I mitt siste innlegg beskrev jeg hvordan Logwatch kunne brukes til å forenkle loggen evalueringsprosess. I dette innlegget vil vi se på OSSEC og hva den bringer til bordet.
Hva er OSSEC?
OSSEC , kort for "Open Source Security", er en host basert Intrusion Detection System (HIDS). Med andre ord, det er designet for å oppdage angrep eller policy brudd hvis og når de oppstår. Selv om det ikke har evne til å beskytte mot ukjente eller 0-day angrep (som ville være host Intrusion Prevention), betyr det inkluderer et bredt utvalg av verktøy som kan hjelpe deg å identifisere en inntrenging når det skjer, samt omfanget av skaden som er forårsaket.
Støttede plattformer
Å dra nytte av alle funksjonene OSSEC har å tilby, må du kjøre en agent på systemet beskyttet. OSSEC agenter kan kjøres på Windows, Mac OS X, Linux, og et bredt spekter av UNIX-systemer. Hvis du bare er interessert i loggen analyse delen derimot, kan et enda bredere spekter av systemer skal støttes. Dette inkluderer maskinvare fra både Cisco og Juniper. En rekke konkrete produkter støttes også som Checkpoint brannmurer, Symantec Anti-Virus, Snort, blekksprut, og Arpwatch, bare for å nevne noen.
Når du installerer OSSEC har du to konfigurasjonsalternativer, lokale eller klient / server. En lokal installere brukes når du trenger for å kjøre alt på ett enkelt system. Klient / server installasjon lar deg kjøre et distribuert miljø beskytte flere systemer samtidig. Mens de fleste distribusjoner er klient / server basert, hvis du ønsker å gi OSSEC en spin du enkelt kan kjøre alt på en enkelt test system som bruker en lokal installasjon.
Log Analysis
OSSEC inkluderer en logg-basert Intrusion Detection System (LOKK). Dette har mulighet til å gjennomgå loggfiler i nær sanntid, mens gransker dem for kjente angrep mønstre. Når en logg er generert på et beskyttet system, tar agenten vare på sikkert overføre loggen (Blowfish kryptering ved hjelp av en pre-shared hemmelighet) tilbake til serveren. Serveren tar da vare på utfører analysen.
De fleste log analyseverktøy prosessen deres regler i en lineær format. Med det mener jeg om vi har 500 regler, er regelen en kontrollert, da regelen to, deretter regel tre og så videre til en match er funnet eller vi kommer til slutten av regelsettet. OSSEC fungerer litt annerledes som den implementerer en hieratical struktur til reglene. Loggoppføringer er først klassifisert og deretter sjekkes bare mot det som reglene er hensiktsmessige. Resultatet er at snarere enn å måtte behandle alle 500 regler, vil de fleste hendelsene få sjekket mot 10 regler eller mindre. Dette reduserer dramatisk mengden overhead kreves for å behandle regelsettet.
Integritet Kontrollere
OSSEC inkluderer et verktøy som heter Syscheck for å utføre fil og katalog integritet sjekking. Hvis du kjører en Windows-agent, kan du også inkludere spesifikke taster i Windows-registeret som skal overvåkes i tillegg. Filendringer kan oppdages med både MD-5 og SHA-1 hash algoritmer. Systemet er ekstremt tilpasses. Du kan inkludere eller ekskludere enkeltfiler eller hele katalogen strukturer. Du kan også sette et flagg for å oppdage nye filopprettelse.
Agenten Programvaren er designet for å bruke en minimal mengde av CPU under integritet sjekk. Selv om dette betyr at sjekken vil ta lengre tid, det hjelper også å minimere ytelsen hit til systemet. Hash informasjonen blir overført tilbake til serveren. Serveren tar da vare på utfører hash sammenligning for å se om noen av systemets kritiske filer har blitt endret. Serveren lagrer også en kopi av integritet sjekk politikken, slik at hvis politiske endringer er gjort på agent, kan de bli oppdaget og rapportert i tillegg.
Anomali deteksjon
OSSEC går langt utover logge sjekker å verifisere systemet integritet. Bruk politikk kan styres sentralt fra serveren, og deretter skjøvet ut til den aktuelle agenter. For eksempel kan du definere en policy om hvilke Windows-programmer er akseptable (Office, Firefox, osv.) og hvilke som ikke er (IM klient, Skype, osv.). Du kan selv definere akseptabelt konfigurasjon alternativer som bekrefter at NT hasher blir brukt til passord som er lagret men ikke LanMan hashes.
OSSEC inkluderer en rekke andre godsaker for å hjelpe verifisere en systemets integritet. For eksempel OSSEC har evnen til å utføre kommandoer fra agent og monitor utgang som blir generert. For eksempel kan du ha Linux agenten utføre "df" kommandoen med jevne mellomrom og generere et varsel hvis disk bruken overstiger 90%. En Windows eksempel kan være å ha OSSEC generere et varsel når filinformasjon er skrevet til alternative datastrømmer område av NTFS.
Aktiv Response
Endelig omfatter OSSEC evnen til å reagere når mistenkelig aktivitet blir oppdaget. Svarene kan genereres fra serveren eller agenten, som stadig du angir. Svarene kan være så snille som genererer en e-postvarsel, å være så proaktive som blokkerer en ekstern IP-adresse for en begrenset tidsperiode. Det finnes en rekke inkluderte aktiv respons scripts du kan tegne på, eller du kan enkelt skrive dine egne.
Sikker Arkitektur
Den OSSEC Forfatterne har gått langt for å sikre alle komponentene i produktet. Oppgaver som integritet sjekke utføres på serveren, snarere enn agent, slik at troverdigheten til hasher kan ikke bli kompromittert under et angrep. Prosesser er kjørt med lavest nivå av tillatelser mulig, og ulike kontoer brukes til å kjøre hver OSSEC komponent. Dette betyr at et kompromiss av en enkelt søknad innen OSSEC ikke umiddelbart vil føre til et kompromiss av full pakke. Videre er de fleste komponenter kjøre innenfor en chrooted fengsel slik at deres tilgang til systemet er ytterligere begrenset.
Siste ord
Mens OSSEC er et kraftig verktøy, er det viktig å huske at det er en HIDS og ikke en logg løsning. OSSEC kan vurdere loggoppføringer ser etter mistenkelige mønstre, men det vil bare redde varsle informasjon. Så mens OSSEC ikke vil erstatte ditt Security Information Management (SIM)-løsning, kan det absolutt forsterke den. Du kan enkelt oppsett OSSEC å videresende alle varsler det genererer til en sentral logging server .
Mens OSSEC er åpen kildekode, er Trend Micro primært å utvikle det. Hvis du trenger kommersiell støtte, kan du kjøpe en støtte kontrakt gjennom dem på en rimelig avgift.
Mer kommer
I mitt neste avbetaling vil vi se på installasjon OSSEC og Logwatch. Etter det vil vi flytte inn integrere de to sammen.
Relaterte innlegg:
