OSSEC: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Okarjane (talk | contribs)
No edit summary
Okarjane (talk | contribs)
No edit summary
 
(26 intermediate revisions by the same user not shown)
Line 2: Line 2:




==Mis on OSSEC?==
==Mis on OSSEC?<ref>[http://www.ossec.net/ OSSEC koduleht (Home)]</ref>==  


OSSEC (''Open Source Host-based Intrusion Detection System'') on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, rootkit'ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega.
OSSEC (''Open Source Host-based Intrusion Detection System'') on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, ''rootkit'''ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega.


Tegemist on tervikliku platvormiga süssteemi jälgimiseks ja kontrollimiseks.
Tegemist on tervikliku platvormiga süsteemi jälgimiseks ja kontrollimiseks.


Tarkvara töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows.
Keskne haldusserver töötab Linux/BSD operatsioonisüsteemidel.<ref>[http://www.ossec.net/?page_id=19 OSSEC koduleht (Downloads)]</ref>


==OSSEC omadused ja võimalused.==
Tarkvara agentprogamm töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows.
 
==OSSEC omadused ja võimalused.<ref>[http://www.ossec.net/?page_id=165 OSSEC koduleht (OSSEC Features)]</ref>==


*Süsteemi turvastandardite nõuetele vastavuse tagamine
*Süsteemi turvastandardite nõuetele vastavuse tagamine
Line 24: Line 26:
*Aktiivne reageerimine
*Aktiivne reageerimine


==Kuidas OSSEC töötab?==
==Kuidas OSSEC töötab?<ref>[http://www.ossec.net/?page_id=169 OSSEC koduleht (How It Works)]</ref>==


OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest.
OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest.
Line 38: Line 40:
'''Agentprogrammi turvalisus''': agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (''chroot jail''). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi.
'''Agentprogrammi turvalisus''': agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (''chroot jail''). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi.


===Agentideta seadmed===
===Agentideta süsteemid===


Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada.
Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada.
Line 52: Line 54:
===Arhitektuur===
===Arhitektuur===


[[File:Ossec-arch2.jpg|thumb|right|alt=OSSEC arhitektuur|[http://www.ossec.net/wp-content/uploads/2012/04/ossec-arch2.jpg] OSSEC arhitektuur]]
[[File:Ossec-arch2.jpg|thumb|right|alt=OSSEC arhitektuur|OSSEC arhitektuur<ref>[http://www.ossec.net/wp-content/uploads/2012/04/ossec-arch2.jpg OSSEC arhitektuur]</ref>]]


Kõrvalolev diagramm näitab keskset haldusserverit vastu võtmas infot agentidelt ja süsteemi logisid seadmetelt võrgus. Kui midagi avastatakse on võimalik aktiivselt reageerida ning administratorile saadetakse teavitus.
Kõrvalolev diagramm näitab keskset haldusserverit vastu võtmas infot agentidelt ja süsteemi logisid seadmetelt võrgus. Kui midagi avastatakse on võimalik aktiivselt reageerida ning administratorile saadetakse teavitus.
Line 58: Line 60:
===Tarkvara tugi===
===Tarkvara tugi===


Kuigi OSSEC on avatud koodiga tarkvara, on võimalik sellele saada tasulist tuge. Seda teenust pakub firma nimega Trend Micro, mis on selle projekti toetajaks. Täpsemat infot tugiteenuse kohta saab [http://www.ossec.net/?page_id=21 siit].
Kuigi OSSEC on avatud koodiga tarkvara<ref>[http://www.ossec.net/?page_id=52 OSSEC koduleht (OSSEC License)]</ref>, on võimalik sellele saada tasulist tuge<ref>[http://www.ossec.net/?p=1079 OSSEC koduleht (OSSEC Commercial Support Contracts)]</ref>.




==Toetatud süsteemid<ref>[http://www.ossec.net/?page_id=36 OSSEC koduleht (Supported Systems)]</ref>==


OSSEC teotab järgnevaid operatsioonisüsteeme ja logide vorminguid:


===Operatsioonisüsteemid===


==Supported Systems==
Järgnevad operatsioonisüsteemid omavad OSSEC agentprogrammi tuge:
OSSEC supports the following operating systems and log formats:


===Operating systems===
    GNU/Linux (kõik distributsioonid, kaasa arvatud RHEL, Ubuntu, Slackware, Debian, jne.)
    Windows 7, XP, 2000 and Vista
    Windows Server 2003 and 2008
    VMWare ESX 3.0,3.5 (lisaks CIS kontroll)
    FreeBSD (kõik versioonid)
    OpenBSD (kõik versioonid)
    NetBSD (kõik versioonid)
    Solaris 2.7, 2.8, 2.9 and 10
    AIX 5.3 ja 6.1
    HP-UX 10, 11, 11i
    MacOSX 10


The following operating systems are supported by the OSSEC agent:
===Seadmed toetatud läbi süsteemi logi (''Syslog'')===


    *GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, Debian, etc)
Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (''remote syslog''):
    *Windows 7, XP, 2000 and Vista
    *Windows Server 2003 and 2008
    *VMWare ESX 3.0,3.5 (including CIS checks)
    *FreeBSD (all versions)
    *OpenBSD (all versions)
    *NetBSD (all versions)
    *Solaris 2.7, 2.8, 2.9 and 10
    *AIX 5.3 and 6.1
    *HP-UX 10, 11, 11i
    *MacOSX 10


===Devices support via Syslog===
    Cisco PIX, ASA ja FWSM (kõik versioonid)
    Cisco IOS ruuterid (kõik versioonid)
    Juniper Netscreen (kõik versioonid)
    SonicWall tulemüür (kõik versioonid)
    Checkpoint tulemüür (kõik versioonid)
    Cisco IOS IDS/IPS moodul (kõik versioonid)
    Sourcefire (Snort) IDS/IPS (kõik versioonid)
    Dragon NIDS (kõik versioonid)
    Checkpoint Smart Defense (kõik versioonid)
    McAfee VirusScan Enterprise (v8 and v8.5)
    Bluecoat proxy (kõik versioonid)
    Cisco VPN kontsentraatorid (kõik versioonid)


These systems/devices are also supported via remote syslog:
===Agentideta süsteemid===


    *Cisco PIX, ASA and FWSM (all versions)
Kasutades OSSEC süsteemi agendita võimalusi on ka järgnevad süsteemid toetatud (logide analüüs ja failide tervikluse kontroll)
    *Cisco IOS routers (all versions)
    *Juniper Netscreen (all versions)
    *SonicWall firewall (all versions)
    *Checkpoint firewall (all versions)
    *Cisco IOS IDS/IPS module (all versions)
    *Sourcefire (Snort) IDS/IPS (all versions)
    *Dragon NIDS (all versions)
    *Checkpoint Smart Defense (all versions)
    *McAfee VirusScan Enterprise (v8 and v8.5)
    *Bluecoat proxy (all versions)
    *Cisco VPN concentrators (all versions)


===Agentless===
    Cisco PIX, ASA ja FWSM (kõik versioonid)
    Cisco IOS ruuterid (kõik versioonid)
    Juniper Netscreen (kõik versioonid)
    SonicWall tulemüür (kõik versioonid)
    Checkpoint tulemüür (kõik versioonid)
    Kõik operatsioonisüsteemid mis on kirjeldatud sektsioonis "Operatsioonisüsteemid"


Using OSSEC agentless options, the following systems are also supported (for log analysis and file integrity checking):
===Andmebaasi jälgimine===


    *Cisco PIX, ASA and FWSM (all versions)
Andmebaasi jälgimise võimalus on saadaval järgnevatele süsteemidele:
    *Cisco IOS routers (all versions)
    *Juniper Netscreen (all versions)
    *SonicWall firewall (all versions)
    *Checkpoint firewall (all versions)
    *All operating systems specified in the “operating systems” section


===Database monitoring===
    MySQL (kõik versioonid)
    PostgreSQL (kõik versioonid)
    Oracle, MSSQL (varsti on saadaval)


Database monitoring is available for the following systems:
===Individuaalsete logivormingute ja rakenduste tugi===


     *MySQL (all versions)
     '''Unix-ainult''':
    **PostgreSQL (all versions)
        Unix Pam
    Oracle, MSSQL (to be available soon)
        sshd (OpenSSH)
        Solaris telnetd
        Samba
        Su
        Sudo
        Xinetd
        Adduser/deluser/etc
        Cron/Crontab
        Solaris BSM Auditing
        Dpkg (Debian pakihaldur) logid
        Yum logid


===Individual log formats and application support===
    '''FTP serverid''':
        Proftpd
        Pure-ftpd
        vsftpd
        wu-ftpd
        Microsoft FTP server
        Solaris ftpd
        Mac OS FTP server


     Unix-only:
     '''E-posti serverid''':
      *Unix Pam
         Imapd and pop3d
         *sshd (OpenSSH)
         Postfix
         *Solaris telnetd
         Sendmail
         *Samba
         vpopmail
         *Su
         Microsoft Exchange
         *Sudo
         Courier imapd/pop3d/pop3-ssl
         *Xinetd
         vm-pop3d
        *Adduser/deluser/etc
         SMF-SAV (Sendmail Sender Address Validator)
         *Cron/Crontab
         Procmail
         *Solaris BSM Auditing
         Mailscanner
         *Dpkg (Debian package) logs
         *Yum logs


     FTP servers:
     '''Veebiserverid''':
         *Proftpd
         Apache veebiserver (kasutuslogi ja vigade logi)
         *Pure-ftpd
         IIS 5/6 veebiserver (NSCA ja W3C laiendatud)
         *vsftpd
         Zeus veebiserver
        *wu-ftpd
        *Microsoft FTP server
        *Solaris ftpd
        *Mac OS FTP server


     Mail servers:
     '''Veebirakendused''':
         *Imapd and pop3d
         Horde imp
         *Postfix
         Modsecurity
        *Sendmail
        *vpopmail
        *Microsoft Exchange
        *Courier imapd/pop3d/pop3-ssl
        *vm-pop3d
        *SMF-SAV (Sendmail Sender Address Validator)
        *Procmail
        *Mailscanner


     Web servers:
     '''Tulemüürid''':
         *Apache web server (access log and error log)
         Iptables tulemüür
         *IIS 5/6 web server (NSCA and W3C extended)
        Shorewall (iptables-baseeruv) tulemüür
         *Zeus web server
        Solaris ipfilter tulemüür
        AIX ipsec/tulemüür
        Netscreen tulemüür
        Windows tulemüür
         Cisco PIX/ASA/FWSM
        SonicWall tulemüür
         Checkpoint tulemüür


     Web applications:
     '''Andmebaasid''':
         *Horde imp
         MySQL
         *Modsecurity
         PostgreSQL


     Firewalls:
     '''NIDS''':
         *Iptables firewall
         Cisco IOS IDS/IPS moodul
         *Shorewall (iptables-based) firewall
         Snort IDS (snort ''full'', snort ''fast'' ja snort ''syslog'')
        *Solaris ipfilter firewall
         Dragon NIDS
        *AIX ipsec/firewall
         Checkpoint Smart ''defense''
        *Netscreen firewall
        *Windows firewall
        *Cisco PIX/ASA/FWSM
         *SonicWall firewall
         *Checkpoint firewall


     Databases:
     '''Turbe tööriistad''':
         *MySQL
         Symantec Anti Virus
         *PostgreSQL
         Symantec Web Security
        Nmap
        Arpwatch
        McAfee VirusScan Enterprise (v8 ja v8.5)


     NIDS:
     '''Teised''':
         *Cisco IOS IDS/IPS module
         Named (bind)
         *Snort IDS (snort full, snort fast and snort syslog)
        Squid ''proxy''
         *Dragon NIDS
        Bluecoat ''proxy''
         *Checkpoint Smart defense
        Cisco VPN Kontsentraator
         Cisco IOS ruuterid
         Asterisk
         Vmware ESX


     Security tools:
     Windowsi juhtumi logid (sisselogimine, väljalogimine, audit info, jne.)
        *Symantec Anti Virus
    Windows ''Routing and Remote Access'' logid
        *Symantec Web Security
    Üldine unix autentimine (''adduser'', sisselogimine, jne.)
        *Nmap
        *Arpwatch
        *McAfee VirusScan Enterprise (v8 and v8.5)


    Others:
==Viited==
        *Named (bind)
        *Squid proxy
        *Bluecoat proxy
        *Cisco VPN Concentrator
        *Cisco IOS routers
        *Asterisk
        *Vmware ESX


    Windows event logs (logins, logouts, audit information, etc)
<references />
    Windows Routing and Remote Access logs
    Generic unix authentiction (adduser, logins, etc)

Latest revision as of 13:43, 12 January 2015

Autor Oliver Karjane AK31 2014


Mis on OSSEC?[1]

OSSEC (Open Source Host-based Intrusion Detection System) on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, rootkit'ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega.

Tegemist on tervikliku platvormiga süsteemi jälgimiseks ja kontrollimiseks.

Keskne haldusserver töötab Linux/BSD operatsioonisüsteemidel.[2]

Tarkvara agentprogamm töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows.

OSSEC omadused ja võimalused.[3]

  • Süsteemi turvastandardite nõuetele vastavuse tagamine
  • Multiplatvormne
  • Reaalaja ja seadistatavad alarmid
  • Olemasoleva taristuga integreerimine
  • Keskhaldus
  • Monitoorimine agentprogrammi abil ja ilma
  • Failide tervikluse kontrollimine
  • Logide jälgimine
  • Rootkit avastamine
  • Aktiivne reageerimine

Kuidas OSSEC töötab?[4]

OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest.

Keskne haldusserver

OSSEC paigalduse süda, siin talletatakse failide tervikluse kontrolli andmabaasid, logid, juhtumid ja süsteemi auditeerimie sissekanded. Kõik reeglid, dekooderid ja peamised seadistuste valikud on samuti salvestatud siia, mis muudab lihtsaks korraga paljude agentprogrammide haldamise.

Agentprogrammid

Agentprogramm on väike tükk tarkvara, mis paigaldatakse süsteemi mida soovitakse jälgida. Agent korjab reaalajas informatsiooni ja edastab selle kesksele haldussserverile. Vaikimisi kasutab väga vähe resursse (mälu ja CPU).

Agentprogrammi turvalisus: agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (chroot jail). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi.

Agentideta süsteemid

Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada.

Virtualiseerimine/Vmware

OSSEC lubab paigaldada agentprogrammi nii virtualiseeritud süsteemidele kui ka Vmware serverile (Vmware ESX) endale. Serverile paigaldatuna saadab agent teateid virtualiseeritud süsteemide paigaldamise, eemaldamise, käivitamise jne. kohta. Samuti jälgib agent serverisse sisse logimisi, välja logimisi ja veateateid. Lisaks sellele teeb OSSEC CIS (Center for Internet Security) kontrolli Vmware serverile, andes häiret kui avastatakse ebaturvaline seadistus või mingi muu probleem.

Tulemüürid, switch'id, ruuterid

OSSEC oskab vastu võtta ja analüüsida paljude võrguseadmete süsteemi logisid.

Arhitektuur

OSSEC arhitektuur
OSSEC arhitektuur[5]

Kõrvalolev diagramm näitab keskset haldusserverit vastu võtmas infot agentidelt ja süsteemi logisid seadmetelt võrgus. Kui midagi avastatakse on võimalik aktiivselt reageerida ning administratorile saadetakse teavitus.

Tarkvara tugi

Kuigi OSSEC on avatud koodiga tarkvara[6], on võimalik sellele saada tasulist tuge[7].


Toetatud süsteemid[8]

OSSEC teotab järgnevaid operatsioonisüsteeme ja logide vorminguid:

Operatsioonisüsteemid

Järgnevad operatsioonisüsteemid omavad OSSEC agentprogrammi tuge:

   GNU/Linux (kõik distributsioonid, kaasa arvatud RHEL, Ubuntu, Slackware, Debian, jne.)
   Windows 7, XP, 2000 and Vista
   Windows Server 2003 and 2008
   VMWare ESX 3.0,3.5 (lisaks CIS kontroll)
   FreeBSD (kõik versioonid)
   OpenBSD (kõik versioonid)
   NetBSD (kõik versioonid)
   Solaris 2.7, 2.8, 2.9 and 10
   AIX 5.3 ja 6.1
   HP-UX 10, 11, 11i
   MacOSX 10

Seadmed toetatud läbi süsteemi logi (Syslog)

Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (remote syslog):

   Cisco PIX, ASA ja FWSM (kõik versioonid)
   Cisco IOS ruuterid (kõik versioonid)
   Juniper Netscreen (kõik versioonid)
   SonicWall tulemüür (kõik versioonid)
   Checkpoint tulemüür (kõik versioonid)
   Cisco IOS IDS/IPS moodul (kõik versioonid)
   Sourcefire (Snort) IDS/IPS (kõik versioonid)
   Dragon NIDS (kõik versioonid)
   Checkpoint Smart Defense (kõik versioonid)
   McAfee VirusScan Enterprise (v8 and v8.5)
   Bluecoat proxy (kõik versioonid)
   Cisco VPN kontsentraatorid (kõik versioonid)

Agentideta süsteemid

Kasutades OSSEC süsteemi agendita võimalusi on ka järgnevad süsteemid toetatud (logide analüüs ja failide tervikluse kontroll)

   Cisco PIX, ASA ja FWSM (kõik versioonid)
   Cisco IOS ruuterid (kõik versioonid)
   Juniper Netscreen (kõik versioonid)
   SonicWall tulemüür (kõik versioonid)
   Checkpoint tulemüür (kõik versioonid)
   Kõik operatsioonisüsteemid mis on kirjeldatud sektsioonis "Operatsioonisüsteemid"

Andmebaasi jälgimine

Andmebaasi jälgimise võimalus on saadaval järgnevatele süsteemidele:

   MySQL (kõik versioonid)
   PostgreSQL (kõik versioonid)
   Oracle, MSSQL (varsti on saadaval)

Individuaalsete logivormingute ja rakenduste tugi

   Unix-ainult:
       Unix Pam
       sshd (OpenSSH)
       Solaris telnetd
       Samba
       Su
       Sudo
       Xinetd
       Adduser/deluser/etc
       Cron/Crontab
       Solaris BSM Auditing
       Dpkg (Debian pakihaldur) logid
       Yum logid
   FTP serverid:
       Proftpd
       Pure-ftpd
       vsftpd
       wu-ftpd
       Microsoft FTP server
       Solaris ftpd
       Mac OS FTP server
   E-posti serverid:
       Imapd and pop3d
       Postfix
       Sendmail
       vpopmail
       Microsoft Exchange
       Courier imapd/pop3d/pop3-ssl
       vm-pop3d
       SMF-SAV (Sendmail Sender Address Validator)
       Procmail
       Mailscanner
   Veebiserverid:
       Apache veebiserver (kasutuslogi ja vigade logi)
       IIS 5/6 veebiserver (NSCA ja W3C laiendatud)
       Zeus veebiserver
   Veebirakendused:
       Horde imp
       Modsecurity
   Tulemüürid:
       Iptables tulemüür
       Shorewall (iptables-baseeruv) tulemüür
       Solaris ipfilter tulemüür
       AIX ipsec/tulemüür
       Netscreen tulemüür
       Windows tulemüür
       Cisco PIX/ASA/FWSM
       SonicWall tulemüür
       Checkpoint tulemüür
   Andmebaasid:
       MySQL
       PostgreSQL
   NIDS:
       Cisco IOS IDS/IPS moodul
       Snort IDS (snort full, snort fast ja snort syslog)
       Dragon NIDS
       Checkpoint Smart defense
   Turbe tööriistad:
       Symantec Anti Virus
       Symantec Web Security
       Nmap
       Arpwatch
       McAfee VirusScan Enterprise (v8 ja v8.5)
   Teised:
       Named (bind)
       Squid proxy
       Bluecoat proxy
       Cisco VPN Kontsentraator
       Cisco IOS ruuterid
       Asterisk
       Vmware ESX
   Windowsi juhtumi logid (sisselogimine, väljalogimine, audit info, jne.)
   Windows Routing and Remote Access logid
   Üldine unix autentimine (adduser, sisselogimine, jne.)

Viited