Suche nach der passenden Software: Administration

Die Administration soll – wenn möglich – ausschließlich über eine Weboberfläche laufen. Tools, die auf einem separaten System installiert werden müssen, versuche ich zu meiden. Der Zugriff auf diese Administrationstools sollte nur über VPN möglich sein, um möglichen Angreifern aus dem Internet keine zusätzliche Angriffsfläche zu bieten. Ein Zugang zum Adminbereich lässt sich leichter kontrollieren und sichern als eine Vielzahl von einzelnen Tools, von denen  jedes ein anderes Sicherheitskonzept verfolgt.

OpenSwan

Als VPN-Server zur Entkopplung der Administrationstools vom Internet kommt OpenSwan zum Einsatz. Es ist etabliert, stabil und wird aktiv weiterentwickelt. Bisher habe ich OpenVPN genutzt, das die Installation einer separaten Client-Software voraussetzt. Damit torpediert es das Bestreben, ohne Installation von zusätzlicher Software auf einem Client auszukommen. OpenSwan hingegen nutzt das L2TP (Layer 2 Tunneling Protocol) für das Tunneling von Paketen in Verbindung mit IPSec (Internet Protocol Security) für die Verschlüsselung. Diese Protokolle werden von den meisten Betriebssystemen von Haus aus unterstützt und gelten als sicher. Einziger Wermutstropfen ist, dass mit L2TP/IPSec Protokolle verwendet werden, die von anderem Traffic unterschieden – und damit geblockt – werden können. Wem die Verschleierung der Verbindung wichtig ist, sollte OpenVPN auf Port 443/TCP benutzen, da der Traffic dann nicht mehr von normalem HTTPS-Traffic mit einer Website zu unterscheiden ist. Wie oben angesprochen, erfordert OpenVPN allerdings eine spezielle Client-Software.

Update 30.07.2017: OpenSwan gilt mittlerweile als inaktiv, als Ersatz wird das ausgereifte und aktiv entwickelte StrongSwan gehandelt, so dass dies zum Einsatz kommen wird.

phpMyAdmin

Zur Administration der MariaDB-Datenbanken kommt phpMyAdmin zum Einsatz. Es ist sehr solide und wird aktiv weiterentwickelt – ein Tool, an dem man als Admin eigentlich nicht vorbei kommt.

phpLDAPadmin

Der Zugriff auf den Zimbra LDAP Server (OpenLDAP) erfolgt über phpLDAPadmin. Das Projekt galt zwischenzeitlich als verwaist, hat nun aber einen neuen Maintainer, der die Entwicklung weiterführt.

ELK-Stack

Der ELK-Stack besteht aus ElasticSearch, LogStash und Kibana, den drei großen Säulen eines Logsystems, das von der Firma Elastico entwickelt wird.

ElasticSearch ist für die Haltung von Logdaten, deren Indizierung sowie Suchen und Analysen im Datenbestand zuständig.

LogStash orchestriert simultane Datenströme, die in das Log fließen sollen, nimmt Formatanpassungen vor und leitet die Daten an ElasticSearch weiter. LogStash unterstützt dabei eine Vielzahl von Quellen. So können z. B. klassische Logdateien über das Elastic Beats Framework, das Windows Event Log oder das Linux-typische syslog eingebunden werden. Auch etwas exotischere Datenquellen wie das Auslesen eines IMAP-Mailaccounts, die Abfrage von SQLite-Datenbanken oder die Anbindung an Github Webhooks sind möglich.

Kibana bildet die Benutzerschnittstelle und bedient sich für die Visualisierung der Logs aus dem Datenbestand von ElasticSearch. Kibana kann neben der klassischen Logdarstellung in Listenform Daten auch grafisch aufbereiten und in Histogrammen, Graphen, Kreisdiagrammen, Ringdiagrammen und mehr darstellen. Alle interessanten Daten lassen sich so auf einem Dashboard zusammenfassen.

Schreibe einen Kommentar