Nel mio ultimo post abbiamo installato Logwatch così come OSSEC. E 'giunto il momento di ottenere Logwatch e OSSEC giocare insieme nella stessa sandbox. In questo post parlerò come raggiungere Logwatch di riassumere le informazioni che vengono generate da OSSEC.

Opzioni di distribuzione

Abbiamo due strade che possiamo seguire per impostare questa funzione:

1. Hanno Logwatch analizzare i log OSSEC direttamente.
2. Hanno OSSEC inviare le proprie segnalazioni a un server Syslog tipo, quindi eseguire Logwatch sul server Syslog.

Il vantaggio per l'opzione # 1 è che abbiamo bisogno di un solo sistema. Logwatch verrà eseguito sul sistema che ospita il server OSSEC. Il problema che stiamo andando a correre in quanto coinvolge il file OSSEC avviso. Voci di registro non vengono normalizzati. Ciò significa che il formato può cambiare da ingresso ingresso, e può anche distribuite su più righe. Sta andando essere un vero incubo per creare uno script Logwatch che filtrerà e sintetizzare le informazioni di allerta.

Se andiamo con opzione # 2, si richiederà un altro box di agire come i nostri server di registrazione centralizzata. Al fine di avere il server OSSEC accettare voci di registro da non-agente, deve ascoltare il UDP/514. Questa è la stessa porta utilizzata da un server di logging centralizzato, e non è possibile avere due applicazioni condividono la stessa porta (tranne che con Windows, ma l'accesso socket è molto disordinato). Sul lato positivo, le voci di allarme avranno normalizzato quando vengono trasmessi al server Syslog per la creazione di uno script di sintesi Logwatch sarà molto più facile. Inoltre, Logwatch sa già sui file Syslog standard, quindi dovremo lavorare di personalizzazione meno da fare.

Infine, ho accennato in un precedente post che OSSEC non è progettato per essere una SIM. Questo è perché non registrare tutto, solo gli eventi che generano un avviso. Quindi siamo probabilmente vorrà un server centralizzato in ogni caso, e ha senso farlo memorizzare le informazioni che vengono generate da OSSEC.

Quindi, se suona come io vi guida verso la scelta # 2, si è assolutamente corretto. Detto questo, io sto in realtà andando a coprire l'opzione # 1 in quanto è una configurazione molto più complesso.

Dealing With Date / Time Stamps

Date un'occhiata al file di log principale OSSEC e si dovrebbe vedere simile al seguente:

[Root @ fubar log] # tail -3 / var / OSSEC / log / ossec.log

2010/02/18 00:32:05 OSSEC-rootcheck: INFO: Fine scansione rootcheck.

2010/02/18 14:27:06 OSSEC-syscheckd: INFO: Starting syscheck scansione.

2010/02/18 14:39:21 OSSEC-syscheckd: INFO: Fine syscheck scansione.

Notare il modo in cui viene formattato la data / ora. Questo è diverso dalla maggior parte delle applicazioni, quindi la prima cosa avremo bisogno di fare è dire Logwatch come trattare con questo formato. Avremo bisogno di creare uno script che possiamo chiamare in caso di necessità, che comprende il formato sopra indicato.

Avviare muovendo nella directory condivisa script:

cd / usr / share / logwatch / scripts / shared

Utilizzando il vostro editor preferito, creare un file denominato "applylongdate":

vi applylongdate

Ecco che cosa avete bisogno all'interno di quel file. Sentitevi liberi di copia / incolla da questa pagina:

uso Logwatch ': date';

my $ debug = $ ENV {'LOGWATCH_DEBUG'} | | 0;

$ SearchDate = TimeFilter ('% Y /% m /% d% H:% M:% S');

if ($ debug> 5) {

print STDERR "DEBUG: ApplyLongDate Dentro ... \ n";

print "DEBUG: In cerca di:" STDERR. $ SearchDate. "\ N";

}

while (defined ($ questa_riga <STDIN> =)) {

if ($ questa_riga = ~ m / ^ $ SearchDate / o) {

print $ questa_riga = ~ s / ^ .... \ / .. \ / .. ..:..:.. / /;

print $ questa_riga;

}

}

# Vi: shiftwidth = 3 = sintassi perl tabstop = 3 et

Una volta salvato il file, ora abbiamo bisogno di impostare le autorizzazioni appropriate:

chmod 755 applylongdate

Configurazione del file di log

Poi abbiamo bisogno di dire Logwatch in cui i file di log OSSEC si trovano. Ogni volta che si aggiungono nuovi file di log o creare nuovi servizi per il monitoraggio in Logwatch, è necessario posizionare le modifiche sotto la directory / etc / logwatch. Abbiamo intenzione di creare due file di configurazione. Il primo si occuperà messaggi OSSEC, e il secondo si occuperà avvisi OSSEC e cambiamenti risposta attiva.

Cominciamo con la creazione del file di configurazione per le principali file di log OSSEC:

cd / etc / logwatch / conf / logfiles

vi ossec.conf

Il contenuto del file deve essere il più seguito:

LogFile = / var / OSSEC / log / ossec.log

* ApplyLongDate =

È ora possibile salvare e uscire dal file. Successivamente, creeremo il file di configurazione dei file di registro rimanenti:

vi OSSEC-alert.conf

Il contenuto di questo file deve essere il più seguito:

LogFile = / var / OSSEC / log / active-responses.log

LogFile = / var / OSSEC / log / avvisi / alerts.log

LogFile = / var / OSSEC / log / firewall / firewall.log

Una volta completata, salvare ed uscire. I permessi di default dovrebbe essere accettabile per la nostra impostazione.

Configurazione dei servizi OSSEC

Successivamente, è necessario per definire i servizi OSSEC e identificare ciò che vogliamo usare come titolo quando i report vengono generati. Ecco come creare il primo file:

cd / etc / logwatch / conf / servizi

vi ossec.conf

Il contenuto di questo file è molto semplice:

Title = "OSSEC Messaggi"

LogFile = OSSEC

Una volta completato è possibile salvare e uscire. Abbiamo bisogno di creare un file di più in questa directory:

vi OSSEC-alert.conf

Il contenuto di questo file deve essere:

Title = "OSSEC avvisi"

LogFile = OSSEC-alert

Al termine, salvare e uscire come al solito.

L'analisi di voci

Quindi, abbiamo bisogno di dire Logwatch come formattare le voci di registro all'interno del report. Avremo bisogno di creare uno script di personalizzazione per ogni insieme di servizi. Stiamo per iniziare utilizzando uno script di test in dotazione Logwatch, solo per fare verificato che tutto funzioni.

Avviare muovendo nella directory appropriata:

cd / etc / logwatch / scripts / servizi

Usa il tuo editor preferito per creare il tuo primo script:

vi OSSEC

Il contenuto dello script deve essere il più seguito:

#! / Bin / bash

# Questo script come è bello che vi mostrerà le linee si

# Essere l'elaborazione e report. Si visualizzerà prima la

# Variabili d'ambiente standard e poi ci vuole STDIN e

# Fare un dump terzino destro fuori su STDOUT.

# Queste sono le variabili d'ambiente standard. È possibile definire

# Più nel file di configurazione di servizio (vedi sopra).

echo "Intervallo date: $ LOGWATCH_DATE_RANGE"

echo "Livello di dettaglio: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Livello di debug: $ LOGWATCH_DEBUG"

# Ora prendete STDIN e discarica a STDOUT

gatto

Ora create il vostro secondo script:

vi OSSEC-alert

e includere il contenuto esattamente lo stesso:

#! / Bin / bash

# Questo script come è bello che vi mostrerà le linee si

# Essere l'elaborazione e report. Si visualizzerà prima la

# Variabili d'ambiente standard e poi ci vuole STDIN e

# Fare un dump terzino destro fuori su STDOUT.

# Queste sono le variabili d'ambiente standard. È possibile definire

# Più nel file di configurazione di servizio (vedi sopra).

echo "Intervallo date: $ LOGWATCH_DATE_RANGE"

echo "Livello di dettaglio: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Livello di debug: $ LOGWATCH_DEBUG"

# Ora prendete STDIN e discarica a STDOUT

gatto

Infine, abbiamo bisogno di impostare le autorizzazioni appropriate:

chmod 755 OSSEC *

L'installazione di prova

Il modo più semplice per testare la nostra nuova configurazione è di lanciare il comando:

logwatch | less

Se si desidera solo per visualizzare le modifiche, è possibile eseguire una relazione su ogni servizio, uno alla volta:

logwatch servizio OSSEC | less

logwatch-service OSSEC-alert | less

Personalizzazione ulteriormente

Una volta arrivati ​​tutto il lavoro di cui sopra, è possibile concentrarsi su come ottenere Logwatch di filtrare e sintetizzare le voci del registro. Logwatch è abbastanza flessibile, e si può personalizzare l'output nel modo desiderato. Una delle cose belle lo script di test è al di sopra che mostra esattamente quello che hai da lavorare. Così con un po 'di magia espressione regolare è possibile riassumere le voci nel modo che ritiene opportuno. Per alcune idee, controllare il file che si trovano sotto:

/ Usr / share / logwatch / scripts / servizi

Questi sono gli script di default fornito con sintesi Logwatch. In particolare, hanno uno sguardo al file "pam" e "sshd". Essi sono grandi esempi sia di una semplice e una complessa serie di filtri di sintesi.

Durante lo sviluppo script, prestare molta attenzione ai $ "variabile LOGWATCH_DETAIL_LEVEL. Questo vi permetterà di personalizzare il livello di uscita del rapporto a seconda di quanto verbosità l'utente sta cercando. Per esempio, mentre siete ancora nella directory sopra servizi, eseguire il seguente comando:

meno sshd

Quando la prima pagina del contenuto del file viene visualizzato, digitare:

/ Dettaglio <Inserisci key>

Il backslash ci permette di cercare il file una stringa di testo particolare. In questo caso siamo alla ricerca del "dettaglio" parola. Una volta premuto Invio la ricerca permette di saltare attraverso il file fino a che trova la prima istanza della stringa di testo. Sarà anche evidenziare la stringa di ricerca. Nella prima partita si nota che l'autore assegnato alla variabile "$ Detail" per essere lo stesso della variabile $ LOGWATCH_DETAIL_LEVEL ". Questo per risparmiare loro un po 'di digitazione.

Ora premete il tasto backslash ancora seguito dal tasto Invio. Questo saltare attraverso il file nella successiva istanza di "Detail". Si dovrebbe vedere:

if ($ Dettaglio> = 20) {

Gli utenti $ {$ user} {$ host}} {$ Metodo + +;

Else {}

if ($ host! ~ / $ IgnoreHost /) {

Gli utenti $ {$ user} {} {$ host "(tutti )"}++;

Nota l'autore fornisce ulteriori informazioni se il livello di dettaglio è impostato a 20 (a metà strada tra la bassa e media) o superiore. Continuare a saltare attraverso il file e vedrete altri esempi in cui l'autore sfruttato questa tecnica.

Ora pagina fino alla fine del file e dovreste vedere questa dichiarazione:

if (keys% OtherList) {

print "\ n ** ** Le voci senza pari \ n";

print "$ _: $ OtherList {$ _} tempo (s) \ n" foreach keys% OtherList;

}

Questa sezione è estremamente importante, in quanto è un ripostiglio finale. Pensate ad una politica del firewall per un momento. La maggior parte di noi di creare una regolamentazione definitiva che dice: "Se non ho specificamente permesso il traffico attraverso un modello, negarla". In altre parole, se succede qualcosa di inaspettato, è così che voglio che tu gestirlo.

La dichiarazione di cui sopra serve allo stesso scopo durante l'analisi del file di log. Tutte le precedenti "if" tentativo di corrispondere una specifica stringa di testo nella voce di registro al fine di formattarlo correttamente. Questa voce dice: "Se non hai trovato e stampato una voce specifica log ancora, stampare in una sezione intitolata" Voci senza precedenti ** ** ". Questa fase è estremamente importante perché senza di essa non riusciremo mai a vedere le voci inaspettate. E 'l'inaspettato voci che sono probabilmente i più importanti e più interessanti.

Executive Summary

Sia OSSEC e Logwatch sono eccellenti strumenti gratuiti. OSSEC eccelle in allarme quando un modello di attacco conosciuto ha luogo. Logwatch è uno strumento formidabile per riassumere un pezzo il tempo dei tronchi così che gli umani possono realmente dare un senso a ciò che sta accadendo. Combinando i due strumenti è possibile creare una difesa molto più solida in profondità postura. Il tutto diventa più grande della somma delle parti.

Nei miei ultimi due post ho discusso Logwatch e OSSEC, e come essi possono essere sfruttare per aumentare la vostra sicurezza. In questa puntata parlerò come installare entrambi di questi strumenti.

Installazione Logwatch

Logwatch è abbastanza facile da installare. In realtà, è installato di default su molte distribuzioni Linux in modo da avere già una copia sul vostro sistema. Per controllare, l'accesso come root e provare ad eseguire Logwatch con la "-v" interruttore. Se si vede:

[Root @ fubar logwatch] # logwatch-v

Logwatch 7.3.6 (rilasciata 05/19/07)

Logwatch è installato e di avere una copia della versione più recente. Se non si dispone dell'ultima versione, è possibile afferrare dalla pagina di download Logwatch .

Ci sono tre tipi di Logwatch che può essere scaricato; binari in formato RPM, sorgente in formato RPM o sorgenti, in una palla di catrame. Se il sistema supporta la gestione dei pacchetti RPM, l'RPM binario è la scelta migliore. E 'semplice da installare e RPM aggiorna automaticamente il software quando sono disponibili nuove versioni.

Installazione Logwatch Da RPM

Per installare la versione binaria del RPM, semplicemente l'accesso come root e passare alla directory dove avete scaricato il file RPM. Ora eseguire il comando:

rpm-U logwatch-7.3.6-1.noarch.rpm

Non dimenticare è possibile utilizzare il tasto TAB per il completamento automatico del nome del file piuttosto che dover digitare l'intera faccenda.

Installazione Logwatch da sorgenti

L'installazione da sorgenti è un po 'più lunghi. Ricordate che per poter installare il codice sorgente è necessario avere già un compilatore (come gcc) installato sul vostro sistema. Di accesso come root e accedere alla directory in cui avete scaricato la palla Tar. Per estrarre l'archivio, eseguire il comando:

tar xvzf logwatch-7.3.6.tar.gz

Vedrete una struttura di directory sotto la posizione corrente vengono creati e un sacco di file da copiare pollici Abbiamo ora bisogno di spostarsi nella directory di livello superiore che è stato creato:

logwatch cd-7.3.6

Al fine di Logwatch a correre, ci sono un sacco di directory che devono essere creati sul sistema. Questi sono documentate nel file README nella directory corrente. Fortunatamente, Logwatch include uno script di installazione che può fare tutto il lavoro per voi. Sfortunatamente, lo script ha i permessi impostati in modo sbagliato non verrà eseguito di default. Questo è abbastanza facile da risolvere ma con il comando chmod:

chmod 500 install_logwatch.sh

Ora siamo in grado di eseguire lo script per impostare il nostro sistema:

. / Install_logwatch.sh

Non dimenticare il punto all'inizio della riga.

Test Logwatch

Per testare la configurazione Logwatch, eseguire il comando:

logwatch | less

Vedrete il vostro schermo del terminale va in bianco, ma questo è normale. Alla fine vedrete un rapporto Logwatch ottenere stampati a schermo che è possibile navigare attraverso l'utilizzo del "Page Up" e "Page Down". Come accedere ci vuole per il rapporto di mostrare sullo schermo dipende dalla quantità di informazioni di log deve avere analizzato. Si potrebbe richiedere alcuni secondi o un paio di minuti. Ad ogni modo, che vi darà la possibilità di familiarizzare con il formato del report.

Installazione OSSEC

Come ho detto nel mio ultimo post, hai due opzioni di installazione con OSSEC, locale o client / server. In questo post ho intenzione di concentrarsi sul client / server di configurazione, in quanto è un po 'più complessa. Se si sta eseguendo un'installazione locale, è sufficiente selezionare l'opzione "locale" durante il processo di installazione e saltare la sezione su come configurare un canale protetto tra l'agente e il server.

Inizia con il Server

OSSEC utilizza la crittografia Blowfish per proteggere la comunicazione tra il client e il server. Blowfish è la chiave simmetrica basata, in modo da entrambe le parti devono sapere quale valore chiave da utilizzare per comunicare. Il server è responsabile della generazione della chiave simmetrica, quindi dobbiamo installare il software del primo server. Durante il client di installazione ci verrà chiesto, per un valore chiave quindi ovviamente avremo bisogno di avere a portata di mano che prima del tempo.

Ecco un suggerimento risparmio di tempo. The key value is long and nearly impossible to remember. The easiest way to move the key value from the server system to the agent system is to use SSH. Create a secure connection to the OSSEC server, and extract the appropriate key (directions provided below). In a second terminal window, create an SSH session to the system where you will be installing the agent. When the client install prompts you for the key value, you can simply copy/paste between the two terminals.

Installing The OSSEC Server

The server software is available as a Tar ball, so you can grab a copy of the latest version from the OSSEC download page . You will then need to extract the contents of the Tar ball:

tar xvzf ossec-hids-2.3.tar.gz

Next, move into the directory structure you just created:

cd ossec-hids-2.3

OSSEC provides an install script to walk you through the process of installing the server. To start the script, type:

./install.sh

Don't forget the period at the beginning of the command. You will now be prompted through a number of install options:

• Language – The default is English. Change as needed.
• Confirmation of installation – Press Enter once you have read the screen.
• Install type – Type in “server” without the quotes and press Enter.
• Install location – Accept the default.
• E-mail notification – Default is yes, select if you want e-mail alerts. If you select yes, you will be prompted for a valid e-mail address and mail server.
• Integrity check – Default is yes. Select if you want the local system periodically checked for intrusions.
• Root kit detection – Default is yes. Good option since we need to maintain a high level of integrity on this system.
• Active response – Default is yes. Select this option if you wish to be able to respond to events.
• Firewall drop – Permits the OSSEC server to defend it self if a direct attack is detected.
• White list – This will permit you to add IP addresses from which possible attacks will be ignored. Be careful with this option. If you will not have console access to the OSSEC server, it might be wise to identify one IP address that can always get in. Just ensure the source IP is a trustworthy system.
• Enable Syslog – Default is yes. Select this option if you wish to collect logs from system that cannot run an OSSEC agent (like firewalls, switches, routers, access points, etc.).
• Log files to be monitored – This screen identifies all of the local log files OSSEC will monitor. It is purely information, so all you can do is press Enter to move past it. If you notice one or more log files missing from the list, you can add them later to the ossec.conf file.

At this point OSSEC will access the local complier and install all needed files onto the system. Once complete, you can start the OSSEC server by executing the command:

/var/ossec/bin/ossec-control start

Defining OSSEC Agents

We are not done with the OSSEC server just yet. Next, we need to pre-define any systems that will be running the OSSEC agent (client) software. This is performed using the manage_agents command. First however, we need to do a bit of homework. Make a list of all of the systems that will be running the OSSEC agent software. For each system, you will need a descriptive name as well as that system's IP address.

Now, execute the following from the command line:

/var/ossec/bin/manage_agents

This will produce the Agent Manager main menu. Press “A” followed by the Enter key to define your first system. Enter a descriptive name for the first system, followed by the system's IP address. Don't worry about the agent ID number. Simply accept the default and OSSEC will auto-assign the next available ID number. Once you confirm the information you entered, you will be returned to the Agent Manager main menu. Repeat the above process for each system that will be running an OSSEC agent.

Generating Keys

Once you have added in all of your systems, it is time to generate encryption keys. This step is also performed with the manage_agents utility. If you closed the tool after the last step, relaunch it now.

Press the “E” key followed by Enter to select the “Extract key for an agent” menu option. You will then be prompted for the ID number of the key you wish to extract. The descriptive names and IP addresses are listed with each ID number, so it should be trivial to identify which one you want. Start with the system you plan to install the agent software onto first.

OSSEC Agent Install On Linux

When installing the agent software on a Linux or UNIX client, you use the exact same Tar ball we used to install the server software. Run the same install script, but this time when you are prompted for the type of install you wish to perform, type in “agent” followed by the Enter key.

The client install has many of the same prompts as the server install. Use the info above to guide you through the process. The prompt that will vary however is that you will be asked to provide the IP address of the OSSEC server. Once complete, OSSEC will access the local complier and install all required files onto the system.

Next we need to import the Blowfish key from the OSSEC server. While still on the agent system, run the command:

/var/ossec/bin/manage_agents

When the Agent Manager menu appears, select “I” to import the Blowfish key.

When the next prompt appears, you need to manually enter the appropriate Blowfish key. Again, if you are running SSH to both systems at the same time, you can simply copy/paste between the two terminals. Make sure the key looks correct, press the Enter key, and then select “y” to confirm that the key looks correct. You will be returned to the Agent Manager menu. Select “q” in order to return to the command line.

Now we simply need to start the OSSEC agent. You can do so by executing the following command:

/var/ossec/bin/ossec-control start

You should see all of the OSSEC agent components start up, followed by a “Completed” message.

OSSEC Agent Install On Windows

OSSEC has a self-extracting executable that will permit you to install the agent software on a Windows system. Simply double click the executable to start the install process. You will be prompted to agree to the license as well as which components you wish to install. Simply follow the prompts till the OSSEC Agent Manager window appears.

The OSSEC Agent Manager window will prompt you for the IP address of the OSSEC server. It will also prompt you for the Blowfish key value to use, so extract the appropriate key on the server and enter the value in this field. Make sure you delete the prompt within this field before you paste in the Blowfish key. Otherwise communication with the server may fail.

Next, select “Manage” from the OSSEC Agent Manager menu, followed by “Start OSSEC”. You should now see the “Status:” indicator change to “Running…”.

Testing OSSEC

Once you have the server and agent software installed, started and the appropriate keys configured, it is now time to check our setup. Execute the following command on the OSSEC server:

cd /var/ossec/logs

And check out the ossec.log file:

less ossec.log

Check the log file for any errors. A common error is that OSSEC reports it cannot send e-mail. Make sure the mail server is running and that it is accepting connections. Once you are happy with the server setup, it is now time to check out the agents. Move down to the “alerts” directory:

cd alerts

And check out the alerts.log file:

less alerts.log

Specifically, you are looking for entries similar to the following:

2010 Feb 17 16:09:16 (desktop) 192.168.1.10->ossec

Rule: 501 (level 3) -> 'New ossec agent connected.'

Src IP: (none)

User: (none)

ossec: Agent started: 'test_system->192.168.1.10′.

You should see an entry for every system on which you installed the agent software.

More To Come

Caspita! That's more than enough for one post! In my next post I'll get into leveraging Logwatch to parse all of the alert information being generated by OSSEC.

In my last post I described how Logwatch could be used to simplify the log review process. In this post we'll look at OSSEC and what it brings to the table.

What Is OSSEC?

OSSEC , abbreviazione di "Sicurezza Open Source", è un host basato su sistema di rilevamento delle intrusioni (HIDS). In altre parole, è progettato per rilevare attacchi o violazioni delle policy, se e quando si verificano. Anche se non ha la capacità di proteggere contro gli attacchi sconosciuti o 0-Day (che sarebbe la prevenzione delle intrusioni basata su host), che include una vasta gamma di strumenti che consentono di identificare una intrusione quando si verifica, così come la misura del danno che è stato causato.

Le piattaforme supportate

Per sfruttare al meglio tutte le caratteristiche OSSEC ha da offrire, è necessario eseguire un agente sul sistema protetto. Agenti OSSEC può essere eseguito su Windows, Mac OS X, Linux, e una vasta gamma di sistemi UNIX. Se siete interessati solo alla parte di analisi dei log però, una gamma ancora più ampia di sistemi possono essere supportati. Ciò include hardware di Cisco e Juniper. Un certo numero di prodotti specifici sono supportati anche come firewall Checkpoint, Symantec Anti-Virus, Snort, Squid, e Arpwatch, solo per citarne alcuni.

Quando si installa OSSEC si hanno due opzioni di configurazione, locale o client / server. Una installazione locale viene utilizzata quando è necessario eseguire tutto su un unico sistema. Il client / server di installazione consente di eseguire un ambiente distribuito proteggendo i sistemi multipli allo stesso tempo. Mentre la maggior parte delle distribuzioni sono client / server basato, se si vuole dare un giro si può facilmente eseguire tutto in un sistema singolo test utilizzando una installazione locale OSSEC.

Analisi log

OSSEC include un log-based Intrusion Detection System (LIDS). Questa ha la capacità di rivedere i file di log in tempo quasi reale, mentre li scrutando per schemi di attacco conosciuti. Quando un registro viene generato su un sistema protetto, l'agente si occupa di trasmettere in modo sicuro l'(cifratura Blowfish tramite una pre-shared secret) accedere nuovamente al server. Il server si occuperà quindi di eseguire l'analisi.

La maggior parte degli strumenti di analisi log processo le loro regole in un formato lineare. Con questo voglio dire se abbiamo 500 regole, la regola si è selezionata, regola due, poi la regola tre, e così via fino a quando un match è trovato o si arriva alla fine del set di regole. OSSEC funziona un po 'diverso in quanto implementa una struttura ieratica alle regole. Le voci del registro vengono prima classificati e poi verificati solo contro qualsiasi normativa è opportuna. Il risultato è che, piuttosto che dover elaborare tutte le 500 regole, maggior parte degli eventi avrà confrontati con 10 regole o meno. Questo riduce drasticamente la quantità di overhead necessario per elaborare il set di regole.

Verifica integrità

OSSEC include uno strumento denominato Syscheck per eseguire il controllo dell'integrità dei file e delle directory. Se si esegue un agente di Windows, è possibile anche includere i tasti specifici all'interno del registro di Windows per essere controllati sia. Modifiche apportate ai file possono essere rilevati utilizzando sia MD-5 e SHA-1 algoritmi hash. Il sistema è estremamente personalizzabile. È possibile includere o escludere singoli file o intere strutture di directory. È anche possibile impostare un flag per rilevare la creazione di nuovi file.

L'agente software è progettato per utilizzare una minima quantità di CPU durante il controllo di integrità. Anche se questo significa il controllo richiederà più tempo, ma aiuta anche a ridurre al minimo il calo di performance del sistema. Informazioni hash viene trasmessa al server. Il server si occuperà quindi di eseguire il confronto hash per vedere se qualcuno dei file critici del sistema sono state modificate. Il server memorizza anche una copia della politica di controllo di integrità, in modo che se cambia la politica sono fatte per l'agente, possono essere rilevate e segnalate pure.

Rilevamento delle anomalie

OSSEC va ben oltre la verifica del log per verificare l'integrità del sistema. Policy di utilizzo possono essere gestiti centralmente dal server, e poi spinto fuori agli agenti appropriati. Per esempio si potrebbe definire una politica che per quanto riguarda le applicazioni Windows sono accettabili (Office, Firefox, ecc) e quali no (client di messaggistica istantanea, Skype, ecc.) È anche possibile definire le opzioni di configurazione accettabile come verificare che gli hash NT vengono utilizzati per la password memorizzata, ma non gli hash LanMan.

OSSEC include una serie di altre cose interessanti al fine di contribuire a verificare l'integrità di un sistema. Per esempio OSSEC ha la capacità di eseguire comandi da agente e monitorare l'uscita che viene generato. Per esempio si potrebbe avere l'agente Linux eseguire il comando "df" a intervalli regolari e generare un allarme se l'utilizzo del disco supera il 90%. Un esempio Windows potrebbe essere quello di avere OSSEC generare un avviso ogni volta che file di informazioni viene scritto flussi di dati alternativi nell'area di NTFS.

Risposta attivo

Infine, OSSEC include la possibilità di rispondere quando viene rilevata un'attività sospetta. Le risposte possono essere generati dal server o l'agente, che mai si specifica. Le risposte possono essere benigni la generazione di una e-mail di avviso, di essere come proattiva come il blocco di un indirizzo IP remoto per un periodo limitato di tempo. Ci sono una serie di script inclusi risposta attiva è possibile disegnare, oppure si può facilmente scrivere il vostro.

Architettura sicuro

Gli autori OSSEC hanno fatto di tutto per proteggere tutti i componenti all'interno del prodotto. Attività quali il controllo dell'integrità vengono eseguite sul server, piuttosto che l'agente, così l'affidabilità del hash non può essere compromessa durante un attacco. I processi sono gestiti con il più basso livello di autorizzazioni possibili e diversi account utilizzati per eseguire ogni componente OSSEC. Ciò significa che un compromesso di una domanda unica ai OSSEC non immediatamente portare a un compromesso del pacchetto completo. Inoltre, la maggior parte dei componenti sono gestiti all'interno di una prigione chroot così il loro accesso al sistema è ulteriormente ristretta.

Le parole finali

Mentre OSSEC è uno strumento potente, è importante ricordare che si tratta di un HIDS e non una soluzione di gestione dei log. OSSEC possibile rivedere le voci del registro alla ricerca di segnali sospetti, ma sarà solo salvare le informazioni allerta. Così, mentre OSSEC non sostituisce il tuo Information Security Management (SIM) soluzione, può certamente aumentare la. È possibile configurare facilmente OSSEC a inoltrare tutte le segnalazioni che genera a un server centrale di registrazione .

Mentre OSSEC è un software open source, Trend Micro è principalmente lo sviluppo. If you need commercial support, you can purchase a support contract through them at a reasonable fee.

More To Come

In my next installment we'll look at installing OSSEC and Logwatch. After that, we'll move into integrating the two together.

I recently had a student ask me a question regarding the integration of Logwatch with OSSEC. I felt like this was a complex and yet cool enough idea that it warranted a series of posts to cover it in full. So over the next few days I'll talk about each of these tools, how to integrate them together, as well as what additional security visibility can be gained once the process is complete.

What Is Logwatch?

Logwatch is an excellent open source tool for generating daily human readable log reports. Log entries tend to fall into one of three categories:

• Stuff you know is evil
• Stuff you know is normal and can be safely ignored
• Everything else

It is that “everything else” category where Logwatch really shines. For the stuff we know is evil, we will setup some form of alerting system. For example we may write an alert signature that warns the security analyst when an account is being brute forced. But what about the attacks we don't know about or are not sure what they look like? This would be a clear example of that “everything else” category. The traffic is not normal, but we have not seen it before to have a signature waiting to generate an alert. Since we will be unable to catch the attack in real time, we will need to catch it during a daily log review.

Of course the problem with doing daily log reviews is that it is tedious and time consuming. I mean let's be honest, who really wants to spend their day reviewing one million plus log entries? Even if you did, are you sure you would actually catch the out of the ordinary traffic?

Come funziona

What Logwatch does very well is permit you to reorganize your data into a format that is easier for humans to follow. Its real strength is that it permits you to move the stuff you understand out of the way (normal or evil), so that the unexpected log entries stand out like a sore thumb. In other words, Logwatch lets you summarize your log entries so the unusual stuff is easier to spot.

What I really love about Logwatch is that you don't lose anything. Many log review tools will only show you the stuff that has been pre-defined as being evil. The problem they all share is that when something evil but unexpected happens, it flies right under the wire. Because Logwatch lets you see everything, you no longer miss the unexpected.

Logwatch In Action

Lets discuss how Logwatch works using the SSH server service as an example. The scripts to deal with SSH have already been defined within Logwatch, so you do not need to do any tweaking to receive the features we are going to discuss.

When reviewing a log file, the first thing Logwatch does is reorganize log entries based on their message types. For example all Successful SSH logons are grouped together, as well as too many logon failures, refused connections, locked accounts, accounts without a proper shell, protocol mis-matches, etc. etc. etc. Once all the SSH messages are grouped by their type, the data is then summarized to reduce the amount of information being reported.

For example, the default is to summarize failed logon attempts by account and source IP. So a typical failed logon report section might look like this:

Failed logins from these:

bsmith/password from 1.2.3.4: 637 time(s)

jsmith/password from 1.2.3.5: 2 time(s)

So rather than having to review 639 log entries reporting a bad logon attempt, we have all the pertinent information summarized into three lines (if you include the title). Continue this process for all of the other SSH messages, and we have dramatically reduced the amount of time required to review our logs.

But what if something happens that Logwatch is not pre-programmed to recognize? When an unexpected log entry is found, Logwatch adds a section to the end of the service report called “Unmatched Entries”. So if we see this title in the SSH server section, we know some event has occurred that is either abnormal or unexpected for the SSH service. This could very well be some form of attack that we are not aware is making the rounds.

By focusing in on the unmatched entries section, we can quickly identify unexpected activity. As I stated earlier, this is really the main goal of doing daily log reviews. To find the stuff we don't expect which will sneak past our alerting system. Logwatch makes this process as quick and as painless as possible.

Feature Summary

In the above example I talked about doing daily log reviews, but to be honest Logwatch is highly customizable. You can specify any range you wish to use down to an interval of one second. For example let's say I'm investigating an intrusion rather than performing a daily log review. I could specify a range such as “2010/02/14 17:05:00 for that hour” to focus right in on the information that interest me. I can also focus in on one specific log file or service.

The detail level of the report is also customizable. Typically when you deal with security you get in the habit of always wanting the highest detail level of reporting. To be honest, with Logwatch a high level of detail is probably more than you will ever need. Personally I typically stick with “med” for medium and that works out nicely. You can also specify the reporting level as “low” or “high” or use a numeric range of 0-10 for a higher level of granularity (low =0, med=5, high=10).

Logwatch can be run automatically or as a manual process. Typically you will want to set it up to run automatically each day and summarize one day's worth of log entries. If you ever need to expand or focus the report, you can always run Logwatch from the command line while specifying exactly what you want to see. You can then use the “–save” option to specify a report name and directory location for storage.

More To Come

The above should give you a good idea as to the features Logwatch can bring to the table. In the next post I'll discuss OSSEC in the same level of detail. After that, I'll get into how to install each tool as well as how to integrate them together.