OSSEC: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Line 53: Line 53:
===Arhitektuur===
===Arhitektuur===


[[File:Ossec-arch2.jpg|thumb|left|alt=OSSEC arhitektuur]][http://www.ossec.net/wp-content/uploads/2012/04/ossec-arch2.jpg] OSSEC arhitektuur
[[File:Ossec-arch2.jpg|thumb|left|alt=OSSEC arhitektuur|[http://www.ossec.net/wp-content/uploads/2012/04/ossec-arch2.jpg] OSSEC arhitektuur]]

Revision as of 14:16, 9 January 2015

Autor Oliver Karjane AK31 2014


Mis on OSSEC?

OSSEC (Open Source Host-based Intrusion Detection System) on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, rootkit'ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega.

Tegemist on tervikliku platvormiga süssteemi jälgimiseks ja kontrollimiseks.

Tarkvara töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows.

OSSEC omadused ja võimalused.

  • Süsteemi turvastandardite nõuetele vastavuse tagamine
  • Multiplatvormne
  • Reaalaja ja seadistatavad alarmid
  • Olemasoleva taristuga integreerimine
  • Keskhaldus
  • Monitoorimine agentprogrammi abil ja ilma
  • Failide tervikluse kontrollimine
  • Logide jälgimine
  • Rootkit avastamine
  • Aktiivne reageerimine

Kuidas OSSEC töötab?

OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest.

Keskne haldusserver

OSSEC paigalduse süda, siin talletatakse failide tervikluse kontrolli andmabaasid, logid, juhtumid ja süsteemi auditeerimie sissekanded. Kõik reeglid, dekooderid ja peamised seadistuste valikud on samuti salvestatud siia, mis muudab lihtsaks korraga paljude agentprogrammide haldamise.

Agentprogrammid

Agentprogramm on väike tükk tarkvara, mis paigaldatakse süsteemi mida soovitakse jälgida. Agent korjab reaalajas informatsiooni ja edastab selle kesksele haldussserverile. Vaikimisi kasutab väga vähe resursse (mälu ja CPU).

Agentprogrammi turvalisus: agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (chroot jail). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi.


Agentideta seadmed

Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada.

Virtualiseerimine/Vmware

OSSEC lubab paigaldada agentprogrammi nii virtualiseeritud süsteemidele kui ka Vmware serverile (Vmware ESX) endale. Serverile paigaldatuna saadab agent teateid virtualiseeritud süsteemide paigaldamise, eemaldamise, käivitamise jne. kohta. Samuti jälgib agent serverisse sisse logimisi, välja logimisi ja veateateid. Lisaks sellele teeb OSSEC CIS (Center for Internet Security) kontrolli Vmware serverile, andes häiret kui avastatakse ebaturvaline seadistus või mingi muu probleem.

Tulemüürid, switch'id, ruuterid

OSSEC oskab vastu võtta ja analüüsida paljude võrguseadmete süsteemi logisid.

Arhitektuur

OSSEC arhitektuur
[1] OSSEC arhitektuur