Dans mon dernier message j'ai décrit comment Logwatch pourrait être utilisé pour simplifier le processus d'examen du journal. Dans ce post nous allons voir OSSEC et ce qu'elle apporte à la table.
Qu'est-ce que OSSEC?
OSSEC , abréviation de «sécurité Open Source", est un hôte système basé détection d'intrusion (HIDS). En d'autres termes, il est conçu pour détecter des attaques ou des violations de politique, si et quand ils se produisent. Bien qu'il ne possède pas la capacité de protéger contre les attaques inconnues ou 0-Day (ce qui serait la prévention d'intrusion basée sur l'hôte), il inclut un large éventail d'outils qui peuvent vous aider à identifier une intrusion quand elle survient, ainsi que dans la mesure des dommages qui ont été causés.
Plates-formes supportées
Pour profiter de toutes les fonctionnalités de OSSEC a à offrir, vous devez exécuter un agent sur le système à protéger. Agents OSSEC peut fonctionner sur Windows, Mac OS X, Linux, et un large éventail de systèmes UNIX. Si vous êtes simplement intéressé à la partie analyse des journaux cependant, une gamme encore plus large de systèmes peuvent être pris en charge. Cela comprend le matériel à la fois de Cisco et Juniper. Un certain nombre de produits spécifiques sont également pris en charge comme les firewalls Checkpoint, Symantec Anti-Virus, Snort, Squid, et Arpwatch, pour n'en nommer que quelques-uns.
Lorsque vous installez OSSEC vous avez deux options de configuration, local ou client / serveur. Une installation locale est utilisée lorsque vous devez tout faire sur un seul système. L'installation du client / serveur vous permet d'exécuter un environnement distribué protection des systèmes multiples dans le même temps. Alors que la plupart des déploiements sont client / serveur basée, si vous voulez donner un tour OSSEC vous pouvez facilement lancer le tout sur un système de test unique en utilisant une installation locale.
Connexion Analyse
OSSEC comprend un système basé sur le journal de détection d'intrusion (couvercles). Cela a la possibilité de consulter les fichiers journaux en quasi temps réel, tout en les scrutant des schémas d'attaque connus. Quand un journal est généré sur un système protégé, l'agent prend soin de transmettre en toute sécurité le journal (Cryptage Blowfish avec un secret pré-partagé) vers le serveur. Le serveur se charge ensuite d'effectuer l'analyse.
La plupart des outils d'analyse de journaux traitent leurs règles dans un format linéaire. J'entends par là que si nous avons 500 règles, seule règle est vérifiée, alors la règle des deux, alors la règle de trois et ainsi de suite jusqu'à une correspondance est trouvée, ou nous rejoindre à la fin du jeu de règles. OSSEC fonctionne un peu différemment car il met en œuvre une structure hiératique aux règles. Les entrées du journal sont d'abord classés et ensuite vérifié que contre celui règles sont appropriées. Le résultat est que plutôt que de devoir traiter tous les 500 règles, la plupart des événements auront vérifié contre 10 règles ou moins. Cela réduit considérablement le montant des frais généraux nécessaires au traitement de l'ensemble de règles.
Vérification de l'intégrité
OSSEC inclut un outil appelé syscheck pour effectuer la vérification d'intégrité de fichier et de répertoire. Si vous utilisez un agent de Windows, vous pouvez également inclure des touches spécifiques dans le registre de Windows pour être surveillés aussi bien. Modifications de fichiers peuvent être détectés en utilisant les deux MD-5 et SHA-1 algorithmes de hachage. Le système est extrêmement personnalisable. Vous pouvez inclure ou exclure des fichiers uniques, ou des structures de répertoires entières. Vous pouvez même définir un indicateur pour détecter la création du nouveau fichier.
Le logiciel agent est conçu pour utiliser une quantité minimale de CPU lors de la vérification d'intégrité. Tout cela signifie que le chèque sera plus long, il contribue également à minimiser la perte de performance du système. Hash informations sont transmises au serveur. Le serveur se charge ensuite d'effectuer la comparaison de hachage pour voir si l'un des fichiers critiques du système ont été modifiés. Le serveur stocke également une copie de la politique de contrôle d'intégrité, de sorte que si des changements de politiques sont faites sur l'agent, ils peuvent être détectés et signalés ainsi.
Détection des anomalies
OSSEC va beaucoup plus loin log vérifiant pour vérifier l'intégrité du système. Politiques d'utilisation peuvent être gérés de manière centralisée depuis le serveur, puis poussé vers les agents appropriés. Par exemple vous pouvez définir une politique concernant les applications Windows qui sont acceptables (Office, Firefox, etc) et celles qui ne sont pas (client de messagerie instantanée, Skype, etc.) Vous pouvez même définir des options de configuration acceptable, comme vérifier que les hachages NT sont utilisés pour mot de passe stocké mais pas hachages LanMan.
OSSEC comprend un certain nombre d'autres goodies afin d'aider à vérifier l'intégrité d'un système. Par exemple OSSEC a la capacité d'exécuter des commandes de l'agent et de surveiller la sortie qui est généré. Par exemple vous pourriez avoir l'agent Linux d'exécuter le "df" commande à intervalles réguliers et générer une alerte si l'utilisation du disque dépasse 90%. Un exemple de Windows peut être d'avoir OSSEC générer une alerte à chaque fichier d'informations sont écrites dans le flux de données alternatif domaine de NTFS.
Active Response
Enfin, OSSEC inclut la capacité à réagir lorsqu'une activité suspecte est détectée. Les réponses peuvent être générés à partir du serveur ou de l'agent, qui jamais vous spécifiez. Les réponses peuvent être aussi bénin que générer une alerte e-mail, d'être aussi proactif que le blocage d'une adresse IP distante d'une quantité limitée de temps. Il ya un certain nombre de scripts inclus réponse active vous pouvez dessiner sur, ou vous pouvez facilement écrire le vôtre.
Une architecture sécurisée
Les auteurs ont OSSEC fait de grands efforts pour sécuriser l'ensemble des composants dans le produit. Les tâches telles que la vérification de l'intégrité sont effectués sur le serveur, plutôt que de l'agent, donc la fiabilité du hash ne peuvent pas être compromises lors d'une attaque. Les processus sont exécutés avec le plus bas niveau d'autorisations possibles, et les différents comptes sont utilisés pour faire fonctionner chaque composant OSSEC. Cela signifie qu'un compromis d'une demande unique au OSSEC ne sera pas immédiatement conduire à un compromis sur le paquet complet. En outre, la plupart des composants sont gérés au sein d'une prison chrooté afin de leur accès au système est encore plus restreint.
Final Words
Bien OSSEC est un outil puissant, il est important de se rappeler que c'est un HIDS et non une solution de gestion des logs. OSSEC pouvez consulter les entrées de journal à la recherche d'habitudes suspectes, mais il ne fera que sauvegarder des informations d'alerte. Ainsi, alors que OSSEC ne remplacera pas votre Security Information Management (SIM) en solution, il peut très certainement l'augmenter. Vous pouvez facilement configurer OSSEC à l'avant toutes les alertes qu'il génère à un serveur de journalisation central .
Bien OSSEC est un logiciel open source, Trend Micro est principalement son développement. Si vous avez besoin de support commercial, vous pouvez acheter un contrat de support à travers eux à un prix raisonnable.
Plus à venir
Dans mon prochain épisode, nous allons voir l'installation de OSSEC et Logwatch. Après cela, nous allons passer en intégrant les deux ensemble.
Related posts:
