I mitt siste innlegg installerte vi Logwatch samt OSSEC. Det er nå på tide å få Logwatch og OSSEC spille sammen i samme sandkassen. I dette innlegget vil jeg diskutere hvordan å få Logwatch å oppsummere den informasjonen som blir generert av OSSEC.

Deployment Alternativer

Vi har to veier vi kan følge for å sette dette opp:

1. Har Logwatch analysere OSSEC loggene direkte.
2. Har OSSEC sende sine meldinger til en Syslog typen server, og deretter kjøre Logwatch på sysloggserveren.

Fordelen for alternativ 1 er at vi bare trenger ett system. Logwatch skal kjøres på systemet vert OSSEC server. Problemet vi kommer til å kjøre inn likevel innebærer OSSEC varselet filen. Loggoppføringer ikke blir normalisert. Dette betyr at formatet kan endre seg fra oppføring til oppføring, og kan også spre seg over flere linjer. Det kommer til å bli en ekte mareritt å lage en Logwatch skript som vil filtrere og oppsummere varselet informasjon.

Hvis vi går med opsjon nr. 2, vil vi kreve en annen boks for å fungere som vår sentralisert logging server. For å få OSSEC serveren godta oppføringer fra ikke-agent systemer, har det å lytte på UDP/514. Dette er den samme porten som brukes av en sentralisert logging server, og du kan ikke ha to programmer har samme port (unntatt med Windows, men socket tilgangen er ekstremt rotete). På pluss-siden, vil varslet oppføringene blir normalisert når de er overført til sysloggserveren så lage en Logwatch sammendrag script vil bli langt enklere. Videre vet Logwatch allerede om standard Syslog filene, så vi vil ha mindre tilpasning arbeid å gjøre.

Til slutt nevnte jeg i en tidligere post som OSSEC ikke er designet for å være et SIM. Dette er fordi det ikke rekord alt, bare de hendelser som genererer et varsel. Så vi sannsynligvis kommer til å ha en sentralisert server uansett, og det er fornuftig å ha den lagre informasjonen som blir generert av OSSEC.

Så hvis det høres ut som jeg styrer du mot alternativ nr. 2, er du helt korrekt. Med det sagt, jeg faktisk kommer til å dekke alternativ 1 som det er en langt mer komplisert oppsett.

Dealing med dato / klokkeslett Frimerker

Ta en titt på de viktigste OSSEC loggfilen og du skal se omtrent slik ut:

[Root @ Fubar logger] # tail -3 / var / ossec / logger / ossec.log

2010/02/18 12:32:05 ossec-rootcheck: INFO: Avslutte rootcheck scan.

2010/02/18 14:27:06 ossec-syscheckd: INFO: Starter syscheck scan.

2010/02/18 14:39:21 ossec-syscheckd: INFO: Avslutte syscheck scan.

Legg merke til måten dato / klokkeslett-stempel er formatert. Dette er annerledes enn de fleste programmer, så det første vi må gjøre er å fortelle Logwatch hvordan man skal håndtere dette formatet. Vi må lage et skript som vi kan kalle når det trengs som forstår formatet vist ovenfor.

Start med å flytte inn i den delte skript katalogen:

cd / usr / share / logwatch / scripts / delt

Bruk din favoritt editor, lage en fil som heter "applylongdate":

VI applylongdate

Her er hva du trenger på innsiden av filen. Føl deg fri til å kopiere / lime inn fra denne siden:

Bruk Logwatch ': dateres';

my $ Debug = $ ENV {'LOGWATCH_DEBUG'} | | 0;

$ SearchDate = TimeFilter ('% Y /% m /% d% H:% M:% S');

if ($ Debug> 5) {

print stderr "DEBUG: Inside ApplyLongDate ... \ n";

print stderr "DEBUG: Looking For". $ SearchDate. "\ N";

}

while (definert ($ ThisLine = <STDIN>)) {

if ($ ThisLine = ~ m / ^ $ SearchDate / o) {

print $ ThisLine = ~ s / ^ .... \ / .. \ / .. ..: ..: .. / /;

print $ ThisLine;

}

}

# Vi: shiftwidth = 3 syntaks = perl tabstop = 3 et

Når du lagrer filen, har vi nå må stille de riktige tillatelser:

chmod 755 applylongdate

Konfigurer loggfilene

Neste vi trenger å fortelle Logwatch hvor OSSEC loggfilene ligger. Hver gang du legger til nye loggfiler eller opprette nye tjenester for å overvåke i Logwatch, bør du plassere dine endringer under / etc / logwatch katalogen. Vi skal lage to konfigurasjonsfiler. Den første vil håndtere OSSEC meldinger, og den andre skal håndtere OSSEC varsler og aktive respons endringer.

La oss begynne med å lage konfigurasjonsfilen for den viktigste OSSEC loggfilen:

cd / etc / logwatch / conf / loggfiler

VI ossec.conf

Innholdet i filen skal være som følger:

Logfile = / var / ossec / logger / ossec.log

* ApplyLongDate =

Du kan nå lagre og avslutte filen. Deretter vil vi lage config-filen for de resterende loggfiler:

VI ossec-alert.conf

Innholdet i denne filen skal være som følger:

Logfile = / var / ossec / logger / aktiv-responses.log

Logfile = / var / ossec / logger / varsler / alerts.log

Logfile = / var / ossec / logger / brannmur / firewall.log

Når fullført, lagre og avslutte. Standard tillatelsene bør være akseptabelt for oppsett vår.

Konfigurere OSSEC Tjenester

Deretter må vi definere OSSEC tjenester og identifisere hva vi vil bruke som en tittel når rapportene er generert. Her er hvordan å lage den første filen:

cd / etc / logwatch / conf / tjenester

VI ossec.conf

Innholdet i denne filen er ganske enkelt:

Title = "OSSEC meldinger"

Logfile = ossec

Når fullført, kan du lagre og avslutte. Vi trenger å skape en mer fil i denne katalogen:

VI ossec-alert.conf

Innholdet i denne filen skal være:

Title = "OSSEC varsler"

Logfile = ossec-varsel

Når fullført, lagre og avslutte som vanlig.

Analysere oppføringer

Deretter må vi fortelle Logwatch hvordan å formatere loggoppføringene i rapporten. Vi må skape en tilpasning script for hvert sett av tjenester. Vi skal begynne med en Logwatch medfølgende test script, bare for å kontrollere at alt fungerer.

Start med å flytte inn i den aktuelle katalogen:

cd / etc / logwatch / scripts / tjenester

Bruk din favoritt editor for å lage din første skriptet:

VI ossec

Innholdet i scriptet bør være som følger:

#! / Bin / bash

# Dette er så fint script som vil vise deg de linjene du vil

# Skal behandle og rapportere om. Det vil først vise

# Standard miljøvariabler og så tar det STDIN og

# Dumpe det rett ut igjen til STDOUT.

# Dette er standard miljøvariabler. Du kan definere

# Mer i din tjeneste config-filen (se ovenfor).

echo "Date Range: $ LOGWATCH_DATE_RANGE"

echo "Detalj Nivå: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Nivå: $ LOGWATCH_DEBUG"

# Nå tar STDIN og dumpe det å STDOUT

katt

Nå oppretter andre script:

VI ossec-varsel

og omfatter de eksakt samme innholdet:

#! / Bin / bash

# Dette er så fint script som vil vise deg de linjene du vil

# Skal behandle og rapportere om. Det vil først vise

# Standard miljøvariabler og så tar det STDIN og

# Dumpe det rett ut igjen til STDOUT.

# Dette er standard miljøvariabler. Du kan definere

# Mer i din tjeneste config-filen (se ovenfor).

echo "Date Range: $ LOGWATCH_DATE_RANGE"

echo "Detalj Nivå: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Nivå: $ LOGWATCH_DEBUG"

# Nå tar STDIN og dumpe det å STDOUT

katt

Til slutt må vi sette de riktige tillatelsene:

chmod 755 ossec *

Testing av oppsett

Den enkleste måten å teste vår nye oppsettet er å kjøre kommandoen:

logwatch | less

Hvis du bare ønsker å se endringene, kan du kjøre en rapport på hver tjeneste, en om gangen:

logwatch-tjeneste ossec | less

logwatch-tjeneste ossec-varsling | less

Ytterligere tilpasning

Når du får alt dette fungerer, kan du fokusere på å få Logwatch å filtrere og oppsummere loggoppføringene. Logwatch er ganske fleksibel, og du kan tilpasse resultatet akkurat slik du vil. En av de fine ting om ovenfor testskriptet er over at det viser deg nøyaktig hva du har å jobbe med. Så med litt vanlig uttrykk magi kan du oppsummere de oppføringene som du anser som passende. For noen ideer, sjekk ut filene som ligger under:

/ Usr / share / logwatch / scripts / tjenester

Disse er standard summariske skript som følger med Logwatch. Nærmere bestemt, ta en titt på filene "Pam" og "sshd". De er gode eksempler på både en enkel og et komplekst sett av sammendrag filtre.

Som du utvikle dine skript, følge nøye med på $ LOGWATCH_DETAIL_LEVEL "variable. Dette vil tillate deg å tilpasse utgangsnivået av rapporten avhengig av hvor mye detaljnivå brukeren er ute etter. For eksempel, mens du fremdeles er i ovennevnte tjenester katalogen, kjør følgende kommando:

mindre sshd

Når den første siden av filen innholdet vises, skriver i:

/ Detalj <Skriv Key>

Backslash lar oss søke på filen for en bestemt tekststreng. I dette tilfellet søker vi etter ordet "Detalj". Når du trykker Enter søket vil hoppe gjennom filen til den finner den første forekomsten av tekststrengen. Det vil også markere søkestrengen. I den første kampen vil du merke at forfatteren tildelt variabelen "$ Detalj" å være den samme som den variabelen $ LOGWATCH_DETAIL_LEVEL ". Dette er for å spare dem litt å skrive.

Trykk nå på backslash-tasten igjen etterfulgt av Enter-tasten. Dette vil hoppe gjennom filen til neste forekomst av "Detalj". Du bør se:

if ($ Detalj> = 20) {

Kr Brukere {$ Brukernavn} {$ Host} {$ Method} + +;

} Else {

if ($ Host! ~ / $ IgnoreHost /) {

Kr Brukere {$ Brukernavn} {$ Host} {"(alle)"} + +;

Merk forfatteren gir mer informasjon om detaljnivået er satt til 20 (halvveis mellom lav og medium) eller høyere. Hold hopping gjennom filen og du vil se andre eksempler hvor forfatteren utnyttet denne teknikken.

Nå side ned til slutten av filen, og du burde se denne uttalelsen:

if (nøkler% OtherList) {

print "\ n ** Umatchede Entries ** \ n";

print "$ _: $ OtherList {$ _} tid (s) \ n" foreach nøkler% OtherList;

}

Denne delen er ekstremt viktig, fordi det er en endelig CatchAll. Tenk på en brannmur politikk for et øyeblikk. De fleste av oss lage en endelig regel som sier, "Hvis jeg ikke spesifikt tillater en trafikk mønster gjennom, benekte det". Med andre ord, hvis noe uventet skjer, dette er hvordan jeg vil at du skal håndtere det.

Ovennevnte uttalelse tjener samme formål ved analyse av loggfilen. Alle de tidligere "hvis" utsagn forsøke å matche en bestemt tekststreng i loggoppføringen for å formatere den skikkelig. Denne oppføringen sier "Hvis du ikke har matchet og trykket en bestemt loggoppføring ennå, skrive den ut i en seksjon som heter" ** Umatchede Entries ** ". Dette trinnet er svært viktig, fordi uten den ville vi aldri får se uventede oppføringer. Det er de uventede oppføringer som sannsynligvis er den viktigste og mest interessante.

Exec Oppsummering

Både OSSEC og Logwatch er gode gratis verktøy. OSSEC utmerket til å advare deg når et visst angrep mønster finner sted. Logwatch er et kjempefint verktøy for oppsummering en gang del av stokker slik mennesker kan faktisk gjøre følelse av hva som skjer. Ved å kombinere de to verktøyene du kan opprette en langt mer robust forsvar i dybden holdning. Hele blir større enn summen av delene.

I mine to siste innlegg drøftet jeg Logwatch og OSSEC, samt hvordan de kan være innflytelse til å styrke sikkerheten holdning. I denne utgaven vil jeg diskutere hvordan man installerer begge disse verktøyene.

Installere Logwatch

Logwatch er ganske enkel å installere. Faktisk er det installert som standard på mange Linux-distribusjoner, så du kanskje allerede har en kopi på systemet ditt. For å sjekke, pålogging som root og prøv å kjøre Logwatch med "-v"-bryteren. Hvis du ser:

[Root @ Fubar logwatch] # logwatch-v

Logwatch 7.3.6 (utgitt 05/19/07)

Logwatch er installert og du har en kopi av den nyeste versjonen. Hvis du ikke har den nyeste versjonen, kan du hente den fra Logwatch nedlastingssiden .

Det er tre varianter av Logwatch som kan lastes ned, binærfiler i RPM-format, kilde i RPM-format, eller kilde i en Tar ball. Hvis systemet støtter RPM pakke ledelse, er det binære RPM beste valget. Den er enkel å installere og RPM vil automatisk oppdatere programvaren når nye versjoner er tilgjengelige.

Installere Logwatch Fra RPM

Hvis du vil installere den binære versjonen av RPM, bare logger på som root og naviger til katalogen der du lastet ned RPM filen. Nå utføre kommandoen:

rpm-U logwatch-7.3.6-1.noarch.rpm

Ikke glem at du kan bruke tabulatortasten for å auto-fullføre filnavnet i stedet for å skrive i det hele.

Installere Logwatch Fra Source

Installere fra source er litt mer tidkrevende. Husk at for å installere kildekoden må du allerede ha en kompilator (som GCC) installert på systemet ditt. Logger på som root, og naviger til katalogen der du lastet ned Tar ballen. For å pakke ut arkivet, utføre kommandoen:

tjære xvzf logwatch-7.3.6.tar.gz

Du vil se en katalogstruktur under din nåværende posisjon blir opprettet og massevis av filer som blir kopiert i. Vi trenger nå å flytte inn den øverste katalogen som ble opprettet:

cd logwatch-7.3.6

For Logwatch å kjøre, er det en haug med kataloger som skal opprettes på systemet ditt. Disse er dokumentert i README i gjeldende katalog. Heldigvis har Logwatch en installasjon script som kan gjøre alt arbeidet for deg. Dessverre har skriptet feil tillatelser satt så det vil ikke kjøre som standard. Dette er ganske enkelt å fikse men med chmod kommandoen:

chmod 500 install_logwatch.sh

Nå kan vi kjøre script for å sette opp vårt system:

. / Install_logwatch.sh

Ikke glem perioden på begynnelsen av linjen.

Testing Logwatch

For å teste Logwatch oppsettet, utføre kommandoen:

logwatch | less

Du vil se din terminal skjermen svart, men det er normalt. Du vil etter hvert se en Logwatch rapport blir skrevet til skjermen som du kan navigere gjennom å bruke "Page Up" og "Page Down"-tastene. Hvordan logger det tar for rapporten å dukke opp på skjermen vil avhenge av hvor mye logginformasjonen trenger å få analysert. Det kan ta noen sekunder eller et par minutter. Uansett vil det gi deg en sjanse til å bli kjent med rapporten format.

Installere OSSEC

Som jeg nevnte i mitt forrige innlegg, har du to monteringsmuligheter med OSSEC, lokale eller klient / server. I dette innlegget skal jeg fokusere på klienten / server-oppsett, da det er litt mer komplisert. Hvis du utfører en lokal installasjon, velger du bare "lokale" valget under installasjonen, og hoppe i avsnittet om å sette opp en sikker kanal mellom agenten og serveren.

Start med Server

OSSEC bruker Blowfish-kryptering for å sikre kommunikasjonen mellom klienten og serveren. Blowfish er symmetrisk nøkkel basert, slik at begge sider må vite hva nøkkelen verdi å bruke for å kommunisere. Serveren er ansvarlig for å generere symmetriske nøkkelen, så vi må installere serverprogramvaren første. Under kunden installerer vi vil bli bedt om en nøkkel verdi så åpenbart vi trenger å ha det godt med på forhånd.

Her er en tidsbesparende tips. Nøkkelen verdi er lang og nesten umulig å huske. Den enkleste måten å flytte nøkkelen verdi fra serveren systemet til agenten systemet er å bruke SSH. Opprette en sikker tilkobling til OSSEC serveren, og trekke den aktuelle tasten (retninger nedenfor). I en annen terminal vindu, opprette en SSH sesjon til systemet hvor du skal installere agenten. Når klienten installasjonen ber deg om nøkkelen verdi, kan du bare kopiere / lime mellom de to terminalene.

Installere OSSEC Server

Serverprogramvaren er tilgjengelig som en Tar ball, slik at du kan ta en kopi av den nyeste versjonen fra OSSEC nedlastingssiden . Du må deretter å pakke ut innholdet i Tar ballen:

tjære xvzf ossec-hids-2.3.tar.gz

Deretter flytter inn i katalogstrukturen du nettopp opprettet:

cd ossec-hids-2.3

OSSEC gir en installasjon script for å lede deg gjennom prosessen med å installere serveren. For å starte skriptet, type:

. / Install.sh

Ikke glem perioden på begynnelsen av kommandoen. Du vil nå bli bedt om gjennom en rekke installere alternativer:

• Språk - Standarden er engelsk. Endre etter behov.
• Bekreftelse på installasjon - Trykk Enter når du har lese på skjermen.
• Installer type - Skriv inn "server" uten anførselstegn, og trykk Enter.
• Installer plassering - Godta standard.
• E-postvarsling - Standard er ja, velg om du vil at e-postvarsler. Hvis du velger ja, vil du bli bedt om en gyldig e-postadresse og e-postserveren.
• Integritet sjekk - Standard er ja. Velg om du vil det lokale systemet jevnlig sjekkes for inntrenging.
• Root kit deteksjon - Standard er ja. Godt alternativ siden vi trenger for å opprettholde en høy integritet på dette systemet.
• Aktiv respons - Standard er ja. Velg dette alternativet hvis du ønsker å kunne reagere på hendelser.
• Brannmur drop - tillater OSSEC serveren for å forsvare seg selv hvis en direkte angrep blir oppdaget.
• Hvit liste - Dette vil tillate deg å legge IP-adresser som mulige angrep vil bli ignorert. Vær forsiktig med dette alternativet. Hvis du ikke vil ha konsollen tilgang til OSSEC server, kan det være lurt å identifisere en IP-adresse som kan alltid komme i. Akkurat sikre kilden IP er en pålitelig system.
• Aktiver Syslog - Standard er ja. Velg dette alternativet hvis du ønsker å samle logger fra systemet som ikke kan kjøre en OSSEC agent (som brannmurer, svitsjer, rutere, aksesspunkter, etc.).
• Loggfiler som skal overvåkes - Denne skjermen identifiserer alle de lokale loggfiler OSSEC vil overvåke. Det er en ren informasjon, så alt du kan gjøre er å trykke på Enter for å gå forbi den. Hvis du oppdager en eller flere loggfiler mangler i listen, kan du legge dem senere til ossec.conf filen.

På dette punktet OSSEC vil få tilgang til lokale complier og installere alle nødvendige filer til systemet. Når du er ferdig, kan du starte OSSEC server ved å kjøre kommandoen:

/ Var / ossec / bin / ossec-kontroll start

Definere OSSEC Agenter

Vi er ikke ferdig med OSSEC serveren ennå. Deretter må vi på forhånd definere noen systemer som skal kjøre OSSEC agent (klient) programvare. Dette utføres ved hjelp av manage_agents kommandoen. Først trenger vi imidlertid å gjøre litt lekser. Lag en liste over alle de systemene som skal kjøre OSSEC agent-programvare. For hvert system, trenger du et beskrivende navn samt at systemets IP-adresse.

Nå utføre følgende fra kommandolinjen:

/ Var / ossec / bin / manage_agents

Dette vil gi agenten manager hovedmenyen. Trykk på "A" etterfulgt av Enter for å definere ditt første system. Skriv inn et beskrivende navn for det første systemet, etterfulgt av systemets IP-adresse. Ikke bekymre deg om agenten ID-nummer. Bare godta standardnavnet og OSSEC vil automatisk tildele neste tilgjengelige ID-nummer. Når du bekrefte opplysningene du la inn, vil du bli sendt tilbake til Agent leder hovedmenyen. Gjenta prosessen ovenfor for hvert system som skal kjøre en OSSEC agent.

Generere Keys

Når du har lagt i alle systemer, er det på tide å generere krypteringsnøkler. Dette trinnet er også utført med manage_agents verktøyet. Hvis du lukket verktøyet etter siste trinnet, relansering det nå.

Trykk på "E"-tasten etterfulgt av Enter for å velge "Pakk ut nøkkelen for en agent" menyvalget. Du vil da bli bedt om ID-nummeret av nøkkelen du ønsker å pakke. De beskrivende navn og IP-adresser er oppført med hver ID-nummer, så det burde være trivielt å identifisere hvilken du vil. Start med det systemet du planlegger å installere agenten programvaren på først.

OSSEC Agent Install På Linux

Når du installerer agent-programvare på en Linux eller UNIX klient, bruker du akkurat samme Tar ballen vi brukte til å installere serverprogramvaren. Kjør samme install script, men denne gangen når du blir bedt for den typen installere du ønsker å utføre, skriv inn "agent" etterfulgt av Enter.

Klienten installasjon har mange av de samme instruksjonene som server install. Bruk info ovenfor for å veilede deg gjennom prosessen. Meldingen som vil variere er imidlertid at du vil bli bedt om å oppgi IP-adressen til OSSEC serveren. Når fullført, vil OSSEC tilgang til lokale complier og installere alle nødvendige filer til systemet.

Neste vi trenger å importere Blowfish nøkkelen fra OSSEC serveren. Mens han fortsatt på agenten systemet, kjøre kommandoen:

/ Var / ossec / bin / manage_agents

Når Agent Manager-menyen vises, velger du "jeg" for å importere den Blowfish tasten.

Når neste meldingen vises, må du manuelt skrive inn riktig Blowfish tasten. Igjen, hvis du kjører SSH til begge systemene samtidig, kan du bare kopiere / lime mellom de to terminalene. Pass på nøkkelen ser riktig, trykk på Enter-tasten, og velg deretter "y" for å bekrefte at nøkkelen ser riktig. Du kommer tilbake til Agent Manager-menyen. Velg "q" for å gå tilbake til kommandolinjen.

Nå er vi bare trenger å starte OSSEC agent. Du kan gjøre dette ved å kjøre følgende kommando:

/ Var / ossec / bin / ossec-kontroll start

Du skal se alle de OSSEC agent komponentene starte opp, etterfulgt av en "fullført"-melding.

OSSEC Agent installere på Windows

OSSEC har en selvutpakkende kjørbar som vil tillate deg å installere agenten programvare på en Windows-system. Bare dobbeltklikk den kjørbare for å starte installasjonen. Du vil bli bedt om å godta lisensen samt hvilke komponenter du vil installere. Bare følg instruksjonene till OSSEC Agent Manager-vinduet vises.

Den OSSEC Agent Manager vinduet vil spørre deg om IP-adressen til OSSEC serveren. Det vil også be deg om Blowfish nøkkelen verdi å bruke, så trekke ut den aktuelle tasten på serveren og skriv verdien i dette feltet. Pass på at du sletter meldingen innenfor dette feltet før du limer i Blowfish nøkkelen. Ellers kommunikasjon med serveren kan mislykkes.

Neste, velg "Manage" fra OSSEC Agent Manager-menyen, etterfulgt av "Start OSSEC". Du skal nå se på "Status:" indikator endring "Running ...".

Testing OSSEC

Når du har server og agent-programvare installert, startet og de riktige tastene konfigurert, er det nå på tide å sjekke vårt oppsett. Kjør følgende kommando på OSSEC serveren:

cd / var / ossec / logger

Og sjekk ut ossec.log filen:

mindre ossec.log

Sjekk loggfilen for eventuelle feil. En vanlig feil er at OSSEC rapporter det ikke kan sende e-post. Kontroller at e-postserveren er i gang og at det er å godta tilkoblinger. Når du er fornøyd med serverinstallasjonen, er det nå tid til å sjekke ut agenter. Flytt ned til "varsler" katalogen:

cd varsler

Og sjekk ut alerts.log filen:

mindre alerts.log

Nærmere bestemt er du på utkikk etter oppføringer som ligner på følgende:

2010 17 februar 16:09:16 (desktop) 192.168.1.10-> ossec

Regel: 501 (nivå 3) -> 'Ny ossec agenten tilkoblet.

Src IP: (ingen)

Bruker: (ingen)

ossec: Agent startet: 'test_system-> 192.168.1.10'.

Du burde se en oppføring for hver system som du installerte agent-programvare.

Mer kommer

Puh! Det er mer enn nok for ett innlegg! I mitt neste innlegg vil jeg komme inn utnytte Logwatch å analysere all varsling informasjon blir generert av OSSEC.

I mitt forrige innlegg beskrev jeg hvordan Logwatch kunne brukes til å forenkle loggen vurderingsprosessen. I dette innlegget vil vi se på OSSEC og hva den bringer til bordet.

Hva er OSSEC?

OSSEC , forkortelse for "Open Source Security", er en vertsbasert intrusion detection system (HIDS). Med andre ord, den er konstruert for å oppdage angrep eller brudd på retningslinjene hvis og når de oppstår. Selv om det ikke har evne til å beskytte mot ukjente eller 0-day angrep (som ville være vert Intrusion Prevention), gjør det inkluderer et bredt utvalg av verktøy som kan hjelpe deg å identifisere en inntrenging når det skjer, samt omfang av skaden som er forårsaket.

Støttede plattformer

For å dra nytte av alle funksjonene OSSEC har å tilby, må du kjøre en agent på systemet beskyttet. OSSEC agenter kan kjøres på Windows, Mac OS X, Linux, og et bredt spekter av UNIX-systemer. Hvis du er bare interessert i loggen analyse delen derimot, kan et enda bredere spekter av systemer støttes. Dette inkluderer maskinvare fra både Cisco og Juniper. En rekke konkrete produkter støttes også som Checkpoint brannmurer, Symantec Anti-Virus, Snort, blekksprut, og Arpwatch, bare for å nevne noen.

Når du installerer OSSEC du har to konfigurasjonsmuligheter, lokale eller klient / server. En lokal installasjon brukes når du trenger å kjøre alt på ett enkelt system. Klient / server installasjon lar deg kjøre et distribuert miljø beskytte flere systemer samtidig. Mens de fleste distribusjoner er klient / server-basert, hvis du ønsker å gi OSSEC en snurr kan du enkelt kjøre alt på en enkelt test system ved hjelp av en lokal installasjon.

Logg Analyse

OSSEC inneholder en logg-basert Intrusion Detection System (LOKK). Dette har evnen til å gjennomgå loggfiler i nær sanntid, mens studere dem for kjente angrep mønstre. Når en logg er generert på en beskyttet system, tar agenten seg av sikker overføring av log (Blowfish-kryptering ved hjelp av en pre-shared hemmelighet) tilbake til serveren. Serveren tar deretter vare utføre analysen.

De fleste log analyseverktøy bearbeide sine regler i en lineær format. Ved at jeg mener hvis vi har 500 regler, er regelen en kontrollert, da regelen to, så utelukker tre og så videre til en kamp blir funnet, eller vi kommer til slutten av regelsettet. OSSEC fungerer litt annerledes som den implementerer en hieratical struktur reglene. Loggoppføringer første klassifisert og deretter kontrolleres bare mot det som reglene er hensiktsmessige. Resultatet er at heller enn å måtte behandle alle 500 regler, vil de fleste hendelsene få sjekket mot 10 bud eller mindre. Dette reduserer dramatisk mengden overhead kreves for å behandle regelsettet.

Integritet sjekket

OSSEC inneholder et verktøy kalt Syscheck for å utføre fil og katalog integritet sjekking. Hvis du kjører en Windows agent, kan du også inkludere spesifikke taster innen Windows-registret som skal overvåkes også. Filendringer kan oppdages ved hjelp av både MD-5 og SHA-1 hash algoritmer. Systemet er ekstremt tilpasses. Du kan inkludere eller ekskludere enkelte filer eller hele katalogen strukturer. Du kan også sette et flagg for å oppdage nye filopprettelse.

Agenten er laget for å bruke en minimal mengde av CPU under integritet sjekk. Selv om dette betyr at sjekken vil ta lengre tid, det hjelper også å minimere ytelsen traff til systemet. Hash informasjon blir sendt tilbake til serveren. Serveren tar deretter vare utfører hash sammenligning for å se om noen av systemets kritiske filer har blitt forandret. Serveren lagrer også en kopi av integritet sjekk politikken, slik at hvis politiske endringer er gjort på agent, kan de bli oppdaget og rapportert i tillegg.

Anomali deteksjon

OSSEC går langt utover log sjekker å verifisere systemet integritet. Bruk politikk kan styres sentralt fra serveren, og deretter skjøvet ut til de aktuelle agenter. For eksempel kan du definere en policy om hvilke Windows-programmer er akseptabelt (Office, Firefox, osv.) og hvilke som ikke er (IM klient, Skype, osv.). Du kan selv definere akseptable konfigurasjonsalternativer som bekrefter at NT hashes blir brukt til passordet er lagret, men ikke LanMan hashes.

OSSEC inkluderer en rekke andre godbiter for å hjelpe verifisere systemets integritet. For eksempel OSSEC har evnen til å utføre kommandoer fra agent og overvåke produksjonen som blir generert. For eksempel kan du ha Linux agenten utføre "df" kommandoen med jevne mellomrom og generere et varsel om diskbruk overstiger 90%. En Windows eksempel kan være å ha OSSEC generere et varsel når fil informasjonen skrives til den alternative datastrømmer område av NTFS.

Aktiv Response

Endelig omfatter OSSEC evnen til å reagere når mistenkelig aktivitet blir oppdaget. Svarene kan genereres fra serveren eller agenten, som stadig du angir. Svarene kan være så snille som genererer en e-postvarsel, å være så aktiv som blokkerer en ekstern IP-adresse for en begrenset tidsperiode. Det finnes en rekke inkluderte aktive respons skript du kan tegne på, eller du kan enkelt skrive din egen.

Sikker Arkitektur

De OSSEC Forfatterne har gått langt for å sikre alle komponentene i produktet. Oppgaver som integritet sjekking utføres på serveren, snarere enn agenten, slik at troverdigheten til hashes kan ikke bli kompromittert under et angrep. Prosesser drives med lavest nivå av tillatelser mulige, og forskjellige kontoer benyttes til å kjøre hver OSSEC komponent. Dette betyr at et kompromiss av en enkelt søknad innen OSSEC ikke vil umiddelbart føre til et kompromiss for full pakke. Videre er de fleste komponenter kjøre innenfor en chrooted fengsel slik at deres tilgang til systemet er ytterligere begrenset.

Siste ord

Mens OSSEC er et kraftig verktøy, er det viktig å huske at det er en HIDS og ikke en logg ledelse løsning. OSSEC kan vurdere oppføringer etter mistenkelige mønstre, men det vil bare redde varsel informasjon. Så mens OSSEC ikke vil erstatte Security Information Management (SIM)-løsning, kan det absolutt forsterke den. Du kan enkelt sette opp OSSEC å videresende alle varsler det genererer til en sentral logging server .

Mens OSSEC er åpen kildekode, er Trend Micro primært å utvikle det. Hvis du trenger kommersiell støtte, kan du kjøpe en støtte kontrakt gjennom dem på en rimelig avgift.

Mer kommer

I mitt neste avdrag vil vi se på installasjon OSSEC og Logwatch. Etter det, vil vi flytte inn integrere de to sammen.

Jeg har nylig hatt en student stille meg et spørsmål om integrering av Logwatch med OSSEC. Jeg følte meg som dette var en kompleks og likevel kjølig nok tanken om at det garanteres en serie innlegg for å dekke den i sin helhet. Så i løpet av de neste dagene vil jeg snakke om hver av disse verktøyene, hvordan å integrere dem sammen, samt hva som ekstra sikkerhet synlighet kan oppnås når prosessen er fullført.

Hva er Logwatch?

Logwatch er en utmerket åpen kildekode verktøy for å generere daglige lesbar log rapporter. Loggoppføringene tendens til å falle inn under en av tre kategorier:

• Stuff du vet er ondt
• Stuff du vet er normalt og kan trygt ignoreres
• Alt annet

Det er at "alt annet"-kategorien hvor Logwatch virkelig skinner. For ting vi vet er ondt, vil vi sette opp noen form for varslingssystem. For eksempel kan vi skrive et varsel signatur som advarer sikkerhetsanalytiker når en konto blir brute tvunget. Men hva med de angrepene vi ikke vet om eller er usikker på hva de ser ut? Dette ville være et klart eksempel på at "alt annet"-kategorien. Trafikken er ikke normalt, men vi har ikke sett det før å ha en signatur som venter på å generere et varsel. Siden vi ikke vil kunne fange angrepet i sanntid, må vi ta den under en daglig logg vurdering.

Selvfølgelig problemet med å gjøre daglig logg vurderinger er at det er kjedelig og tidkrevende. Jeg mener la oss være ærlige, som ønsker virkelig å tilbringe dagen gjennom millioner pluss loggoppføringene? Selv om du gjorde det, er du sikker på at du faktisk ville fange ut av vanlig trafikk?

Slik fungerer det

Hva Logwatch fungerer svært godt er tillate deg å omorganisere dataene til et format som er lettere for mennesker å følge. Dens virkelige styrke er at det tillater deg å flytte ting du forstår ut av veien (normal eller ond), slik at uventede loggoppføringene skiller seg ut som en sår tommel. Med andre ord, lar Logwatch du oppsummere dine loggoppføringene så uvanlig ting er lettere å få øye på.

Hva jeg egentlig liker med Logwatch er at du ikke mister noe. Mange logg gjennomgang verktøy vil bare vise deg ting som er forhåndsdefinert som onde. Problemet de alle er at når noe ondt, men uventet skjer, flyr den rett under ledningen. Fordi Logwatch lar deg se alt du ikke lenger glipp av uventet.

Logwatch In Action

Lar diskutere hvordan Logwatch fungerer ved hjelp av SSH -serveren tjeneste som et eksempel. De skript for å håndtere SSH allerede har blitt definert innenfor Logwatch, så du trenger ikke å gjøre noe tweaking for å få de funksjonene vi skal diskutere.

Ved gjennomgang av en loggfil, vil ikke det første Logwatch er reorganisere loggoppføringene basert på deres meldingstyper. For eksempel alle vellykkede SSH pålogginger er gruppert sammen, samt altfor mange pålogging feil, nektet tilkoblinger, låste kontoene, kontoer uten en skikkelig skall, protokoll mis-kamper, osv. osv. osv. Når alle SSH meldingene er gruppert etter deres typen, blir dataene deretter oppsummert å redusere mengden av informasjon som blir rapportert.

For eksempel er standard å oppsummere mislykkede påloggingsforsøk av konto og kilde IP. Så en typisk mislykket pålogging rapporten punkt kan se slik ut:

Mislykkede pålogginger fra disse:

bsmith / passord fra 1.2.3.4: 637 time (s)

jsmith / passord fra 1.2.3.5: 2 time (s)

Så snarere enn å måtte gjennomgå 639 loggoppføringer rapporterer en dårlig Påloggingsforsøket, har vi all relevant informasjon oppsummert i tre linjer (hvis du inkluderer tittelen). Fortsett denne prosessen for alle de andre SSH meldinger, og vi har dramatisk redusert mengden tid som kreves for å gjennomgå loggene våre.

Men hva hvis noe skjer som Logwatch er ikke forhåndsprogrammert til å gjenkjenne? Når en uventet loggoppføring er funnet, legger Logwatch en seksjon til slutten av tjenesten rapport kalt "Umatchede oppføringer". Så hvis vi ser denne tittelen i SSH server delen, vet vi litt hendelse har inntruffet som enten er unormal eller uventet for SSH-tjeneste. Dette kan meget vel være en form for angrep som vi ikke er klar gjør rundene.

Ved å fokusere på den uovertruffen oppføringer delen, kan vi raskt identifisere uventet aktivitet. Som jeg skrev tidligere, er dette virkelig det viktigste målet med å gjøre daglig logg anmeldelser. For å finne ting vi ikke forventer noe som vil snike seg forbi vårt varslingssystem. Logwatch gjør denne prosessen så raskt og så smertefri som mulig.

Oppsummering av funksjoner

I eksempelet ovenfor snakket jeg om å gjøre daglig logg anmeldelser, men for å være ærlig Logwatch er svært lett å tilpasse. Du kan angi hvilken som helst område du ønsker å bruke ned til et intervall på ett sekund. For eksempel la oss si jeg etterforsker en inntrenging snarere enn å utføre en daglig logg vurdering. Jeg kunne angi et område som "2010/02/14 17:05:00 for den timen" å fokusere rett inn på den informasjonen som interesserer meg. Jeg kan også fokusere på en bestemt loggfilen eller tjeneste.

Detaljnivået i rapporten er også tilpasses. Vanligvis når du avtale med sikkerhet får du for vane å alltid ville det høyeste detaljnivået rapportering. For å være ærlig, med Logwatch et høyt detaljnivå er sannsynligvis mer enn du noensinne vil trenge. Personlig har jeg vanligvis holder med "med" for medium og som funker fint. Du kan også angi rapportering nivå som "lav" eller "høy" eller bruke en numerisk rekke 0-10 for et høyere nivå av granularitet (lav = 0, med = 5, høy = 10).

Logwatch kan kjøres automatisk eller som en manuell prosess. Vanligvis vil du ønsker å sette den opp til å kjøre automatisk hver dag og oppsummere en dags loggoppføringene. Hvis du noen gang trenger å utvide eller fokusere rapporten, kan du alltid kjøre Logwatch fra kommandolinjen mens spesifiserer nøyaktig hva du ønsker å se. Du kan deretter bruke "-save" muligheten til å spesifisere en rapport navn og katalog plassering for lagring.

Mer kommer

Ovennevnte bør gi deg en god idé som de funksjonene Logwatch kan bringe til bordet. I neste innlegg vil jeg diskutere OSSEC i samme detaljnivå. Etter det vil jeg komme inn i hvordan du installerer hvert verktøy samt hvordan å integrere dem sammen.