Hola a todos,

La versión 3.3.0 de Open-AudIT tiene algunas nuevas características sorprendentes, siga leyendo para conocer los detalles. Las notas de la versión están disponibles, como de costumbre, aquí - Release Notes for Open-AudIT v3.3.0.

Columnas de dispositivos configurables

A partir de la versión 3.3.0, cuando vea la lista de dispositivos (Gestionar → Dispositivos → Listar dispositivos), observará un pequeño control adicional en la parte superior derecha. Haga clic en él y verá una lista de columnas disponibles que puede mostrar. Haga clic en el nombre de una columna y aparecerá. Haz clic en el nombre de una columna en negrita y desaparecerá. Si quieres que ese conjunto de columnas sea el predeterminado, haz clic en "Guardar como predeterminado" y cada vez que veas la lista de dispositivos, esas serán tus columnas predeterminadas. También puedes hacer clic en "Restablecer por defecto" (si tus columnas son diferentes) para restablecerlas. La lista de columnas por defecto está en la configuración bajo el nombre devices_default_display_columns. Si ve que la visualización de la página es inaceptablemente lenta, es posible que desee limitar las columnas recuperadas (pero no mostradas). Esto también está en la configuración bajo el nombre devices_default_retrieve_columns. Vea la captura de pantalla de abajo.

colección de dispositivos 01 - 700

Componentes del dispositivo

También en la página de la lista de dispositivos, verá una barra en la parte superior con una flecha desplegable a la derecha. Haga clic en la flecha y verá una lista de tipos de componentes. Haga clic en uno para ver una lista de todos esos elementos. Tenga en cuenta que esta lista puede ser muy grande, por lo que la restringimos a las primeras entradas de "database_show_row_limit" (elemento de configuración). Aumente ese número para ver más. En esta etapa no hemos implementado una GUI para la paginación, pero está disponible usando la API (o añadiendo a la URL), especificando límite y desplazamiento. Así que una URL válida podría ser (por ejemplo) http://SERVER/omk/open-audit/devices?sub_resource=software&limit=200&offset=100. Para más información, consulte la documentación de la API: The Open-AudIT API. Las siguientes páginas le permiten hacer clic en los enlaces para ver los detalles de estas entradas específicas, todas las entradas de un dispositivo o los detalles del propio dispositivo.

colección de dispositivos 02 - 700
colección de dispositivos 03 - 700

Comparación del esquema de su base de datos

Hay una nueva entrada en el menú → Admin → Base de datos llamada Schema Compare. Al ejecutarla, se mostrará el esquema tal y como se encuentra en su base de datos y se comparará con el esquema suministrado con Open-AudIT. Si hay alguna diferencia, envíela a Preguntas y podremos ayudarle. Para los clientes con soporte, simplemente registre una solicitud de soporte y le ayudaremos lo antes posible.

Mejoras en el registro de cambios

Se ha dedicado tiempo a minimizar la generación de falsos positivos en los registros de cambios. Además, hemos añadido dos botones en la pantalla de detalles del dispositivo (bajo el menú de acciones de la izquierda) para eliminar los registros de cambios y eliminar los registros de auditoría. Su uso puede ayudar a mejorar el rendimiento de la base de datos cuando estos registros no son necesarios. No olvide que siempre puede borrar las tablas completas utilizando el menú → Admin → Base de datos → Lista de tablas, haciendo clic en cualquiera de las tablas y pulsando el botón Eliminar. Y no se olvide de nuestros nuevos elementos de configuración para mantener los elementos no actuales y crear registros de cambios. Puede encontrar más información sobre esto - aquí.

Eliminación de dispositivos

Ahora hay un elemento de configuración llamado device_auto_delete. Si se establece en 'y' (está establecido en 'n' por defecto) cuando se cambia el estado de un dispositivo (ya sea individualmente o utilizando la edición masiva) obtendrá una advertencia regular "¿Está seguro?" y si responde que sí, el dispositivo y todos sus detalles serán eliminados completamente de la base de datos. No sólo se marcará con un estado de borrado.

Nuevo proceso de descubrimiento y mejoras

Con el próximo lanzamiento de Open-AudIT 3.3.0 hemos implementado un nuevo proceso de descubrimiento que se escala aún mejor que antes. ¡Tiempos de descubrimiento aún más rápidos!

La cola del descubrimiento

Con la versión 3.3.0 hemos cambiado el uso de la cola de descubrimiento, no por descubrimiento como antes, sino por IP. A partir de la versión 3.3.0, cuando se hace clic en "Ejecutar descubrimiento", sucede lo siguiente entre bastidores:

  • El servidor inicia un script que llama a /util/queue y devuelve instantáneamente al usuario de la web (o al usuario de la API). Inicia el script de shell y no espera una respuesta antes de regresar.
  • El usuario sigue utilizando la web/API con normalidad.
  • El script del shell llama a util/queue - este punto final sólo acepta peticiones de localhost. La función resultante hace lo siguiente:
    1. Compruebe en la configuración el límite de la cola. Si se ha alcanzado, salga. Si no se ha alcanzado, continúe.
    2. Expulsa un elemento de la cola (bloqueando la tabla de la cola mientras lo hace). El elemento se lee de la base de datos y luego se elimina. Si no existen elementos en la cola, se sale.
    3. Generar otro script para solicitar util/queue.
    4. Ejecutar el elemento - que en la primera vez es siempre "ejecutar el descubrimiento en la subred".
    5. Cuando termine, vuelva al número 1.

Hay (actualmente) dos tipos de entradas en la cola. La entrada de descubrimiento general, y una entrada para cada IP que se va a escanear. La segunda entrada es creada por la primera. Así que ejecutamos el descubrimiento inicial, y para cada IP que necesitemos escanear (que responda, si se elige esa opción), creamos otra entrada para escanear ese dispositivo.

Ya no utilizamos los scripts discover_subnet.sh o discover_subnet.vbs en absoluto. Ahora llamamos a Nmap directamente desde el código de Open-AudIT, lo que nos libera de tener una y sólo una rutina (frente a un bash y vbscript). También facilita la codificación - PHP tiene un análisis de texto mucho más fácil de usar que bash y vbscript (en mi opinión).

Debido a lo anterior, hemos creado un nuevo elemento de configuración llamado "discovery_limit" y lo hemos establecido en 20 por defecto. Esto significa que cuando se ejecuta un descubrimiento, generará hasta 20 instancias de procesamiento en paralelo. Debido a este procesamiento paralelo de IPs de destino, el descubrimiento es $discovery_limit veces más rápido. Bueno, no exactamente, pero se entiende lo que quiero decir. La forma antigua ejecutaba un descubrimiento y para cada objetivo, secuencialmente, iniciaba un escaneo. Se ejecutaban varios escaneos a la vez, pero seguía esperando un escaneo de Nmap, antes de pasar a PHP para completar el resto. La nueva forma completa el escaneo inicial y carga todos los dispositivos resultantes en la cola para ser procesados en paralelo. Al final del día, es mucho más rápido.

Clave y contraseña Sudo SSH

Anteriormente sólo teníamos soporte para una clave SSH que utilizaba una contraseña, pero donde esa contraseña también se utilizaba para sudo. Obviamente, esto no es óptimo, por lo que a partir de la versión 3.3.0 se puede añadir una contraseña específica para la clave SSH y una contraseña para sudo.

Opción adicional de Nmap

También hemos añadido una nueva opción a las opciones de exploración de descubrimiento: abierto|filtrado. Anteriormente utilizábamos la columna "filtered" para comprobar open|filtered. Este cambio alinea las opciones de exploración de descubrimiento con las cadenas de retorno de Nmap.

Reducción del tiempo de auditoría al utilizar sudo

Al auditar un dispositivo usando sudo, ya no tenemos que esperar a que el elemento de configuración discovery_ssh_timeout (antes 300 segundos) se agote. Ahora comprobamos cada 2 segundos nuestra respuesta y cuando la recibimos, procedemos. Esto ha supuesto otra gran diferencia en los tiempos de auditoría cuando se utiliza sudo.

Usuarios de Windows Servicio Apache

Además, se ha producido un cambio dirigido específicamente a los servidores Windows Open-AudIT. Debido a los problemas que hemos tenido al utilizar la cuenta de servicio por defecto, ahora aparecerá una gran advertencia indicando que debe cambiar la cuenta de servicio por una cuenta "real". Esto se debe a que, por defecto, la cuenta de servicio no puede acceder a los recursos de red. IE - copie el script de auditoría en el objetivow y ejecútelo. La forma "antigua" de ejecutar el script en el propio servidor de Open-AudIT y especificar el objetivo sigue funcionando y está habilitada por un elemento de configuración - discovery_use_vintage_service, que se establece como 'n' por defecto. Una de las razones es que el script de descubrimiento contiene secciones que no funcionan ni pueden funcionar de forma remota. Piense en iniciar un ejecutable. Eso no funcionará, ya que WMI puede dirigirse a la máquina remota, pero si se ejecuta un ejecutable desde el script de auditoría, se ejecutará donde se esté ejecutando el script: el servidor de Open-AudIT.

La dirección de red por defecto

Because of our new way of running discovery, we no longer need to set the Default Network Address. The scripts are run on the target devices and create a file (as opposed to submit_online=y). That file is then copied to the server and processed, rather than submitted using the URL (that was created from the default_network_address). The only reason to set the Default Network Address for Discovery is if you’re using discovery_use_vintage_service. The now normal use of this is only for the “Audit My PC” functionality.

Borrar automáticamente nuestro script de auditoría

Ahora, cuando el descubrimiento se ejecuta, el script de auditoría se borra a sí mismo en el objetivo, por lo que no dejamos nada presente en el dispositivo de destino.

No más dispositivos "nuevos" de los que no tenemos información

Hemos añadido una nueva opción de configuración llamada match_ip_no_data. Si descubrimos un dispositivo y esa IP ya está en la base de datos y no tenemos datos de auditoría sobre ese dispositivo, asume que es el mismo dispositivo, por lo que no crea otro (normalmente duplicado).

Recuperación de rutas SNMP

Ahora recuperamos las primeras rutas (elemento de configuración discovery_route_retrieve_limit) de un dispositivo cuando se utiliza SNMP.

Y hay aún más mejoras. Asegúrese de leer las Notas de la versión de Open-AudIT v3.3.0 para estar al tanto de todo.

Feliz auditoría,
Mark.