zu einem bestimmten Gerät angezeigt bekommen (Bild 3). Je ausführlicher ein Scan ist, desto länger dauert es aber natürlich auch, bis dieser abgeschlossen ist. Insofern ist es empfehlenswert, unterschiedliche Scans für das gleiche Netzwerk anzulegen. So könnte ein Scan lediglich eine Übersicht der vorhandenen Systeme liefern, während ein anderer detaillierte Informationen zu diesen Systemen zur Verfügung stellt.

Möchten Sie die Subnetze einer Windows-Domäne scannen, bietet Open-AudIT hierfür den Scanning-Typ "Active Directory" an. Wählen Sie diesen Parameter im "Create Discovery"-Menüpunkt aus und geben Sie den Domänennamen sowie einen Domänencontroller für diese Domäne an. Sobald Sie dann den Discovery-Prozess starten, findet Open-AudIT selbstständig sämtliche IP-Subnetze, die zu der angegebenen Domäne gehören, und führt im Anschluss einen Scan der Systeme in diesen Netzen durch. Wichtig ist dabei, dass der WMI-Port sämtlicher Windows-Systeme zugänglich ist, da ansonsten Open-AudIT keine detaillierten Informationen über ein System erfassen kann.

Discoveries starten

Haben Sie sämtliche Disovery-Prozesse für Ihre Netze definiert, erhalten Sie über den Menüpunkt "Discover / Discoveries / List Discoveries" eine vollständige Liste aller Erfassungsmöglichkeiten und können diese über den "Execute"-Knopf direkt aus diesem Menüpunkt heraus starten. Den eigentlich Scanvorgang verfolgen Sie über den Menüpunkt "Logs". Die gesammelten Informationen zu den Geräten eines Netzwerkes wiederum finden Sie über den Punkt "Details" (Bild 4).

Entsprechen die Ergebnisse Ihren Erwartungen, können Sie die einzelnen Discovery-Prozesse zu bestimmten Zeitpunkten automatisch starten. Hierzu gehen Sie in den Menüpunkt "Admin / Tasks / Create Task" und definieren dort, welchen Discovery-Prozess Sie zu welchem Zeitpunkt automatisch ausführen möchten. Sehr hilfreich ist es, dass Sie auch Tasks für das Versenden von unterschiedlichen Reports anlegen können. Somit sind aktuelle Berichte nicht nur über das Dashboard des Open-AudIT-Webinterfaces einsehbar, sondern werden bei Bedarf auch per E-Mail versendet. Wählen Sie hierfür bei der Definition eines neuen Tasks anstatt Discovery einfach den Task-Typ "Report" und die Art des Reportes aus, den Sie automatisch per E-Mail versenden möchten.

Abschließend möchten wir noch darauf hinweisen, dass in unserem Workshop sämtliche Aktivitäten unter dem Standard-Administratorkonto (admin) durchgeführt wurden. Natürlich bietet Open-AudIT ein rollenbasiertes Zugangsmodel an, sodass Sie weitere Benutzer anlegen und mit bestimmten Rechten ausstatten können. Dieser Vorgang erfolgt unter "Manage / Users / Create Users". Legen Sie dort einen neuen Benutzer an und weisen diesem die Rolle "admin" zu, kann dieser ebenfalls administrative Aufgaben übernehmen.

Fazit

Open-AudIT ist ein mächtiges Management- und Informationswerkzeug für komplexe Netzwerke. Unser Workshop konnte nur an der Oberfläche kratzen und Ihnen neben der Installation der Software erste Schritte zur Konfiguration zeigen. Dazu gehört das Anlegen von Zugangsdaten wie auch von Discovery-Prozessen, die Sie dann für einen Scan Ihrer Netze verwenden, um Informationen zu den vorhandenen Systemen zu erhalten.

Wollen Sie tiefer in die Materie einsteigen, empfehlen wir den Blick in das Support-Forum [7] von Open-AudIT. Dort finden Sie neben der Dokumentation auch praktische Artikel, die Sie bei der Umsetzung bestimmter Maßnahmen unterstützen. Um die Weiterentwicklung der Software zu beobachten oder Pull-Requests an die Community zu senden, bietet sich das GitHub-Repository des Projekts [8] an.

IT-Systeme mit Open-AudIT erfassen und verwalten

Auf dem Laufenden

Lange Historie

Lange Historie

Unterschiedliche Installer-Typen

Installation mit kleinen Haken

Login per Webinterface

Initiale Konfiguration

Netzwerk- und AD-Scans

Discoveries starten

Fazit