I min senaste inlägget jag beskrev hur logwatch kan användas för att förenkla processen loggen översynen. I detta inlägg ska vi titta på OSSEC och vad det innebär för bordet.
Vad som är OSSEC?
OSSEC , kort för "Open Source Security", är en värd baserat Intrusion Detection System (HIDS). Med andra ord är det utformat för att upptäcka angrepp eller brott mot politiken om och när de inträffar. Även om det inte har förmågan att skydda mot okända eller 0-day-attacker (som skulle vara värd baserad intrångsskydd), gör det innehålla en rad olika verktyg som kan hjälpa dig att identifiera ett intrång när den inträffar, samt i vilken utsträckning av de skador som har orsakats.
Plattformar som stöds
För att kunna utnyttja alla funktioner OSSEC har att erbjuda, måste du köra en agent på det system som skyddas. OSSEC agenter kan köras på Windows, Mac OS X, Linux och ett brett utbud av UNIX-system. Om du bara intresserad av logganalys delen kan dock en ännu bredare utbud av system bör stödjas. Detta inkluderar hårdvara från både Cisco och Juniper. Ett antal specifika produkter också får stöd som Checkpoint brandväggar, Symantec Anti-Virus, Snort, Squid, och arpwatch, bara för att nämna några.
När du installerar OSSEC har du två konfigurationsalternativ, lokala eller klient / server. En lokal installation används när du behöver köra allt på ett enda system. Den klient / server installation kan du köra en distribuerad miljö skydda flera system på samma gång. Medan de flesta distributioner är klient / server-baserad, om du vill ge OSSEC en spin du enkelt kan köra allt på en enda test som använder en lokal installation.
Log Analys
OSSEC inkluderar en Log-system Intrusion Detection (lock). Detta har förmågan att granska loggfiler i nära realtid, medan granska dem för kända attack mönster. När en logg genereras på ett skyddat system tar agenten hand säkert överföra log (Blowfish kryptering med en pre-delad hemlighet) tillbaka till servern. Servern tar sedan själv hand att utföra analysen.
De flesta log analysverktyg bearbeta sina regler i en linjär format. Med det menar jag om vi har 500 regler, är i regel en markerad, så regeln två, sedan styra tre och så vidare tills en matchning hittas eller vi når slutet av regeluppsättningen. OSSEC fungerar lite annorlunda då det genomför en hierarkisk struktur till reglerna. Loggposter först klassificeras och kontrolleras endast mot beroende reglerna är lämpliga. Resultatet är att i stället för att behöva behandla alla 500 regler, kommer de flesta händelserna få kontrolleras mot 10 regler eller mindre. Detta reducerar dramatiskt mängd overhead som krävs för att bearbeta regeluppsättning.
Integritet Kontroll
OSSEC inkluderar ett verktyg som heter Syscheck för att utföra fil-och katalog integritet kontroll. Om du kör en Windows agent kan du även specifika tangenter i Windows-registret som skall övervakas också. Filändringar kan detekteras med användning av både MD-5 och SHA-1 hash algoritm. Systemet är mycket anpassningsbart. Du kan inkludera eller exkludera enskilda filer eller hela strukturer katalogen. Du kan även ställa in en flagga för att upptäcka ny fil skapas.
Medlet programvara är utformad för att använda en minimal mängd av CPU under integritetskontroll. Även om detta innebär att kontrollen kommer att ta längre tid, bidrar den också till att minimera prestanda slå till systemet. Hash information sänds tillbaka till servern. Servern tar sedan själv hand utföra den hash jämförelsen för att se om någon av systemets viktiga filer har ändrats. Servern lagrar också en kopia av Integrity Check politik, så att om de politiska förändringar görs på medlet, kan de upptäckas och rapporteras också.
Upptäcka avvikelser
OSSEC går långt utöver log kontroll för att verifiera systemets integritet. Användning politik kan hanteras centralt från servern, och sedan skjuts ut till lämpliga medel. Till exempel kan du definiera en policy om vilka Windows-program är acceptabla (Office, Firefox, etc.) och vilka som inte är (IM-klient, Skype, etc.). Du kan även ange acceptabla konfigurationsalternativ så kontrollera att NT hashar används för lösenord sparas, men inte Lanman hashar.
OSSEC innefattar ett antal andra godsaker, för att bidra till att verifiera systemets integritet. Till exempel OSSEC har förmågan att utföra kommandon från agenten och övervaka produktion som blir genereras. Till exempel kan du ha Linux agenten kör "DF"-kommandot med jämna mellanrum och skapa ett larm om diskanvändning överstiger 90%. En Windows exempel kan vara att ha OSSEC generera en varning när filinformation skrivs till alternativa dataströmmar område NTFS.
Aktivt gensvar
Slutligen innehåller OSSEC förmågan att reagera när misstänkt aktivitet upptäcks. Svar kan genereras från servern eller dennes ombud, som någonsin du anger. Svar kan vara så godartad generera ett e-postavisering, att vara så aktiv som blockerar en IP-adressen under en begränsad tid. Det finns ett antal som ingår aktiva svar skript Du kan rita på, eller så kan du enkelt skriva din egen.
Säker arkitektur
De OSSEC Författarna har gjort stora ansträngningar för att säkra alla komponenter i produkten. Uppgifter som integritetskontroll utförs på servern, snarare än medlet, så tillförlitlighet hashes inte kan äventyras under en attack. Processer drivs med lägsta behörigheter möjligt, och olika konton används för att köra varje OSSEC komponent. Detta innebär att en kompromiss en enda ansökan inom OSSEC inte omedelbart kommer att leda till en kompromiss om hela paketet. Vidare är de flesta komponenter som körs i en chrootad fängelse för deras tillgång till systemet ytterligare begränsas.
Slutord
Medan OSSEC är ett kraftfullt verktyg, är det viktigt att komma ihåg att det är en HIDS och inte en logghantering lösning. OSSEC kan granska loggposter söker efter misstänkta mönster, men det kommer bara att spara varningsinformation. Så medan OSSEC inte ersätta din Security Information Management (SIM) lösning, kan det säkert öka den. Du kan enkelt ställa in OSSEC att vidarebefordra alla varningar som den genererar till en central loggning server .
Medan OSSEC är öppen källkod, är Trend Micro utvecklas i första hand det. Om du behöver kommersiell support kan du köpa en supportavtal genom dem till en rimlig kostnad.
Mer kommer
I min nästa avbetalning ska vi titta på att installera OSSEC och logwatch. Efter det kommer vi flytta in att integrera de två tillsammans.
Relaterade inlägg:
