OSSEC: Difference between revisions
No edit summary |
No edit summary |
||
| (40 intermediate revisions by the same user not shown) | |||
| Line 2: | Line 2: | ||
==Mis on OSSEC?<ref>[http://www.ossec.net/ OSSEC koduleht (Home)]</ref>== | |||
OSSEC (''Open Source Host-based Intrusion Detection System'') on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, rootkit'ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega. | OSSEC (''Open Source Host-based Intrusion Detection System'') on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, ''rootkit'''ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega. | ||
Tegemist on tervikliku platvormiga | Tegemist on tervikliku platvormiga süsteemi jälgimiseks ja kontrollimiseks. | ||
Keskne haldusserver töötab Linux/BSD operatsioonisüsteemidel.<ref>[http://www.ossec.net/?page_id=19 OSSEC koduleht (Downloads)]</ref> | |||
Tarkvara agentprogamm töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows. | |||
==OSSEC omadused ja võimalused.<ref>[http://www.ossec.net/?page_id=165 OSSEC koduleht (OSSEC Features)]</ref>== | |||
*Süsteemi turvastandardite nõuetele vastavuse tagamine | *Süsteemi turvastandardite nõuetele vastavuse tagamine | ||
| Line 24: | Line 26: | ||
*Aktiivne reageerimine | *Aktiivne reageerimine | ||
==Kuidas OSSEC töötab?<ref>[http://www.ossec.net/?page_id=169 OSSEC koduleht (How It Works)]</ref>== | |||
OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest. | OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest. | ||
==Keskne haldusserver== | ===Keskne haldusserver=== | ||
OSSEC paigalduse süda, siin talletatakse failide tervikluse kontrolli andmabaasid, logid, juhtumid ja süsteemi auditeerimie sissekanded. Kõik reeglid, dekooderid ja peamised seadistuste valikud on samuti salvestatud siia, mis muudab lihtsaks korraga paljude agentprogrammide haldamise. | |||
===Agentprogrammid=== | |||
Agentprogramm on väike tükk tarkvara, mis paigaldatakse süsteemi mida soovitakse jälgida. Agent korjab reaalajas informatsiooni ja edastab selle kesksele haldussserverile. Vaikimisi kasutab väga vähe resursse (mälu ja CPU). | |||
'''Agentprogrammi turvalisus''': agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (''chroot jail''). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi. | |||
===Agentideta süsteemid=== | |||
Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada. | |||
===Virtualiseerimine/Vmware=== | |||
OSSEC lubab paigaldada agentprogrammi nii virtualiseeritud süsteemidele kui ka Vmware serverile (Vmware ESX) endale. Serverile paigaldatuna saadab agent teateid virtualiseeritud süsteemide paigaldamise, eemaldamise, käivitamise jne. kohta. Samuti jälgib agent serverisse sisse logimisi, välja logimisi ja veateateid. Lisaks sellele teeb OSSEC CIS (Center for Internet Security) kontrolli Vmware serverile, andes häiret kui avastatakse ebaturvaline seadistus või mingi muu probleem. | |||
===Tulemüürid, ''switch'''id, ruuterid=== | |||
OSSEC oskab vastu võtta ja analüüsida paljude võrguseadmete süsteemi logisid. | |||
===Arhitektuur=== | |||
[[File:Ossec-arch2.jpg|thumb|right|alt=OSSEC arhitektuur|OSSEC arhitektuur<ref>[http://www.ossec.net/wp-content/uploads/2012/04/ossec-arch2.jpg OSSEC arhitektuur]</ref>]] | |||
Kõrvalolev diagramm näitab keskset haldusserverit vastu võtmas infot agentidelt ja süsteemi logisid seadmetelt võrgus. Kui midagi avastatakse on võimalik aktiivselt reageerida ning administratorile saadetakse teavitus. | |||
===Tarkvara tugi=== | |||
Kuigi OSSEC on avatud koodiga tarkvara<ref>[http://www.ossec.net/?page_id=52 OSSEC koduleht (OSSEC License)]</ref>, on võimalik sellele saada tasulist tuge<ref>[http://www.ossec.net/?p=1079 OSSEC koduleht (OSSEC Commercial Support Contracts)]</ref>. | |||
==Toetatud süsteemid<ref>[http://www.ossec.net/?page_id=36 OSSEC koduleht (Supported Systems)]</ref>== | |||
OSSEC teotab järgnevaid operatsioonisüsteeme ja logide vorminguid: | |||
===Operatsioonisüsteemid=== | |||
Järgnevad operatsioonisüsteemid omavad OSSEC agentprogrammi tuge: | |||
GNU/Linux (kõik distributsioonid, kaasa arvatud RHEL, Ubuntu, Slackware, Debian, jne.) | |||
Windows 7, XP, 2000 and Vista | |||
Windows Server 2003 and 2008 | |||
VMWare ESX 3.0,3.5 (lisaks CIS kontroll) | |||
FreeBSD (kõik versioonid) | |||
OpenBSD (kõik versioonid) | |||
NetBSD (kõik versioonid) | |||
Solaris 2.7, 2.8, 2.9 and 10 | |||
AIX 5.3 ja 6.1 | |||
HP-UX 10, 11, 11i | |||
MacOSX 10 | |||
===Seadmed toetatud läbi süsteemi logi (''Syslog'')=== | |||
Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (''remote syslog''): | |||
Cisco PIX, ASA ja FWSM (kõik versioonid) | |||
Cisco IOS ruuterid (kõik versioonid) | |||
Juniper Netscreen (kõik versioonid) | |||
SonicWall tulemüür (kõik versioonid) | |||
Checkpoint tulemüür (kõik versioonid) | |||
Cisco IOS IDS/IPS moodul (kõik versioonid) | |||
Sourcefire (Snort) IDS/IPS (kõik versioonid) | |||
Dragon NIDS (kõik versioonid) | |||
Checkpoint Smart Defense (kõik versioonid) | |||
McAfee VirusScan Enterprise (v8 and v8.5) | |||
Bluecoat proxy (kõik versioonid) | |||
Cisco VPN kontsentraatorid (kõik versioonid) | |||
===Agentideta süsteemid=== | |||
Kasutades OSSEC süsteemi agendita võimalusi on ka järgnevad süsteemid toetatud (logide analüüs ja failide tervikluse kontroll) | |||
Cisco PIX, ASA ja FWSM (kõik versioonid) | |||
Cisco IOS ruuterid (kõik versioonid) | |||
Juniper Netscreen (kõik versioonid) | |||
SonicWall tulemüür (kõik versioonid) | |||
Checkpoint tulemüür (kõik versioonid) | |||
Kõik operatsioonisüsteemid mis on kirjeldatud sektsioonis "Operatsioonisüsteemid" | |||
===Andmebaasi jälgimine=== | |||
Andmebaasi jälgimise võimalus on saadaval järgnevatele süsteemidele: | |||
MySQL (kõik versioonid) | |||
PostgreSQL (kõik versioonid) | |||
Oracle, MSSQL (varsti on saadaval) | |||
===Individuaalsete logivormingute ja rakenduste tugi=== | |||
'''Unix-ainult''': | |||
Unix Pam | |||
sshd (OpenSSH) | |||
Solaris telnetd | |||
Samba | |||
Su | |||
Sudo | |||
Xinetd | |||
Adduser/deluser/etc | |||
Cron/Crontab | |||
Solaris BSM Auditing | |||
Dpkg (Debian pakihaldur) logid | |||
Yum logid | |||
'''FTP serverid''': | |||
Proftpd | |||
Pure-ftpd | |||
vsftpd | |||
wu-ftpd | |||
Microsoft FTP server | |||
Solaris ftpd | |||
Mac OS FTP server | |||
'''E-posti serverid''': | |||
Imapd and pop3d | |||
Postfix | |||
Sendmail | |||
vpopmail | |||
Microsoft Exchange | |||
Courier imapd/pop3d/pop3-ssl | |||
vm-pop3d | |||
SMF-SAV (Sendmail Sender Address Validator) | |||
Procmail | |||
Mailscanner | |||
'''Veebiserverid''': | |||
Apache veebiserver (kasutuslogi ja vigade logi) | |||
IIS 5/6 veebiserver (NSCA ja W3C laiendatud) | |||
Zeus veebiserver | |||
'''Veebirakendused''': | |||
Horde imp | |||
Modsecurity | |||
'''Tulemüürid''': | |||
Iptables tulemüür | |||
Shorewall (iptables-baseeruv) tulemüür | |||
Solaris ipfilter tulemüür | |||
AIX ipsec/tulemüür | |||
Netscreen tulemüür | |||
Windows tulemüür | |||
Cisco PIX/ASA/FWSM | |||
SonicWall tulemüür | |||
Checkpoint tulemüür | |||
'''Andmebaasid''': | |||
MySQL | |||
PostgreSQL | |||
'''NIDS''': | |||
Cisco IOS IDS/IPS moodul | |||
Snort IDS (snort ''full'', snort ''fast'' ja snort ''syslog'') | |||
Dragon NIDS | |||
Checkpoint Smart ''defense'' | |||
'''Turbe tööriistad''': | |||
Symantec Anti Virus | |||
Symantec Web Security | |||
Nmap | |||
Arpwatch | |||
McAfee VirusScan Enterprise (v8 ja v8.5) | |||
'''Teised''': | |||
Named (bind) | |||
Squid ''proxy'' | |||
Bluecoat ''proxy'' | |||
Cisco VPN Kontsentraator | |||
Cisco IOS ruuterid | |||
Asterisk | |||
Vmware ESX | |||
Windowsi juhtumi logid (sisselogimine, väljalogimine, audit info, jne.) | |||
Windows ''Routing and Remote Access'' logid | |||
Üldine unix autentimine (''adduser'', sisselogimine, jne.) | |||
== | ==Viited== | ||
<references /> | |||
Latest revision as of 13:43, 12 January 2015
Autor Oliver Karjane AK31 2014
Mis on OSSEC?[1]
OSSEC (Open Source Host-based Intrusion Detection System) on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, rootkit'ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega.
Tegemist on tervikliku platvormiga süsteemi jälgimiseks ja kontrollimiseks.
Keskne haldusserver töötab Linux/BSD operatsioonisüsteemidel.[2]
Tarkvara agentprogamm töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows.
OSSEC omadused ja võimalused.[3]
- Süsteemi turvastandardite nõuetele vastavuse tagamine
- Multiplatvormne
- Reaalaja ja seadistatavad alarmid
- Olemasoleva taristuga integreerimine
- Keskhaldus
- Monitoorimine agentprogrammi abil ja ilma
- Failide tervikluse kontrollimine
- Logide jälgimine
- Rootkit avastamine
- Aktiivne reageerimine
Kuidas OSSEC töötab?[4]
OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest.
Keskne haldusserver
OSSEC paigalduse süda, siin talletatakse failide tervikluse kontrolli andmabaasid, logid, juhtumid ja süsteemi auditeerimie sissekanded. Kõik reeglid, dekooderid ja peamised seadistuste valikud on samuti salvestatud siia, mis muudab lihtsaks korraga paljude agentprogrammide haldamise.
Agentprogrammid
Agentprogramm on väike tükk tarkvara, mis paigaldatakse süsteemi mida soovitakse jälgida. Agent korjab reaalajas informatsiooni ja edastab selle kesksele haldussserverile. Vaikimisi kasutab väga vähe resursse (mälu ja CPU).
Agentprogrammi turvalisus: agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (chroot jail). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi.
Agentideta süsteemid
Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada.
Virtualiseerimine/Vmware
OSSEC lubab paigaldada agentprogrammi nii virtualiseeritud süsteemidele kui ka Vmware serverile (Vmware ESX) endale. Serverile paigaldatuna saadab agent teateid virtualiseeritud süsteemide paigaldamise, eemaldamise, käivitamise jne. kohta. Samuti jälgib agent serverisse sisse logimisi, välja logimisi ja veateateid. Lisaks sellele teeb OSSEC CIS (Center for Internet Security) kontrolli Vmware serverile, andes häiret kui avastatakse ebaturvaline seadistus või mingi muu probleem.
Tulemüürid, switch'id, ruuterid
OSSEC oskab vastu võtta ja analüüsida paljude võrguseadmete süsteemi logisid.
Arhitektuur
Kõrvalolev diagramm näitab keskset haldusserverit vastu võtmas infot agentidelt ja süsteemi logisid seadmetelt võrgus. Kui midagi avastatakse on võimalik aktiivselt reageerida ning administratorile saadetakse teavitus.
Tarkvara tugi
Kuigi OSSEC on avatud koodiga tarkvara[6], on võimalik sellele saada tasulist tuge[7].
Toetatud süsteemid[8]
OSSEC teotab järgnevaid operatsioonisüsteeme ja logide vorminguid:
Operatsioonisüsteemid
Järgnevad operatsioonisüsteemid omavad OSSEC agentprogrammi tuge:
GNU/Linux (kõik distributsioonid, kaasa arvatud RHEL, Ubuntu, Slackware, Debian, jne.) Windows 7, XP, 2000 and Vista Windows Server 2003 and 2008 VMWare ESX 3.0,3.5 (lisaks CIS kontroll) FreeBSD (kõik versioonid) OpenBSD (kõik versioonid) NetBSD (kõik versioonid) Solaris 2.7, 2.8, 2.9 and 10 AIX 5.3 ja 6.1 HP-UX 10, 11, 11i MacOSX 10
Seadmed toetatud läbi süsteemi logi (Syslog)
Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (remote syslog):
Cisco PIX, ASA ja FWSM (kõik versioonid) Cisco IOS ruuterid (kõik versioonid) Juniper Netscreen (kõik versioonid) SonicWall tulemüür (kõik versioonid) Checkpoint tulemüür (kõik versioonid) Cisco IOS IDS/IPS moodul (kõik versioonid) Sourcefire (Snort) IDS/IPS (kõik versioonid) Dragon NIDS (kõik versioonid) Checkpoint Smart Defense (kõik versioonid) McAfee VirusScan Enterprise (v8 and v8.5) Bluecoat proxy (kõik versioonid) Cisco VPN kontsentraatorid (kõik versioonid)
Agentideta süsteemid
Kasutades OSSEC süsteemi agendita võimalusi on ka järgnevad süsteemid toetatud (logide analüüs ja failide tervikluse kontroll)
Cisco PIX, ASA ja FWSM (kõik versioonid) Cisco IOS ruuterid (kõik versioonid) Juniper Netscreen (kõik versioonid) SonicWall tulemüür (kõik versioonid) Checkpoint tulemüür (kõik versioonid) Kõik operatsioonisüsteemid mis on kirjeldatud sektsioonis "Operatsioonisüsteemid"
Andmebaasi jälgimine
Andmebaasi jälgimise võimalus on saadaval järgnevatele süsteemidele:
MySQL (kõik versioonid) PostgreSQL (kõik versioonid) Oracle, MSSQL (varsti on saadaval)
Individuaalsete logivormingute ja rakenduste tugi
Unix-ainult:
Unix Pam
sshd (OpenSSH)
Solaris telnetd
Samba
Su
Sudo
Xinetd
Adduser/deluser/etc
Cron/Crontab
Solaris BSM Auditing
Dpkg (Debian pakihaldur) logid
Yum logid
FTP serverid:
Proftpd
Pure-ftpd
vsftpd
wu-ftpd
Microsoft FTP server
Solaris ftpd
Mac OS FTP server
E-posti serverid:
Imapd and pop3d
Postfix
Sendmail
vpopmail
Microsoft Exchange
Courier imapd/pop3d/pop3-ssl
vm-pop3d
SMF-SAV (Sendmail Sender Address Validator)
Procmail
Mailscanner
Veebiserverid:
Apache veebiserver (kasutuslogi ja vigade logi)
IIS 5/6 veebiserver (NSCA ja W3C laiendatud)
Zeus veebiserver
Veebirakendused:
Horde imp
Modsecurity
Tulemüürid:
Iptables tulemüür
Shorewall (iptables-baseeruv) tulemüür
Solaris ipfilter tulemüür
AIX ipsec/tulemüür
Netscreen tulemüür
Windows tulemüür
Cisco PIX/ASA/FWSM
SonicWall tulemüür
Checkpoint tulemüür
Andmebaasid:
MySQL
PostgreSQL
NIDS:
Cisco IOS IDS/IPS moodul
Snort IDS (snort full, snort fast ja snort syslog)
Dragon NIDS
Checkpoint Smart defense
Turbe tööriistad:
Symantec Anti Virus
Symantec Web Security
Nmap
Arpwatch
McAfee VirusScan Enterprise (v8 ja v8.5)
Teised:
Named (bind)
Squid proxy
Bluecoat proxy
Cisco VPN Kontsentraator
Cisco IOS ruuterid
Asterisk
Vmware ESX
Windowsi juhtumi logid (sisselogimine, väljalogimine, audit info, jne.) Windows Routing and Remote Access logid Üldine unix autentimine (adduser, sisselogimine, jne.)
