I mitt senaste inlägg installerade vi logwatch samt OSSEC. Det är nu dags att få logwatch och OSSEC spela tillsammans i samma sandlåda. I det här inlägget ska jag diskutera hur man får logwatch sammanfatta den information som genereras av OSSEC.

Distributionsalternativ

Vi har två vägar vi kan följa för att ställa in det:

1. Har logwatch tolka OSSEC loggar direkt.
2. Har OSSEC skicka sina meddelanden till en Syslog typ server, kör logwatch på Syslog servern.

Nyttan för alternativ # 1 är att vi bara behöver ett system. Logwatch kommer att köras på systemet värd för OSSEC servern. Problemet vi kommer att stöta på men innebär OSSEC varning filen. Loggposterna inte får normaliseras. Detta innebär att formatet kan ändras från uppgift till uppgift, och kan även spridas över flera rader. Det kommer att bli en riktig mardröm att skapa en logwatch skript som filtrera och sammanfatta varningsinformation.

Om vi ​​går med alternativ # 2 kommer vi att kräva en annan låda att fungera som vår centraliserad loggning server. I syfte att ha den OSSEC-servern acceptera loggposterna från icke-agent system, har den för att lyssna på UDP/514. Detta är samma port som används av en centraliserad loggning server, och du kan inte ha två ansökningar dela på samma port (utom med Windows, men uttag tillgång är mycket rörigt). På plussidan kommer larm posterna blir normaliseras när de överförs till syslog servern så skapar en logwatch sammanställning skript kommer att bli mycket lättare. Vidare vet logwatch redan till de vanliga Syslog filerna, så vi kommer att ha mindre anpassning att göra.

Slutligen nämnde jag i ett tidigare inlägg som OSSEC inte är avsedd att vara ett SIM-kort. Detta beror på att det inte spela in allt, bara de händelser som genererar en varning. Så vi förmodligen kommer att ha en central server i alla fall, och det är vettigt att ha det lagra information som genereras av OSSEC.

Så om det låter som jag styra dig mot alternativ # 2, du är helt korrekt. Med det sagt, jag ska faktiskt till att omfatta alternativ # 1 eftersom det är en betydligt mer komplicerad installation.

Hantering av datum / tid Frimärken

Ta en titt på de viktigaste OSSEC loggfilen och du bör se ut ungefär så här:

[Root @ Fubar loggar] # tail -3 / var / ossec / logs / ossec.log

2010/02/18 00:32:05 ossec-rootcheck: INFO: Ending rootcheck scan.

2010/02/18 14:27:06 ossec-syscheckd: INFO: Start syscheck scan.

2010/02/18 14:39:21 ossec-syscheckd: INFO: Ending syscheck scan.

Notera hur datum / tid stämpel formateras. Detta är annorlunda än de flesta applikationer, så det första vi behöver göra är att berätta logwatch hur man skall hantera detta format. Vi kommer att behöva skapa ett skript som vi kan kalla när det behövs som förstår formatet som visas ovan.

Börja med att flytta in den delade skript katalogen:

cd / usr / share / logwatch / scripts / delad

Använd din favorit editor, skapa en fil med namnet "applylongdate":

VI applylongdate

Här är vad du behöver inne i den filen. Känn dig fri att kopiera / klistra in från den här sidan:

Använd logwatch ": datum ';

min $ Debug = $ ENV {'LOGWATCH_DEBUG'} | | 0;

$ SearchDate = TimeFilter ('% Y /% m /% d% H:% M:% S');

if ($ Debug> 5) {

print stderr "DEBUG: Inside ApplyLongDate ... \ n";

print stderr "DEBUG: Söker:". $ SearchDate. "\ N";

}

while (definierad ($ ThisLine = <STDIN>)) {

if ($ ThisLine = ~ m / ^ $ SearchDate / o) {

print $ ThisLine = ~ s / ^ .... \ / .. \ / .. ..: ..: .. / /;

skriva ut $ ThisLine;

}

}

# VI: shiftwidth = 3 syntax = perl tabstop = 3 et

När du sparar filen måste vi nu att ställa in rätt behörigheter:

chmod 755 applylongdate

Konfigurera loggfiler

Nästa vi måste berätta för logwatch var OSSEC loggfiler finns. Varje gång du lägger till nya loggfiler eller skapa nya tjänster för att övervaka i logwatch, bör du placera dina ändringar i filen / etc / logwatch katalogen. Vi kommer att skapa två konfigurationsfiler. Den första kommer att hantera OSSEC meddelanden och den andra kommer att hantera OSSEC varningar och aktiva förändringar svar.

Låt oss börja med att skapa konfigurationsfilen för den huvudsakliga OSSEC loggfilen:

cd / etc / logwatch / conf / loggfiler

VI ossec.conf

Innehållet i filen ska som följer:

Logfile = / var / ossec / logs / ossec.log

* ApplyLongDate =

Du kan nu spara och avsluta filen. Därefter kommer vi att skapa konfigurationsfilen för återstående loggfiler:

VI ossec-alert.conf

Innehållet i denna filen ska som följer:

Logfile = / var / ossec / logs / aktiv responses.log

Logfile = / var / ossec / logs / varningar / alerts.log

Logfile = / var / ossec / logs / brandvägg / firewall.log

När du är klar, spara och avsluta. De standardbehörigheter bör vara acceptabel för vår inställning.

Konfigurering av OSSEC Tjänster

Sedan behöver vi definiera OSSEC tjänster och identifiera vad vi vill använda som en titel när rapporter genereras. Så här skapar den första filen:

cd / etc / logwatch / conf / services

VI ossec.conf

Innehållet i denna fil är ganska enkel:

Title = "OSSEC meddelanden"

Logfile = ossec

När du är klar kan du spara och avsluta. Vi måste skapa en större fil i denna katalog:

VI ossec-alert.conf

Innehållet i den här filen bör vara:

Title = "OSSEC alarm"

Logfile = ossec-alert

När du är klar, spara och avsluta som vanligt.

Analysera Posterna

Sedan behöver vi tala om för logwatch hur du formaterar loggposterna i rapporten. Vi kommer att behöva skapa en anpassning manus för varje uppsättning av tjänster. Vi kommer att börja med att använda en logwatch medföljande testskript, bara för att se till att allt fungerar.

Börja med att flytta in i lämplig katalog:

cd / etc / logwatch / scripts / tjänster

Använd din favorit editor för att skapa din första manus:

VI ossec

Innehållet i den skriptet bör utgöra det som följas:

#! / Bin / bash

# Det här är så fint script som visar dig raderna du kommer att

# Att bearbeta och rapportera. Det kommer först att visa

# Standard miljövariabler och sedan tar STDIN och

# Dumpa det tillbaka ut till STDOUT.

# Dessa är de vanliga miljövariabler. Du kan definiera

# Mer i din tjänst config fil (se ovan).

echo "Datumintervall: $ LOGWATCH_DATE_RANGE"

echo "Detalj Nivå: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Nu tar STDIN och dumpa det till STDOUT

katt

Skapa nu din andra skript:

VI ossec-alert

och inkluderar exakt samma innehåll:

#! / Bin / bash

# Det här är så fint script som visar dig raderna du kommer att

# Att bearbeta och rapportera. Det kommer först att visa

# Standard miljövariabler och sedan tar STDIN och

# Dumpa det tillbaka ut till STDOUT.

# Dessa är de vanliga miljövariabler. Du kan definiera

# Mer i din tjänst config fil (se ovan).

echo "Datumintervall: $ LOGWATCH_DATE_RANGE"

echo "Detalj Nivå: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Nu tar STDIN och dumpa det till STDOUT

katt

Slutligen måste vi ställa in rätt behörigheter:

chmod 755 ossec *

Testa Setup

Det enklaste sättet att testa vår nya inställning är att köra kommandot:

logwatch | less

Om du bara vill se dina ändringar kan du köra en rapport om varje tjänst, en i taget:

logwatch-service ossec | less

logwatch-service ossec-varning | less

Ytterligare anpassning

När du får allt det ovanstående fungerar kan du fokusera på att få logwatch att filtrera och sammanfatta loggposterna. Logwatch är ganska flexibel och du kan anpassa produktionen något sätt du vill. En av de trevliga sakerna med ovanstående testskriptet ovan är att den visar dig exakt vad du har att arbeta med. Så med lite reguljärt uttryck magi kan du sammanfatta poster som du finner lämpligt. För vissa idéer, kolla in filerna under:

/ Usr / share / logwatch / scripts / tjänster

Dessa är de förvalda sammanfattningen skript som medföljer logwatch. Specifikt ta en titt på filerna "pam" och "sshd". De är bra exempel på både en enkel och en komplicerad uppsättning sammanfattande filter.

När du utveckla dina skript noga till $ LOGWATCH_DETAIL_LEVEL "variabel. Detta kommer att tillåta dig att anpassa utnivån av rapporten beroende på hur mycket informationsnivån användaren är ute efter. Till exempel, medan du fortfarande i ovanstående tjänster katalogen genom att köra följande kommando:

mindre sshd

När den första sidan av filens innehåll visas, skriv in:

/ Detalj <Ange Key>

Det omvända snedstrecket låter oss söka efter filen för en viss textsträng. I detta fallet är vi söker efter ordet "detalj". När du trycker Enter kommer sökningen att hoppa igenom filen tills den hittar den första förekomsten av textsträngen. Det kommer också att belysa söksträngen. I den första matchen kommer du att märka att författaren tilldelas variabeln "$ Detalj" att vara samma som variabeln $ LOGWATCH_DETAIL_LEVEL ". Detta är att spara dem lite skriva.

Tryck nu på snedstreck knappen igen följt av Enter. Detta kommer att gå igenom filen till nästa förekomst av "detalj". Du bör se:

if ($ Detaljer> = 20) {

SEK Användare {$ USER} {$ Host} {$ Metod} + +;

} Else {

if ($ Host! ~ / $ IgnoreHost /) {

SEK Användare {$ USER} {$ Host} {"(alla)"} + +;

Notera författaren ger mer information om detaljnivån är inställd på 20 (halvvägs mellan låg och medelstora) eller högre. Håll hoppa igenom filen och du kommer att se andra exempel där författaren belånade denna teknik.

Nu sida ner till slutet av filen och du bör se detta uttalande:

if (nycklar% OtherList) {

print "\ n ** Omatchade Inlägg ** \ n";

print "$ _: $ OtherList {$ _} (s) \ n" foreach nycklar% OtherList;

}

Detta avsnitt är mycket viktigt, eftersom det är en slutlig catchall. Tänk på en brandvägg politik för ett ögonblick. De flesta av oss att skapa en slutlig regel som säger, "Om jag inte specifikt tillät en trafikmönstret igenom förneka det." Med andra ord, om något oväntat händer, är hur jag vill att du ska hantera det.

Ovanstående uttalande tjänar samma syfte vid tolkning av loggfilen. All tidigare "om" uttalanden försöka matcha en viss textsträng i loggposten för att formatera det ordentligt. Detta inlägg säger "Om du inte har matchas och tryckt en särskild loggpost ännu, skriva ut den i ett avsnitt med titeln" ** Omatchade Poster ** ". Detta steg är mycket viktigt för utan det vi aldrig kommer att se oväntade poster. Det är de oväntade poster som är förmodligen den viktigaste och mest intressanta.

Exec Sammanfattning

Både OSSEC och logwatch är utmärkta gratis verktyg. OSSEC utmärker vid varnar dig när en känd attack mönster sker. Logwatch är ett fantastiskt verktyg för att sammanfatta en tid bit av loggar så att människor kan faktiskt förstå vad som pågår. Genom att kombinera de två verktyg som du kan skapa en mycket mer robust försvar på djupet hållning. Hela blir större än summan av delarna.

I mina två senaste inlägg jag diskuterade logwatch och OSSEC, samt hur de kan vara en hävstång för att öka din säkerhet hållning. I den här delen jag att diskutera hur man installerar båda dessa verktyg.

Du installerar logwatch

Logwatch är ganska lätt att installera. I själva verket är det installeras som standard på många Linux-distributioner, så du kanske redan har en kopia på ditt system. Att kontrollera, logga in som root och försöka köra logwatch med "-v" omkopplare. Om du ser:

[Root @ Fubar logwatch] # logwatch-v

Logwatch 7.3.6 (släppt 05/19/07)

Logwatch är installerat och du har en kopia av den senaste versionen. Om du inte har den senaste versionen kan du ta det från logwatch hämtningssidan .

Det finns tre varianter av logwatch som kan laddas ner, binärfiler i RPM-format, källa i RPM-format eller källa i ett Tar boll. Om ditt system stöder RPM pakethantering, är den binära RPM ditt bästa val. Det är enkelt att installera och RPM kommer automatiskt att uppdatera programvaran när nya versioner finns tillgängliga.

Installera logwatch Från RPM

Om du vill installera den binära versionen av RPM, helt enkelt logga in som root och navigera till den katalog där du hämtade RPM filen. Nu kör kommandot:

rpm-U logwatch-7.3.6-1.noarch.rpm

Glöm inte att du kan använda tab-tangenten för att automatiskt fylla i filnamnet i stället för att skriva in det hela.

Installera logwatch Från källa

Installera från källkod är lite mer tidskrävande. Kom ihåg att för att installera källkod du redan måste ha en kompilator (som GCC) installerat på din dator. Loggar in som root och navigera till den katalog där du hämtade Tar bollen. För att extrahera arkivet, köra kommandot:

tjära xvzf logwatch-7.3.6.tar.gz

Du kommer att se en katalogstruktur under din nuvarande position blir skapade och massor av filer kopieras i. Vi behöver nu flytta in i översta katalogen som skapades:

cd logwatch-7.3.6

För logwatch att köra, det finns ett gäng kataloger som måste skapas på ditt system. Dessa dokumenteras i README i den aktuella katalogen. Lyckligtvis finns logwatch en installation skript som kan göra allt arbete åt dig. Tyvärr har manuset fel behörigheter som så att den inte kommer att köras som standard. Detta är ganska lätt att fixa dock med chmod kommandot:

chmod 500 install_logwatch.sh

Nu kan vi köra skriptet att installera vårt system:

. / Install_logwatch.sh

Glöm inte den period i början av raden.

Testning logwatch

Om du vill testa logwatch setup, kör kommandot:

logwatch | less

Du kommer att se din terminal skärmen bli tom, men det är normalt. Du kommer så småningom se en logwatch Anmäl dig ut på skärmen som du kan navigera genom att använda "Page Up" och "Page Down" tangenterna. Hur loggar det tar för den rapport som visas på skärmen beror på hur mycket logginformation behöver få analyserad. Det kan ta några sekunder eller ett par minuter. Hursomhelst kommer det att ge dig en chans att bekanta dig med rapporten format.

Du installerar OSSEC

Som jag nämnde i mitt förra inlägg, har du två alternativ med OSSEC, lokal eller klient / server. I det här inlägget ska jag fokusera på klient / server inställning, eftersom det är lite mer komplex. Om du utför en lokal installation, välj helt enkelt "lokala" alternativ under installationen och hoppa över avsnittet om att inrätta en säker kanal mellan agenten och servern.

Start med servern

OSSEC använder Blowfish kryptering för säker kommunikation mellan klienten och servern. Blowfish är symmetrisk nyckel baserat, så båda sidor måste veta vad nyckelvärdet att använda för att kommunicera. Servern är ansvarig för att generera den symmetriska nyckeln, så vi måste installera serverprogramvaran först. Under kunden installerar vi kommer att uppmanas att ange en nyckel värde så självklart kommer vi att behöva ha det hands i förväg.

Här är en tidsbesparande tips. Den nyckeln Värdet är lång och nästan omöjligt att komma ihåg. Det enklaste sättet att flytta nyckelvärdet från servern systemet till agent system är att använda SSH. Skapa en säker anslutning till OSSEC servern, och extrahera på lämplig knapp (anvisningarna nedan). I en andra terminalfönster, skapa en SSH-session i systemet där du kommer att installera agenten. När klienten installation uppmanas du nyckeln värde, kan du helt enkelt kopiera / klistra in mellan de två terminalerna.

Installera OSSEC Server

Serverprogramvaran finns som Tar boll, så att du kan ta en kopia av den senaste versionen från OSSEC hämtningssidan . Du kommer att behöva för att extrahera innehållet i Tar bollen:

tjära xvzf ossec-HID-2.3.tar.gz

Därefter flyttar in i katalogstrukturen du just skapat:

cd ossec-HID-2,3

OSSEC ger en installation skript för att gå igenom processen att installera servern. För att starta skriptet skriver du:

. / Install.sh

Glöm inte den period i början av kommandot. Du kommer nu att uppmanas genom ett antal installationen alternativ:

• Språk - Standard är engelska. Ändra den vid behov.
• Bekräftelse av installation - Tryck på Enter när du har läst på skärmen.
• Installera typ - Skriv in "server" utan citattecken och tryck på Enter.
• Installera plats - Acceptera standard.
• E-post mottagen - Standard är ja, välja om du vill att e-postmeddelanden. Om du väljer Ja, kommer du att bli tillfrågad om en giltig e-postadress och e-postserver.
• Integrity Check - Standard är ja. Välj om du vill att lokala systemet regelbundet kontrolleras för intrång.
• Root kit upptäckt - Standard är ja. Bra alternativ eftersom vi måste bibehålla en hög grad av integritet på detta system.
• Aktiv svar - Standard är ja. Välj det här alternativet om du vill kunna svara på händelser.
• Brandvägg drop - medger OSSEC servern att försvara sig själv om en direkt attack upptäcks.
• Vita listan - Detta kommer att tillåta dig att lägga till IP-adresser från vilka möjliga attacker kommer att ignoreras. Var försiktig med detta alternativ. Om du inte har konsolen tillgång till OSSEC server, kan det vara klokt att identifiera en IP-adress som alltid kan komma in bara se till att käll-IP är en pålitlig system.
• Aktivera Syslog - Standard är ja. Välj det här alternativet om du vill samla in loggar från system som inte kan köra ett OSSEC agent (som brandväggar, switchar, routrar, åtkomstpunkter etc.).
• Loggfiler som ska övervakas - Den här skärmen identifierar alla de lokala loggfiler OSSEC kommer att bevaka. Det är endast information, så allt du kan göra är att trycka på Enter för att gå förbi den. Om du märker en eller flera loggfiler som saknas i listan kan du lägga till dem senare till ossec.conf filen.

Vid denna punkt OSSEC ska få tillgång till lokala complier och installera alla nödvändiga filer till systemet. När du är klar kan du starta OSSEC servern genom att köra kommandot:

/ Var / ossec / bin / ossec-control start

Som definierar OSSEC Agents

Vi är inte färdig med OSSEC servern ännu. Sedan behöver vi fördefiniera några system som ska kör OSSEC agent (klient) mjukvara. Denna utförs med användning den manage_agents-kommandot. Först måste dock vi göra lite läxor. Gör en lista över alla de system som kommer att köra OSSEC agenten. För varje system, behöver du ett beskrivande namn samt att systemets IP-adress.

Nu kör följande från kommandoraden:

/ Var / ossec / bin / manage_agents

Detta kommer att producera agenthanteraren huvudmenyn. Tryck på "A" följt av Enter för att definiera din första systemet. Ange ett beskrivande namn för det första systemet, följt av systemets IP-adress. Oroa dig inte om agenten ID-nummer. Bara acceptera standard och OSSEC kommer automatiskt tilldela nästa tillgängliga ID-nummer. När du har bekräftat den information du angett, kommer du tillbaka till agenthanteraren huvudmenyn. Upprepa ovanstående process för varje system som kommer att köra en OSSEC medel.

Generera Keys

När du har lagt i alla dina system, är det dags att skapa krypteringsnycklar. Detta steg utförs också med den manage_agents-verktyget. Om du har stängt verktyget efter det sista steget, nystart nu.

Tryck på "E" knappen följt av Enter för att välja "Extract nyckeln till en agent" menyn. Du kommer sedan att bli tillfrågad om ID-numret på nyckeln du vill extrahera. De beskrivande namn och IP-adresser listas med varje ID-nummer, så det borde vara trivialt att identifiera vilken du vill ha. Börja med det system du planerar att installera agenten programvaran på först.

OSSEC Agent Installera på Linux

När du installerar agenten programvaran på en Linux-eller UNIX-klient använder du exakt samma Tar bollen vi använde för att installera serverprogramvaran. Kör samma installationsskriptet, men den här gången när du ombeds för den typ av installation du vill utföra, skriv "agent" följt av Enter.

Kunden installation har många av samma uppmanas som servern installationen. Använd info ovan för att guida dig genom processen. Frågan som kommer att variera är dock att du kommer bli ombedd att lämna IP-adressen för OSSEC servern. När du är klar, kommer OSSEC tillgång till lokala complier och installera alla nödvändiga filer till systemet.

Nästa vi behöver importera Blowfish nyckeln från OSSEC servern. Medan fortfarande på agent system, kör kommandot:

/ Var / ossec / bin / manage_agents

När Agent Manager-menyn visas, välj "I" för att importera Blowfish nyckeln.

När nästa prompten visas måste du manuellt ange rätt Blowfish nyckeln. Återigen, om du kör SSH till båda systemen samtidigt, kan du helt enkelt kopiera / klistra in mellan de två terminalerna. Se till att nyckeln ser korrekt, tryck på Enter och välj sedan "y" för att bekräfta att nyckeln ser korrekt. Du kommer att returneras till Agent Manager-menyn. Välj "q" för att återgå till kommandoraden.

Nu måste vi helt enkelt starta OSSEC medlet. Kan du göra det genom att köra följande kommando:

/ Var / ossec / bin / ossec-control start

Du bör se alla OSSEC agenten komponenterna starta, följt av en "färdig"-meddelande.

OSSEC Agent installerar på Windows

OSSEC har en självextraherande körbar som kommer att tillåta dig att installera agenten programvara på en Windows-system. Helt enkelt dubbelklicka på den körbara för att starta installationen. Du kommer att uppmanas att godkänna licensen samt vilka komponenter du vill installera. Följ bara anvisningarna tills OSSEC Agent Manager öppnas.

Den OSSEC Agent Manager-fönstret kommer att fråga dig för IP-adress OSSEC servern. Det kommer också att fråga dig efter Blowfish nyckelvärdet att använda, så packa lämplig nyckel på servern och ange värdet på detta område. Se till att du tar bort ett snabbt inom detta område innan du klistrar in i Blowfish nyckeln. Annars kommunikationen med servern kan misslyckas.

Välj sedan "Hantera" från OSSEC Agent Manager-menyn, följt av "Start OSSEC". Du bör nu se "Status:" indikatorn förändring "Running ...".

Testning OSSEC

När du har servern och agenten programvara installerad började och lämpliga knapparna konfigureras är det nu dags att titta på vår inställning. Kör följande kommando på OSSEC servern:

cd / var / ossec / logs

Och kolla in ossec.log filen:

mindre ossec.log

Kontrollera loggfilen för eventuella fel. Ett vanligt fel är att OSSEC rapporter den inte kan skicka e-post. Se till att e-postservern är igång och att den accepterar anslutningar. När du är nöjd med servern installationen är det nu dags att kolla in de anställda. Flytta ner till "varningar" katalogen:

cd varningar

Och kolla in alerts.log filen:

mindre alerts.log

Specifikt söker du efter poster som liknar följande:

2010 17 februari 16:09:16 (desktop) 192.168.1.10-> ossec

Regel: 501 (nivå 3) -> "Nytt ossec agent ansluten."

Src IP: (ingen)

Användare: (ingen)

ossec: Agent startade: "test_system-> 192.168.1.10".

Du bör se en post för varje system som du installerade agenten programmet.

Mer kommer

Puh! Det är mer än tillräckligt för en post! I mitt nästa inlägg ska jag få in att utnyttja logwatch att tolka all varningsinformation som genereras av OSSEC.

I min senaste inlägget jag beskrev hur logwatch kan användas för att förenkla processen loggen översynen. I detta inlägg ska vi titta på OSSEC och vad det innebär för bordet.

Vad Is OSSEC?

OSSEC , kort för "Open Source Security", är en värd baserat Intrusion Detection System (HIDS). Med andra ord är det utformat för att upptäcka angrepp eller brott mot politiken om och när de inträffar. Även om det inte har förmågan att skydda mot okända eller 0-day-attacker (som skulle vara värd baserad intrångsskydd), gör det innehålla en rad olika verktyg som kan hjälpa dig att identifiera ett intrång när den inträffar, samt i vilken utsträckning av de skador som har orsakats.

Plattformar som stöds

För att kunna utnyttja alla funktioner OSSEC har att erbjuda, måste du köra en agent på det system som skyddas. OSSEC agenter kan köras på Windows, Mac OS X, Linux och ett brett utbud av UNIX-system. Om du bara intresserad av logganalys delen kan dock en ännu bredare utbud av system bör stödjas. Detta inkluderar hårdvara från både Cisco och Juniper. Ett antal specifika produkter också får stöd som Checkpoint brandväggar, Symantec Anti-Virus, Snort, Squid, och arpwatch, bara för att nämna några.

När du installerar OSSEC har du två konfigurationsalternativ, lokala eller klient / server. En lokal installation används när du behöver köra allt på ett enda system. Den klient / server installation kan du köra en distribuerad miljö skydda flera system på samma gång. Medan de flesta distributioner är klient / server-baserad, om du vill ge OSSEC en spin du enkelt kan köra allt på en enda test som använder en lokal installation.

Loggar Analys

OSSEC inkluderar en Log-system Intrusion Detection (lock). Detta har förmågan att granska loggfiler i nära realtid, medan granska dem för kända attack mönster. När en logg genereras på ett skyddat system tar agenten hand säkert överföra log (Blowfish kryptering med en pre-delad hemlighet) tillbaka till servern. Servern tar sedan själv hand att utföra analysen.

De flesta log analysverktyg bearbeta sina regler i en linjär format. Med det menar jag om vi har 500 regler, är i regel en markerad, så regeln två, sedan styra tre och så vidare tills en matchning hittas eller vi når slutet av regeluppsättningen. OSSEC fungerar lite annorlunda då det genomför en hierarkisk struktur till reglerna. Loggposter först klassificeras och kontrolleras endast mot beroende reglerna är lämpliga. Resultatet är att i stället för att behöva behandla alla 500 regler, kommer de flesta händelserna få kontrolleras mot 10 regler eller mindre. Detta reducerar dramatiskt den mängd overhead som krävs för att bearbeta det regeluppsättningen.

Integritet Kontroll

OSSEC inkluderar ett verktyg som heter Syscheck för att utföra fil-och katalog integritet kontroll. Om du kör en Windows agent kan du även specifika tangenter i Windows-registret som skall övervakas också. Filändringar kan detekteras med användning både MD-5 och SHA-1-hash-algoritmer. Systemet är mycket anpassningsbart. Du kan inkludera eller exkludera enskilda filer eller hela strukturer katalogen. Du kan även ställa in en flagga för att upptäcka ny fil skapas.

Den agenten programvara är utformad för att använda en minimal mängd av CPU: n under den integriteten checken. Även om detta innebär att kontrollen kommer att ta längre tid, bidrar den också till att minimera prestanda slå till systemet. Hash information sänds tillbaka till servern. Servern tar sedan själv hand utföra den hash jämförelsen för att se om någon av systemets viktiga filer har ändrats. Servern lagrar också en kopia av Integrity Check politik, så att om de politiska förändringar görs på medlet, kan de upptäckas och rapporteras också.

Upptäcka avvikelser

OSSEC går långt utöver log kontroll för att verifiera systemets integritet. Användning politik kan hanteras centralt från servern, och sedan skjuts ut till lämpliga medel. Till exempel kan du definiera en policy om vilka Windows-program är acceptabla (Office, Firefox, etc.) och vilka som inte är (IM-klient, Skype, etc.). Du kan även ange acceptabla konfigurationsalternativ så kontrollera att NT hashar används för lösenord sparas, men inte Lanman hashar.

OSSEC inkluderar ett antal andra godsaker i syfte att hjälpa till att verifiera en systemets: s integritet. Till exempel OSSEC har förmågan att utföra kommandon från agenten och övervaka produktion som blir genereras. Till exempel kan du ha Linux agenten kör "DF"-kommandot med jämna mellanrum och skapa ett larm om diskanvändning överstiger 90%. En Windows exempel kan vara att ha OSSEC generera en varning när filinformation skrivs till alternativa dataströmmar område NTFS.

Aktiv Response

Slutligen innehåller OSSEC förmågan att reagera när misstänkt aktivitet upptäcks. Svar kan genereras från servern eller dennes ombud, som någonsin du anger. Svar kan vara så godartad generera ett e-postavisering, att vara så aktiv som blockerar en IP-adressen under en begränsad tid. Det finns ett antal som ingår aktiva svar skript Du kan rita på, eller så kan du enkelt skriva din egen.

Säker Arkitektur

De OSSEC Författarna har gjort stora ansträngningar för att säkra alla komponenter i produkten. Uppgifter som integritetskontroll utförs på servern, snarare än medlet, så tillförlitlighet hashes inte kan äventyras under en attack. Processer drivs med lägsta behörigheter möjligt, och olika konton används för att köra varje OSSEC komponent. Detta innebär att en kompromiss en enda ansökan inom OSSEC inte omedelbart kommer att leda till en kompromiss om hela paketet. Vidare är de flesta komponenter som körs i en chrootad fängelse för deras tillgång till systemet ytterligare begränsas.

Slutord

Medan OSSEC är ett kraftfullt verktyg, är det viktigt att komma ihåg att det är en HIDS och inte en logghantering lösning. OSSEC kan granska loggposter söker efter misstänkta mönster, men det kommer bara att spara varningsinformation. Så medan OSSEC inte ersätta din Security Information Management (SIM) lösning, kan det säkert öka den. Du kan enkelt ställa in OSSEC att vidarebefordra alla varningar som den genererar till en central loggning server .

Medan OSSEC är öppen källkod, är Trend Micro utvecklas i första hand det. Om du behöver kommersiell support kan du köpa en supportavtal genom dem till en rimlig kostnad.

Mer kommer

I min nästa avbetalning ska vi titta på att installera OSSEC och logwatch. Efter det kommer vi flytta in att integrera de två tillsammans.

Jag har nyligen hade en elev frågar mig en fråga om integration av logwatch med OSSEC. Jag kände mig som det var en komplicerad och ändå tillräckligt svalt tanken att det motiverade en serie inlägg att täcka det i sin helhet. Så under de närmaste dagarna ska jag tala om vart och ett av dessa verktyg, hur man kan integrera dem tillsammans, samt vad extra säkerhet synlighet kan vinnas När processen är klar.

Vad Is logwatch?

Logwatch är ett utmärkt open source verktyg för att skapa dagliga människoläsbara log rapporter. Loggposterna tenderar att falla i en av tre kategorier:

• Saker du vet är ond
• Saker du vet är normalt och kan ignoreras
• Allt annat

Det är att "allt annat" kategori där logwatch verkligen skiner. För de saker vi vet är ont, kommer vi att ställa någon form av larmsystem. Vi kan till exempel skriva en varning signatur som varnar säkerhet analytiker när ett konto håller på att brute tvingas. Men hur attackerna vet vi inte om eller är osäker på vad de ser ut? Detta skulle vara ett tydligt exempel på att "allt annat" kategori. Trafiken är inte normalt, men vi har inte sett det förut att ha en signatur som väntar på att generera en varning. Eftersom vi inte kommer att kunna fånga attacken i realtid, måste vi fånga den under en daglig logg översyn.

Naturligtvis den problemet med att göra dagliga log betyg är att det är tråkiga och tidskrävande. Jag menar låt oss vara ärliga, vill som verkligen tillbringa sin dag över en miljon plus poster log? Även om du gjorde, du är säker på att du faktiskt skulle fånga utöver det vanliga trafiken?

Hur det fungerar

Vad logwatch gör mycket väl tillåta dig att omorganisera dina data till ett format som är lättare för människor att följa. Dess verkliga styrka är att den tillåter dig att flytta saker du förstår ur vägen (normal eller ont), så att de oväntade loggposterna står ut som en öm tumme. Med andra ord låter logwatch du sammanfatta dina loggposter så ovanliga saker är lättare att upptäcka.

Vad jag verkligen gillar med logwatch är att du inte förlorar något. Många log recension verktyg bara visa dig saker som har på förhand definieras som onda. Problemet de alla delar är att när något ont, men oväntat händer, flyger det rätt under tråden. Eftersom logwatch kan du se allt, du inte längre missa det oväntade.

Logwatch I Åtgärd

Låter diskutera hur logwatch fungerar med hjälp av SSH -servern tjänsten som ett exempel. De skript för att hantera SSH redan fastställs inom logwatch, så du behöver inte göra någon anpassning för att få de funktioner vi kommer att diskutera.

När du granskar en loggfil, inte det första logwatch är omorganiserar loggposter baserat på deras meddelandetyper. Till exempel alla framgångsrika SSH inloggningar grupperas tillsammans, liksom alltför många inloggning misslyckanden, vägrade anslutningar, låsta konton, utan en ordentlig skal, protokoll mis-matcher, etc. etc. etc. När alla SSH-meddelanden grupperas efter sina typ, är de data sammanfattade sedan för att reducera mängden av information som rapporteras.

Till exempel är det standard att sammanfatta misslyckade inloggningsförsök efter konto och källa IP. Så en typisk misslyckats inloggning rapporten avsnitt kan se ut så här:

Misslyckade inloggningar från dessa:

bsmith / lösenord från 1.2.3.4: 637 (s)

jsmith / lösenord från 1.2.3.5: 2 (s)

Så i stället för att granska 639 loggposter rapporterar en dålig inloggningsförsök har vi all relevant information sammanfattas i tre rader (om du inkluderar titeln). Fortsätt denna process för alla de andra SSH budskap, och vi har dramatiskt minskat den tid som krävs för att se över våra loggar.

Men tänk om något händer som logwatch inte är förprogrammerad att känna igen? När en oväntad loggpost hittas lägger logwatch ett avsnitt i slutet av tjänsten rapport kallad "Omatchade poster". Så om vi ser en sådan avdelning i SSH-servern avsnittet vet vi någon händelse har inträffat som antingen är onormal eller oväntad för SSH-tjänsten. Detta kan mycket väl vara någon form av attack som vi inte är medvetna gör rundor.

Genom att fokusera in på oöverträffad Fält för särskilda uppgifter, kan vi snabbt identifiera oväntade aktivitet. Som jag sa tidigare, är detta verkligen det viktigaste målet att göra dagliga log recensioner. För att hitta de saker vi förväntar oss inte som smyga förbi vår larmsystem. Logwatch gör denna process så snabbt och smärtfritt som möjligt.

Feature Sammanfattning

I ovanstående exempel har jag pratat om att göra dagliga log recensioner, men för att vara ärlig logwatch är mycket anpassningsbar. Du kan ange ett intervall du vill använda ner till ett intervall på en sekund. Till exempel låt oss säga att jag undersöker ett intrång istället för att genomföra en daglig logg översyn. Jag kunde ange ett intervall som "2010/02/14 17:05:00 för den timmen" att fokusera rätt i den information som intresserar mig. Jag kan också fokusera på en specifik loggfilen eller tjänst.

Detaljnivå i rapporten är också anpassningsbar. Vanligtvis när man behandlar med säkerhet får du för vana att alltid vilja högsta detaljnivån i rapporteringen. För att vara ärlig med logwatch en hög detaljnivå är förmodligen mer än du någonsin kommer att behöva. Personligen har jag hålla vanligtvis med "med" för medium och som fungerar riktigt bra. Du kan även ange rapportering nivå som "låg" eller "hög" eller använda en numerisk rad 0-10 för en högre grad av detaljnivå (låg = 0, Med = 5, hög = 10).

Logwatch kan köras automatiskt eller som en manuell process. Vanligtvis kommer du vill ställa in den att köras automatiskt varje dag och sammanfatta en dag värde av loggposter. Om du någonsin behöver expandera eller fokusera rapporten kan du alltid köra logwatch från kommandoraden samtidigt som den specificerar exakt vad du vill se. Du kan sedan använda "-save" för att ange en rapport namn och katalog för lagring.

Mer kommer

Ovanstående bör ge dig en god uppfattning om de funktioner logwatch kan ta med till bordet. I nästa inlägg kommer jag att diskutera OSSEC i samma detaljnivå. Efter det ska jag komma in hur du installerar varje verktyg samt hur man kan integrera dem tillsammans.