En mi último post me describió cómo Logwatch podrían ser utilizados para simplificar el proceso de revisión del registro. En este post vamos a ver OSSEC y lo que trae a la mesa.
¿Qué es OSSEC?
OSSEC , abreviatura de "seguridad de código abierto", es una serie basada en el sistema de detección de intrusos (HIDS). En otras palabras, está diseñado para detectar ataques o violaciónes de política, siempre y cuando se producen. Si bien no tiene la capacidad de proteger frente a ataques desconocidos o de día 0 (que sería la prevención de intrusiones basado), que incluye una amplia gama de herramientas que pueden ayudarle a identificar una intrusión cuando se produce, así como el alcance de la de los daños que ha causado.
Plataformas compatibles
Para tomar ventaja de todas las características OSSEC tiene para ofrecer, usted tiene que ejecutar un agente en el sistema se está protegiendo. Agentes OSSEC puede ejecutar en Windows, Mac OS X, Linux, y una amplia gama de sistemas UNIX. Si está interesado solamente en la parte de análisis de registros sin embargo, una gama más amplia de sistemas pueden ser compatibles. Esto incluye el hardware de Cisco y Juniper. Una serie de productos específicos también son compatibles, como firewalls Checkpoint, Symantec Anti-Virus, Snort, Squid, y Arpwatch, sólo para nombrar unos pocos.
Al instalar OSSEC usted tiene dos opciones de configuración, local o cliente / servidor. Una instalación local se utiliza cuando se necesita para ejecutar todo en un solo sistema. La instalación de cliente / servidor permite ejecutar un entorno distribuido de proteger los sistemas múltiples a la vez. Aunque la mayoría de las implementaciones son cliente / servidor, si usted quiere dar un giro OSSEC que puede ejecutar todo en un sistema de prueba solo con una instalación local.
De análisis de registro
OSSEC incluye un sistema de intrusión basado en un registro de detección (tapas). Esto tiene la posibilidad de revisar los archivos de registro en tiempo real, mientras que para examinar los patrones de ataque conocidos. Cuando un registro se genera en un sistema protegido, el agente se encarga de transmitir de forma segura el registro (cifrado Blowfish con un secreto pre-compartida) de vuelta al servidor. Después, el servidor se encarga de realizar el análisis.
La mayoría de las herramientas de análisis de registro de proceso de sus reglas en un formato lineal. Con esto quiero decir, si tenemos 500 reglas, la regla uno es seleccionado, entonces la regla dos, entonces la regla de tres y así sucesivamente hasta que se encuentra una coincidencia o se llega al final del conjunto de reglas. OSSEC trabaja un poco diferente, ya que implementa una estructura hierática a las reglas. Las entradas del registro son los primeros clasificados y luego verificarán contra lo que las reglas son las adecuadas. El resultado es que en lugar de tener que procesar todas las 500 normas, la mayoría de los eventos que nos registramos en contra de las reglas 10 o menos. Esto reduce drásticamente la cantidad de carga necesaria para procesar el conjunto de reglas.
Comprobación de la integridad
OSSEC incluye una herramienta llamada Syscheck para llevar a cabo la comprobación de integridad de archivos y directorios. Si está ejecutando un agente de Windows, también puede incluir teclas específicas en el registro de Windows para ser controlados también. Cambios en los archivos pueden ser detectados utilizando MD-5 y SHA-1 hash de algoritmos. El sistema es extremadamente personalizable. Puede incluir o excluir archivos individuales, o estructuras enteras del directorio. Incluso se puede establecer un indicador para detectar la creación de archivos nuevos.
El software del agente está diseñado para utilizar una cantidad mínima de la CPU durante la comprobación de integridad. Si bien esto significa que el cheque se tomará más tiempo, sino que también ayuda a minimizar el impacto en el rendimiento del sistema. Información de hash se transmite de vuelta al servidor. Después, el servidor se encarga de realizar la comparación de hash para ver si alguno de los archivos críticos del sistema han cambiado. El servidor también almacena una copia de la política de control de integridad, de modo que si los cambios de política se hacen en el agente, que puede ser detectado y reportado también.
Detección de anomalías
OSSEC va mucho más allá de registro de control para verificar la integridad del sistema. Las políticas de uso se puede gestionar de forma centralizada desde el servidor, y luego se transfieren a los agentes adecuados. Por ejemplo, podría definir una política respecto de los cuales las aplicaciones de Windows son aceptables (Office, Firefox, etc) y cuáles no lo son (cliente de mensajería instantánea, Skype, etc.) Usted puede incluso definir las opciones de configuración como aceptable la verificación de que los hashes NT se utilizan para almacenar la contraseña pero no hashes LanMan.
OSSEC incluye un número de ventajas que otros con el fin de ayudar a verificar la integridad del sistema. Por ejemplo OSSEC tiene la capacidad para ejecutar comandos del agente y controlar la salida que se genera. Por ejemplo, usted podría tener el agente de Linux ejecutar el "df" mando a intervalos regulares y generar una alerta si el uso del disco excede el 90%. Un ejemplo de Windows puede tener OSSEC generar una alerta cada vez que información de los archivos se escriben en el flujos de datos alternativos área de NTFS.
Respuesta Activa
Por último, OSSEC incluye la capacidad de responder cuando se detecta actividad sospechosa. Las respuestas pueden ser generados por el servidor o el agente, lo que usted especifique. Las respuestas pueden ser tan benigna como la generación de una alerta por e-mail, de ser tan proactivos como el bloqueo de una dirección IP remota de una cantidad limitada de tiempo. Hay una serie de scripts incluidos respuesta activa se puede dibujar, o usted puede fácilmente escribir el suyo propio.
Arquitectura Segura
Los autores OSSEC han hecho grandes esfuerzos para asegurar que todos los componentes en el producto. Tareas como la comprobación de integridad se llevan a cabo en el servidor, en lugar del agente, por lo que la fiabilidad de los valores hash no puede verse comprometida durante un ataque. Los procesos se ejecutan con el nivel más bajo de permisos posibles, y las diferentes cuentas se utilizan para ejecutar cada componente OSSEC. Esto significa que un compromiso de una aplicación de un OSSEC no nos llevará a un compromiso de todo el paquete. Además, la mayoría de los componentes se ejecutan dentro de una cárcel chroot por lo que su acceso al sistema es aún más restringida.
Palabras finales
Mientras OSSEC es una poderosa herramienta, es importante recordar que se trata de un HIDS y no una solución de administración de registros. OSSEC puede revisar las entradas del registro en busca de patrones sospechosos, pero sólo se guarda la información de alerta. Así, mientras que OSSEC no sustituirá a la Gestión de Seguridad de la Información (SIM) en solución, que puede sin duda que aumentar. Puede configurar fácilmente OSSEC para desviar todas las alertas que genera a un servidor central de registro .
Mientras OSSEC es un software de código abierto, Trend Micro es principalmente su desarrollo. Si necesita soporte comercial, usted puede comprar un contrato de asistencia técnica a través de ellos a un precio razonable.
Más por venir
En mi próxima entrega veremos la instalación de OSSEC y Logwatch. Después de eso, vamos a pasar a la integración de los dos juntos.
Puestos relacionados con:
