OSSEC: Difference between revisions

From ICO wiki
Jump to navigationJump to search
No edit summary
Line 85: Line 85:
Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (''remote syslog''):
Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (''remote syslog''):


     Cisco PIX, ASA and FWSM (kõik versioonid)
     Cisco PIX, ASA ja FWSM (kõik versioonid)
     Cisco IOS routers (kõik versioonid)
     Cisco IOS ruuterid (kõik versioonid)
     Juniper Netscreen (kõik versioonid)
     Juniper Netscreen (kõik versioonid)
     SonicWall firewall (kõik versioonid)
     SonicWall tulemüür (kõik versioonid)
     Checkpoint firewall (kõik versioonid)
     Checkpoint tulemüür (kõik versioonid)
     Cisco IOS IDS/IPS module (kõik versioonid)
     Cisco IOS IDS/IPS moodul (kõik versioonid)
     Sourcefire (Snort) IDS/IPS (kõik versioonid)
     Sourcefire (Snort) IDS/IPS (kõik versioonid)
     Dragon NIDS (kõik versioonid)
     Dragon NIDS (kõik versioonid)
Line 96: Line 96:
     McAfee VirusScan Enterprise (v8 and v8.5)
     McAfee VirusScan Enterprise (v8 and v8.5)
     Bluecoat proxy (kõik versioonid)
     Bluecoat proxy (kõik versioonid)
     Cisco VPN concentrators (kõik versioonid)
     Cisco VPN kontsentraatorid (kõik versioonid)


===Agentideta süsteemid===
===Agentideta süsteemid===


Using OSSEC agentless options, the following systems are also supported (for log analysis and file integrity checking):
Kasutades OSSEC süsteemi agendita võimalusi on ka järgnevad süsteemid toetatud (logide analüüs ja failide tervikluse kontroll)


     Cisco PIX, ASA and FWSM (kõik versioonid)
     Cisco PIX, ASA ja FWSM (kõik versioonid)
     Cisco IOS routers (kõik versioonid)
     Cisco IOS ruuterid (kõik versioonid)
     Juniper Netscreen (kõik versioonid)
     Juniper Netscreen (kõik versioonid)
     SonicWall firewall (kõik versioonid)
     SonicWall tulemüür (kõik versioonid)
     Checkpoint firewall (kõik versioonid)
     Checkpoint tulemüür (kõik versioonid)
     All operating systems specified in the “operating systems” section
     Kõik operatsioonisüsteemid mis on kirjeldatud sektsioonis "Operatsioonisüsteemid"


===Database monitoring===
===Andmebaasi jälgimine===


Database monitoring is available for the following systems:
Andmebaasi jälgimise võimalus on saadaval järgnevatele süsteemidele:


     MySQL (all versions)
     MySQL (kõik versioonid)
     PostgreSQL (all versions)
     PostgreSQL (kõik versioonid)
     Oracle, MSSQL (to be available soon)
     Oracle, MSSQL (varsti on saadaval)


===Individual log formats and application support===
===Individuaalsete logide vormingute ja rakenduste tugi===
 
    '''Unix-ainult''':


    Unix-only:
         Unix Pam
         Unix Pam
         sshd (OpenSSH)
         sshd (OpenSSH)
Line 130: Line 131:
         Cron/Crontab
         Cron/Crontab
         Solaris BSM Auditing
         Solaris BSM Auditing
         Dpkg (Debian package) logs
         Dpkg (Debian pakihaldur) logid
         Yum logs
         Yum logid
 
    '''FTP serverid''':


    FTP servers:
         Proftpd
         Proftpd
         Pure-ftpd
         Pure-ftpd
Line 142: Line 144:
         Mac OS FTP server
         Mac OS FTP server


     Mail servers:
     '''E-posti serverid''':
 
         Imapd and pop3d
         Imapd and pop3d
         Postfix
         Postfix
Line 154: Line 157:
         Mailscanner
         Mailscanner


     Web servers:
     '''Veebiserverid''':
         Apache web server (access log and error log)
 
         IIS 5/6 web server (NSCA and W3C extended)
         Apache veebiserver (kasutuslogi ja vigade logi)
         Zeus web server
         IIS 5/6 veebiserver (NSCA ja W3C laiendatud)
         Zeus veebiserver
 
    '''Veebirakendused''':


    Web applications:
         Horde imp
         Horde imp
         Modsecurity
         Modsecurity


     Firewalls:
     '''Tulemüürid''':
         Iptables firewall
 
         Shorewall (iptables-based) firewall
         Iptables tulemüür
         Solaris ipfilter firewall
         Shorewall (iptables-baseeruv) tulemüür
         AIX ipsec/firewall
         Solaris ipfilter tulemüür
         Netscreen firewall
         AIX ipsec/tulemüür
         Windows firewall
         Netscreen tulemüür
         Windows tulemüür
         Cisco PIX/ASA/FWSM
         Cisco PIX/ASA/FWSM
         SonicWall firewall
         SonicWall tulemüür
         Checkpoint firewall
         Checkpoint tulemüür
 
    '''Andmebaasid''':


    Databases:
         MySQL
         MySQL
         PostgreSQL
         PostgreSQL


     NIDS:
     '''NIDS''':
         Cisco IOS IDS/IPS module
 
         Snort IDS (snort full, snort fast and snort syslog)
         Cisco IOS IDS/IPS moodul
         Snort IDS (snort ''full'', snort ''fast'' ja snort ''syslog'')
         Dragon NIDS
         Dragon NIDS
         Checkpoint Smart defense
         Checkpoint Smart ''defense''
 
    '''Turbe tööriistad''':


    Security tools:
         Symantec Anti Virus
         Symantec Anti Virus
         Symantec Web Security
         Symantec Web Security
         Nmap
         Nmap
         Arpwatch
         Arpwatch
         McAfee VirusScan Enterprise (v8 and v8.5)
         McAfee VirusScan Enterprise (v8 ja v8.5)
 
    '''Teised''':


    Others:
         Named (bind)
         Named (bind)
         Squid proxy
         Squid ''proxy''
         Bluecoat proxy
         Bluecoat ''proxy''
         Cisco VPN Concentrator
         Cisco VPN Kontsentraator
         Cisco IOS routers
         Cisco IOS ruuterid
         Asterisk
         Asterisk
         Vmware ESX
         Vmware ESX


     Windows event logs (logins, logouts, audit information, etc)
     Windowsi juhtumi logid (sisselogimine, väljalogimine, audit info, jne.)
     Windows Routing and Remote Access logs
     Windows ''Routing and Remote Access'' logid
     Generic unix authentiction (adduser, logins, etc)
     Üldine unix autentimine (''adduser'', sisselogimine, jne.)

Revision as of 16:31, 9 January 2015

Autor Oliver Karjane AK31 2014


Mis on OSSEC?

OSSEC (Open Source Host-based Intrusion Detection System) on hostipõhine sissemurdmise avastamise süsteem, mis tegeleb logide analüüsi, failide tervikluse kontrolli, süsteemipoliitika jälgimise, rootkit'ide avastamise ja reaalajas alarmide andmise ja neile aktiivselt vastamisega.

Tegemist on tervikliku platvormiga süsteemi jälgimiseks ja kontrollimiseks.

Tarkvara töötab enamustel operatsioonisüsteemidel, kaasarvatud Linux, MacOS, Solaris, HP-UX, AIX ja Windows.

OSSEC omadused ja võimalused.

  • Süsteemi turvastandardite nõuetele vastavuse tagamine
  • Multiplatvormne
  • Reaalaja ja seadistatavad alarmid
  • Olemasoleva taristuga integreerimine
  • Keskhaldus
  • Monitoorimine agentprogrammi abil ja ilma
  • Failide tervikluse kontrollimine
  • Logide jälgimine
  • Rootkit avastamine
  • Aktiivne reageerimine

Kuidas OSSEC töötab?

OSSEC koosneb mitmest osast, kesksest haldusserverist, mis jälgib kogu süsteemi ja kogub infot agentprogrammidelt, süsteemi logidest, andmebaasidest ja agentideta seadmetest.

Keskne haldusserver

OSSEC paigalduse süda, siin talletatakse failide tervikluse kontrolli andmabaasid, logid, juhtumid ja süsteemi auditeerimie sissekanded. Kõik reeglid, dekooderid ja peamised seadistuste valikud on samuti salvestatud siia, mis muudab lihtsaks korraga paljude agentprogrammide haldamise.

Agentprogrammid

Agentprogramm on väike tükk tarkvara, mis paigaldatakse süsteemi mida soovitakse jälgida. Agent korjab reaalajas informatsiooni ja edastab selle kesksele haldussserverile. Vaikimisi kasutab väga vähe resursse (mälu ja CPU).

Agentprogrammi turvalisus: agent töötab madala privileegiga kasutaja õigustes, mis luuakse paigalduse käigus ning süsteemist eraldatuna (chroot jail). Enamus agendi seadistusetest antakse keskse haldusserveri poolt ja ainult mõned neist salvetatakse lokaalselt. Juhul kui lokaalseid seadistusi muudetakse saab haldusserver sellekohase info ja tekitab alarmi.

Agentideta süsteemid

Süsteemide jaoks, kuhu ei ole võimalik paigaldada agentprogrammi, pakub OSSEC võimalust failide terviklust jälgida ka ilma selleta. Kasulik on see näiteks võrguseadmete või UNIX süsteemide jälgimiseks, kuhu kas pole võimalik või puudub õigus agentprogrammi paigaldada.

Virtualiseerimine/Vmware

OSSEC lubab paigaldada agentprogrammi nii virtualiseeritud süsteemidele kui ka Vmware serverile (Vmware ESX) endale. Serverile paigaldatuna saadab agent teateid virtualiseeritud süsteemide paigaldamise, eemaldamise, käivitamise jne. kohta. Samuti jälgib agent serverisse sisse logimisi, välja logimisi ja veateateid. Lisaks sellele teeb OSSEC CIS (Center for Internet Security) kontrolli Vmware serverile, andes häiret kui avastatakse ebaturvaline seadistus või mingi muu probleem.

Tulemüürid, switch'id, ruuterid

OSSEC oskab vastu võtta ja analüüsida paljude võrguseadmete süsteemi logisid.

Arhitektuur

OSSEC arhitektuur
[1] OSSEC arhitektuur

Kõrvalolev diagramm näitab keskset haldusserverit vastu võtmas infot agentidelt ja süsteemi logisid seadmetelt võrgus. Kui midagi avastatakse on võimalik aktiivselt reageerida ning administratorile saadetakse teavitus.

Tarkvara tugi

Kuigi OSSEC on avatud koodiga tarkvara, on võimalik sellele saada tasulist tuge. Seda teenust pakub firma nimega Trend Micro, mis on selle projekti toetajaks. Täpsemat infot tugiteenuse kohta saab siit.


Toetatud süsteemid

OSSEC teotab järgnevaid operatsioonisüsteeme ja logide vorminguid:

Operatsioonisüsteemid

Järgnevad operatsioonisüsteemid omavad OSSEC agentprogrammi tuge: 

   GNU/Linux (kõik distributsioonid, kaasa arvatud RHEL, Ubuntu, Slackware, Debian, jne.)
   Windows 7, XP, 2000 and Vista
   Windows Server 2003 and 2008
   VMWare ESX 3.0,3.5 (lisaks CIS kontroll)
   FreeBSD (kõik versioonid)
   OpenBSD (kõik versioonid)
   NetBSD (kõik versioonid)
   Solaris 2.7, 2.8, 2.9 and 10
   AIX 5.3 ja 6.1
   HP-UX 10, 11, 11i
   MacOSX 10

Seadmed toetatud läbi süsteemi logi (Syslog)

Need süsteemid/seadmed on toetatud ka läbi süsteemi logi kaughalduse (remote syslog): 

   Cisco PIX, ASA ja FWSM (kõik versioonid)
   Cisco IOS ruuterid (kõik versioonid)
   Juniper Netscreen (kõik versioonid)
   SonicWall tulemüür (kõik versioonid)
   Checkpoint tulemüür (kõik versioonid)
   Cisco IOS IDS/IPS moodul (kõik versioonid)
   Sourcefire (Snort) IDS/IPS (kõik versioonid)
   Dragon NIDS (kõik versioonid)
   Checkpoint Smart Defense (kõik versioonid)
   McAfee VirusScan Enterprise (v8 and v8.5)
   Bluecoat proxy (kõik versioonid)
   Cisco VPN kontsentraatorid (kõik versioonid)

Agentideta süsteemid

Kasutades OSSEC süsteemi agendita võimalusi on ka järgnevad süsteemid toetatud (logide analüüs ja failide tervikluse kontroll) 

   Cisco PIX, ASA ja FWSM (kõik versioonid)
   Cisco IOS ruuterid (kõik versioonid)
   Juniper Netscreen (kõik versioonid)
   SonicWall tulemüür (kõik versioonid)
   Checkpoint tulemüür (kõik versioonid)
   Kõik operatsioonisüsteemid mis on kirjeldatud sektsioonis "Operatsioonisüsteemid"

Andmebaasi jälgimine

Andmebaasi jälgimise võimalus on saadaval järgnevatele süsteemidele: 

   MySQL (kõik versioonid)
   PostgreSQL (kõik versioonid)
   Oracle, MSSQL (varsti on saadaval)

Individuaalsete logide vormingute ja rakenduste tugi

   Unix-ainult:

       Unix Pam
       sshd (OpenSSH)
       Solaris telnetd
       Samba
       Su
       Sudo
       Xinetd
       Adduser/deluser/etc
       Cron/Crontab
       Solaris BSM Auditing
       Dpkg (Debian pakihaldur) logid
       Yum logid

   FTP serverid:

       Proftpd
       Pure-ftpd
       vsftpd
       wu-ftpd
       Microsoft FTP server
       Solaris ftpd
       Mac OS FTP server

   E-posti serverid:

       Imapd and pop3d
       Postfix
       Sendmail
       vpopmail
       Microsoft Exchange
       Courier imapd/pop3d/pop3-ssl
       vm-pop3d
       SMF-SAV (Sendmail Sender Address Validator)
       Procmail
       Mailscanner

   Veebiserverid:

       Apache veebiserver (kasutuslogi ja vigade logi)
       IIS 5/6 veebiserver (NSCA ja W3C laiendatud)
       Zeus veebiserver

   Veebirakendused:

       Horde imp
       Modsecurity

   Tulemüürid:

       Iptables tulemüür
       Shorewall (iptables-baseeruv) tulemüür
       Solaris ipfilter tulemüür
       AIX ipsec/tulemüür
       Netscreen tulemüür
       Windows tulemüür
       Cisco PIX/ASA/FWSM
       SonicWall tulemüür
       Checkpoint tulemüür

   Andmebaasid:

       MySQL
       PostgreSQL

   NIDS:

       Cisco IOS IDS/IPS moodul
       Snort IDS (snort full, snort fast ja snort syslog)
       Dragon NIDS
       Checkpoint Smart defense

   Turbe tööriistad:

       Symantec Anti Virus
       Symantec Web Security
       Nmap
       Arpwatch
       McAfee VirusScan Enterprise (v8 ja v8.5)

   Teised:

       Named (bind)
       Squid proxy
       Bluecoat proxy
       Cisco VPN Kontsentraator
       Cisco IOS ruuterid
       Asterisk
       Vmware ESX

   Windowsi juhtumi logid (sisselogimine, väljalogimine, audit info, jne.)
   Windows Routing and Remote Access logid
   Üldine unix autentimine (adduser, sisselogimine, jne.)
Retrieved from "https://wiki.itcollege.ee/index.php?title=OSSEC&oldid=85591"