In meinem letzten Beitrag geschildert, wie ich Logwatch verwendet werden könnten, um das Protokoll Überprüfung zu erleichtern werden. In diesem Beitrag werden wir bei OSSEC aussehen und was sie auf den Tisch bringt.
Was ist OSSEC?
OSSEC , die Abkürzung für "Open Source Security", ist ein Host-basiertes Intrusion Detection System (HIDS). Mit anderen Worten, es wird entworfen, um Angriffe oder Richtlinienverstöße, ob und wann sie auftreten, zu erkennen. Obwohl es nicht die Möglichkeit haben, gegen unbekannte oder 0-Day-Attacken (das wäre Host-basierte Intrusion-Prevention-sein) zu schützen, enthält es eine breite Palette an Tools, die Ihnen dabei helfen, einen Einbruch, wenn er auftritt, sowie kann das Ausmaß von dem Schaden, der verursacht wurde.
Unterstützte Plattformen
Um die Vorteile der alle Funktionen OSSEC zu bieten hat, muss man einen Agenten auf dem zu schützenden System laufen. OSSEC Agenten kann auf Windows, Mac OS X, Linux und einer Vielzahl von UNIX-Systemen laufen. Wenn Sie nur in der Log-Analyse Teil jedoch interessiert sind, können eine noch breitere Palette von Systemen unterstützt werden. Dies beinhaltet sowohl Hardware von Cisco und Juniper. Eine Reihe von spezifischen Produkten wie auch Checkpoint Firewalls unterstützt, Symantec Anti-Virus, Snort, Squid, und Arpwatch, um nur einige zu nennen.
Wenn Sie OSSEC installieren Sie haben zwei Möglichkeiten der Konfiguration, lokale oder Client / Server. Eine lokale Installation wird verwendet, wenn man alles auf einem einzigen System laufen müssen. Die Client / Server-Installation ermöglicht die Ausführung einer verteilten Umgebung zu schützen mehreren Systemen gleichzeitig. Während die meisten Einsätze sind Client / Server-based, wenn Sie einen Spin geben OSSEC Sie problemlos laufen kann alles auf einem einzigen Testsystem mit einem lokalen installieren möchten.
Log-Analyse
OSSEC umfasst eine Log-basierten Intrusion Detection System (Deckel). Dieser hat die Möglichkeit, Log-Dateien in Echtzeit überprüfen, während sie für die Prüfung bekannt Angriffsmuster. Wenn eine Protokolldatei auf einem geschützten System generiert wird, nimmt der Agent Betreuung von sicheren Übertragen Sie das Protokoll (Blowfish-Verschlüsselung mit einem Pre-Shared Secret) an den Server zurück. Der Server übernimmt dann die Analyse durchgeführt wird.
Die meisten Log-Analyse-Tools verarbeiten ihre Regeln in einem linearen Format. Damit meine ich, wenn wir 500 Regeln bedeuten, ein Regel aktiviert ist, dann Regel zwei, dann herrschen drei und so weiter, bis eine Übereinstimmung gefunden wird oder erreichen wir das Ende des Regelsatzes. OSSEC funktioniert ein wenig anders, da es eine hieratical Struktur implementiert, um die Regeln. Log-Einträge werden zunächst klassifiziert und dann geprüft, nur gegen belibiegem Regeln angemessen sind. Das Ergebnis ist, dass anstatt benötigen, um alle 500 Regeln zu verarbeiten, die meisten Veranstaltungen gegen 10 oder weniger Regeln werden überprüft zu werden. Dies reduziert die Menge an Overhead erforderlich, um den Regelsatz zu verarbeiten.
Integritätsprüfung
OSSEC enthält ein Tool namens SysCheck zur Durchführung von Datei-und Verzeichnis-Integritätsprüfung. Wenn Sie mit einem Windows-Agent sind, können Sie auch spezielle Tasten innerhalb der Windows-Registrierung, um auch überwacht werden. Datei-Veränderungen erkannt sowohl mit MD-5 und SHA-1 Hash-Algorithmen werden. Das System ist extrem anpassbar. Sie können ein-oder ausschließen einzelne Dateien oder ganze Verzeichnisstrukturen. Sie können sogar ein Flag setzen, um neue Datei Schöpfung zu erkennen.
Die Agent-Software wurde entwickelt, um eine minimale Menge an CPU während der Integritätsprüfung verwenden. Während dies bedeutet, dass der Scheck wird länger dauern, es hilft auch, um die Leistung getroffen, um das System zu minimieren. Hash Informationen zurück an den Server übertragen. Der Server übernimmt dann Durchführen der Hash-Vergleich zu sehen, ob der System-wichtige Dateien geändert worden sind. Der Server speichert ebenfalls eine Kopie des Integrity Check Politik, so dass bei Änderungen der Politik auf dem Agent vorgenommen werden, sie können erkannt und gemeldet werden ebenso.
Anomalie-Erkennung
OSSEC geht weit über die Log-Überprüfung, um die Systemintegrität zu überprüfen. Nutzungsrichtlinien können zentral vom Server aus verwaltet werden, und dann schob sich an die entsprechenden Agenten. Zum Beispiel könnten Sie legt ein Konzept darüber, welche Windows-Anwendungen akzeptabel sind (Office, Firefox, etc.) und welche nicht (IM-Client, Skype, usw.). Sie können sogar akzeptabel Konfigurationsoptionen wie vergewissert haben, dass NT-Hashes werden für Passwort gespeichert, aber nicht LanMan Hashes verwendet.
OSSEC umfasst eine Reihe von anderen guten Sachen, um zu überprüfen, ob die Integrität eines Systems. Zum Beispiel OSSEC hat die Fähigkeit, Befehle von dem Mittel auszuführen und zu überwachen die Ausgabe, die generiert wird. Zum Beispiel könnten Sie haben die Linux-Agent ausführen "df" Befehl in regelmäßigen Abständen und einen Fehler erzeugen, wenn die Belegung über 90%. Ein Beispiel für Windows kann es sein, haben OSSEC einen Fehler erzeugen, wenn Datei-Informationen an die geschrieben wird, alternative Datenströme von NTFS-Bereich.
Active Response
Schließlich enthält OSSEC die Fähigkeit, zu reagieren, wenn verdächtige Aktivität festgestellt wird. Antworten können von dem Server oder dem Agenten, die jemals von Ihnen angegebenen generiert werden. Die Antworten können als gutartige als Erzeugung eines Email-Alarm, zum Sein als proaktiver als die Blockade einer Remote-IP-Adresse für eine begrenzte Zeit. Es gibt eine Reihe von Skripten enthalten aktive Reaktion auf Sie ziehen können, oder Sie können leicht Ihr eigenes schreiben.
Sichere Architektur
Die OSSEC Autoren haben große Anstrengungen unternommen, um alle Komponenten innerhalb des Produktes zu sichern. Aufgaben wie die Überprüfung der Integrität des auf dem Server durchgeführt werden, anstatt den Agenten, so dass die Vertrauenswürdigkeit des Hashes nicht bei einem Angriff kompromittiert werden. Prozesse werden mit der untersten Ebene der Berechtigungen möglich laufen und verschiedene Konten werden verwendet, um jede Komponente OSSEC laufen. Dies bedeutet, dass ein Kompromiss aus einer einzigen Applikation innerhalb OSSEC wird nicht sofort zu einem Kompromiss des kompletten Pakets führen. Weiterhin werden die meisten Komponenten innerhalb eines laufen chroot Gefängnis so ihren Zugang zu dem System sogar noch weiter eingeschränkt wird.
Final Words
Während OSSEC ist ein leistungsstarkes Tool, ist es wichtig sich daran zu erinnern, dass es ein HIDS und nicht um eine Log-Management-Lösung ist. OSSEC überprüfen können Protokolleinträge auf der Suche nach verdächtigen Mustern, aber es wird nur zu retten Alert-Informationen. So, während OSSEC nicht ersetzen wird Ihre Security Information Management (SIM)-Lösung, kann es ganz sicher verstärken es. Sie können leicht OSSEC um alle Alarme generiert es an einen zentralen Logging-Server weiterzuleiten .
Während OSSEC ist Open Source Software ist Trend Micro in erster Linie entwickelt es. Wenn Sie kommerzielle Unterstützung benötigen, können Sie einen Support-Vertrag erwerben durch sie zu einem vernünftigen Preis.
Es kommt noch mehr
In meinem nächsten Artikel werden wir bei der Installation und OSSEC Logwatch aussehen. Danach werden wir in die Integration der beiden zusammen zu bewegen.
Related posts:
