Nel mio ultimo messaggio ho descritto come Logwatch potrebbero essere utilizzati per semplificare il processo di revisione del registro. In questo post vedremo OSSEC e quello che porta in tavola.
Che cosa è OSSEC?
OSSEC , abbreviazione di "Sicurezza Open Source", è un host basato su sistema di rilevamento delle intrusioni (HIDS). In altre parole, è progettato per rilevare attacchi o violazioni delle policy, se e quando si verificano. Anche se non ha la capacità di proteggere contro gli attacchi sconosciuti o 0-Day (che sarebbe la prevenzione delle intrusioni basata su host), che include una vasta gamma di strumenti che consentono di identificare una intrusione quando si verifica, così come la misura del danno che è stato causato.
Le piattaforme supportate
Per sfruttare al meglio tutte le caratteristiche OSSEC ha da offrire, è necessario eseguire un agente sul sistema protetto. Agenti OSSEC può essere eseguito su Windows, Mac OS X, Linux, e una vasta gamma di sistemi UNIX. Se siete interessati solo alla parte di analisi dei log però, una gamma ancora più ampia di sistemi possono essere supportati. Ciò include hardware di Cisco e Juniper. Un certo numero di prodotti specifici sono supportati anche come firewall Checkpoint, Symantec Anti-Virus, Snort, Squid, e Arpwatch, solo per citarne alcuni.
Quando si installa OSSEC si hanno due opzioni di configurazione, locale o client / server. Una installazione locale viene utilizzata quando è necessario eseguire tutto su un unico sistema. Il client / server di installazione consente di eseguire un ambiente distribuito proteggendo i sistemi multipli allo stesso tempo. Mentre la maggior parte delle distribuzioni sono client / server basato, se si vuole dare un giro si può facilmente eseguire tutto in un sistema singolo test utilizzando una installazione locale OSSEC.
Analisi log
OSSEC include un log-based Intrusion Detection System (LIDS). Questa ha la capacità di rivedere i file di log in tempo quasi reale, mentre li scrutando per schemi di attacco conosciuti. Quando un registro viene generato su un sistema protetto, l'agente si occupa di trasmettere in modo sicuro l'(cifratura Blowfish tramite una pre-shared secret) accedere nuovamente al server. Il server si occuperà quindi di eseguire l'analisi.
La maggior parte degli strumenti di analisi log processo le loro regole in un formato lineare. Con questo voglio dire se abbiamo 500 regole, la regola si è selezionata, regola due, poi la regola tre, e così via fino a quando un match è trovato o si arriva alla fine del set di regole. OSSEC funziona un po 'diverso in quanto implementa una struttura ieratica alle regole. Le voci del registro vengono prima classificati e poi verificati solo contro qualsiasi normativa è opportuna. Il risultato è che, piuttosto che dover elaborare tutte le 500 regole, maggior parte degli eventi avrà confrontati con 10 regole o meno. Questo riduce drasticamente la quantità di overhead necessario per elaborare il set di regole.
Verifica integrità
OSSEC include uno strumento denominato Syscheck per eseguire il controllo dell'integrità dei file e delle directory. Se si esegue un agente di Windows, è possibile anche includere i tasti specifici all'interno del registro di Windows per essere controllati sia. Modifiche apportate ai file possono essere rilevati utilizzando sia MD-5 e SHA-1 algoritmi hash. Il sistema è estremamente personalizzabile. È possibile includere o escludere singoli file o intere strutture di directory. È anche possibile impostare un flag per rilevare la creazione di nuovi file.
L'agente software è progettato per utilizzare una minima quantità di CPU durante il controllo di integrità. Anche se questo significa il controllo richiederà più tempo, ma aiuta anche a ridurre al minimo il calo di performance del sistema. Informazioni hash viene trasmessa al server. Il server si occuperà quindi di eseguire il confronto hash per vedere se qualcuno dei file critici del sistema sono state modificate. Il server memorizza anche una copia della politica di controllo di integrità, in modo che se cambia la politica sono fatte per l'agente, possono essere rilevate e segnalate pure.
Rilevamento delle anomalie
OSSEC va ben oltre la verifica del log per verificare l'integrità del sistema. Policy di utilizzo possono essere gestiti centralmente dal server, e poi spinto fuori agli agenti appropriati. Per esempio si potrebbe definire una politica che per quanto riguarda le applicazioni Windows sono accettabili (Office, Firefox, ecc) e quali no (client di messaggistica istantanea, Skype, ecc.) È anche possibile definire le opzioni di configurazione accettabile come verificare che gli hash NT vengono utilizzati per la password memorizzata, ma non gli hash LanMan.
OSSEC include una serie di altre cose interessanti al fine di contribuire a verificare l'integrità di un sistema. Per esempio OSSEC ha la capacità di eseguire comandi da agente e monitorare l'uscita che viene generato. Per esempio si potrebbe avere l'agente Linux eseguire il comando "df" a intervalli regolari e generare un allarme se l'utilizzo del disco supera il 90%. Un esempio Windows potrebbe essere quello di avere OSSEC generare un avviso ogni volta che file di informazioni viene scritto flussi di dati alternativi nell'area di NTFS.
Risposta attivo
Infine, OSSEC include la possibilità di rispondere quando viene rilevata un'attività sospetta. Le risposte possono essere generati dal server o l'agente, che mai si specifica. Le risposte possono essere benigni la generazione di una e-mail di avviso, di essere come proattiva come il blocco di un indirizzo IP remoto per un periodo limitato di tempo. Ci sono una serie di script inclusi risposta attiva è possibile disegnare, oppure si può facilmente scrivere il vostro.
Architettura sicuro
Gli autori OSSEC hanno fatto di tutto per proteggere tutti i componenti all'interno del prodotto. Attività quali il controllo dell'integrità vengono eseguite sul server, piuttosto che l'agente, così l'affidabilità del hash non può essere compromessa durante un attacco. I processi sono gestiti con il più basso livello di autorizzazioni possibili e diversi account utilizzati per eseguire ogni componente OSSEC. Ciò significa che un compromesso di una domanda unica ai OSSEC non immediatamente portare a un compromesso del pacchetto completo. Inoltre, la maggior parte dei componenti sono gestiti all'interno di una prigione chroot così il loro accesso al sistema è ulteriormente ristretta.
Le parole finali
Mentre OSSEC è uno strumento potente, è importante ricordare che si tratta di un HIDS e non una soluzione di gestione dei log. OSSEC possibile rivedere le voci del registro alla ricerca di segnali sospetti, ma sarà solo salvare le informazioni allerta. Così, mentre OSSEC non sostituisce il tuo Information Security Management (SIM) soluzione, può certamente aumentare la. È possibile configurare facilmente OSSEC a inoltrare tutte le segnalazioni che genera a un server centrale di registrazione .
Mentre OSSEC è un software open source, Trend Micro è principalmente lo sviluppo. Se hai bisogno di supporto commerciale, è possibile acquistare un contratto di assistenza attraverso di loro ad un costo ragionevole.
Più a venire
Nella mia prossima puntata vedremo l'installazione OSSEC e Logwatch. Dopo di che, ci sposteremo in integrando le due cose insieme.
Related posts:
