OSSIM - szwajcarski scyzoryk bezpieczeństwa
Transkrypt
OSSIM - szwajcarski scyzoryk bezpieczeństwa
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT OSSIM - szwajcarski scyzoryk bezpieczeństwa Autor: piotr 29.12.2009. Zmieniony 06.06.2011. Open Source Security Information Management - OSSIM, system który móżna wykorzystać zarówno do wykrywania ataków na zasoby sieciowe, czy też wykrywania różnego rodzaju anomalii. System też może z powodzeniem posłużyć do prowadzenia inwentaryzacji sprzętu komputerowego w archiwach. Motto NSA? agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo systemów teleinformatycznych, brzmi "Ufamy Bogu - wszystko inne sprawdzamy". Większość administratorów ślepo wierzy w produkty i usługi pochodzące od dużych i renomowanych producentów. Często jednak takie myślenie jest weryfikowane przez mniej lub bardziej uzdolnionych włamywaczy. Każdą stosowaną instalację informatyczną, należy testować i monitorować, głównie po to, by uprzedzić potencjalnych intruzów. Lepiej jest wykryć niebezpieczeństwo samemu, niż czekać, aż zrobią to hakerzy. Co powinno być monitorowane i testowane? Głównie wartości, które powinny podlegać ochronie, które najprościej i najbezpieczniej określić na podstawie Polityki Bezpieczeństwa. Podstawowe założenie to nie wpuścić wroga do naszego systemu teleinformatycznego. Czym monitorować? Rozwiązań może być bardzo wiele. Każdy wybiera to, w czym najlepiej się czuje i co w trakcie eksploatacji jest najtańsze. W miarę czasu używania przeważają koszty (głównie godziny pracy administratora) przeznaczone na pielęgnację systemu, na wprowadzane modyfikacje itp. Dlatego do monitorowania należy wybrać dostosowany do naszych wymagań system IDS. Czym jest IDS. IDS (ang. Intrusion Detection System ? System Wykrywania Włamań) jest systemem, zdolnym do wykrycia zmiany stanu systemu lub sieci komputerowej. Przy wykryciu zmian IDS, może wysłać wiadomość alarmową lub podjąć zdefiniowane działania, aby odpowiednio ochronić sieć. Wyróżniamy dwa główne rodzaje systemów IDS: - oparte na serwerze (ang. Host-based); oparte na sieci komputerowej (ang. Network-based). Pierwszy typ charakteryzuje się tym, że skanuje logi systemowe i otwarte połączenia sieciowe. Może także skanować dysk twardy komputera w poszukiwaniu anomalii. Drugi typ polega głównie na nasłuchiwaniu sieci i wyłapywaniu zdarzeń w niej zachodzących. Systemy IDS dostarczają szeregu różnych usług: - Identyfikują ruch sieciowy; - Alarmowanie poprzez wysyłanie komunikatów do administratora; - Zmiana konfiguracji systemu, wiele systemów IDS udostępnia zmianę konfiguracji systemu w przypadku przeprowadzonego ataku. Systemy IDS umożliwiają określanie następujących zdarzeń: -Rodzaj protokołu, np. czy pakiet należy do protokołu UPC, TCP itd.; -Pochodzenie źródłowego adresu IP; -Przeznaczenie wysyłanych pakietów. -Porty źródłowe: informuje o portach używanych przez serwer, z których wychodzą dane pakiety; -Port docelowy: informuje o portach używanych przez serwer, do których wchodzą dane pakiety; -Sumy kontrolne: które strzegą integralności przesyłanych pakietów; -Numery sekwencji: informuje o kolejności wytworzonych pakietów; -Informacje o pakietach: potrafi przeprowadzić analizę przesyłanych pakietów. Warto jeszcze przypomnieć o dwóch podstawowych strategiach na podstawie których działają systemy IDS: -Aplikacje oparte na regułach. Jest to najbardziej rozpowszechniony typ systemów IDS. Wynika to z tego, że jest on najprostszy do zainstalowania; http://www.witczak.priv.pl Kreator PDF Utworzono 7 March, 2017, 16:16 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT -Aplikacje oparte na anomaliach. Tego typu systemy IDS pobierają próbki ruchu sieciowego, który będzie stanowił odniesienie dla przyszłych analiz. Następnie takie informacje składowane są w bazie danych systemu IDS i stanowią wzorzec przy dalszej analizie ruchu sieciowego. Występuje tutaj problem z ustaleniem co można rozumieć przez tzw. ?normalny? ruch sieciowy, który ma być wzorem przy wykrywaniu anomalii. Powoduje to problemy w konfiguracji takiego systemu. W ostatnich latach pojawiło się szereg nowych narzędzi IDS z otwartym kodem źródłowym (open source). Te narzędzia, chociażby takie jak Groundwork's, jest narzędziem do monitorowania sieci, składa się z szeregu zintegrowanych narzędzi open source, oparte często na interfejsie Web lub kliencie z graficzną konsolą. Narzędzia te są przeznaczone do konsolidacji wielu różnych wyspecjalizowanych narzędzi open source z zakresu bezpieczeństwa, za pośrednictwem jednego silnika lub interfejsu administracyjnego. OSSIM lub inaczej Open Source Security Information Management, jest jednym z takich narzędzi. Jest on skierowany na potrzeby profesjonalistów w celu zapewnienia bezpieczeństwa sieci teleinformatycznej i wykrywania wszelkich anomalii. OSSIM łączy szeroki wybór sieci, hostów i zarządzania urządzeniem i narzędzi informacyjnych wraz z korelacją silnika. Obejmuje ona możliwości wizualizacji, jak również zgłaszania incydentów i narzędzi zarządzania. OSSIM ma architekturę trójwarstwową. Pierwsza warstwa to baza danych (mysql), następna warstwa to serwer aplikacji, ostatnią, trzecią warstwą jest tutaj graficzny front-end bazujący na aplikacji Web. Dodatkowo dodano do niego grupę agentów i wtyczek, które zbierają informacje ze zdalnych jednostek znajdujących się w sieci lokalnej. OSSIM zawiera takie narzędzia jak: - Arpwatch ? (wykrywania arp-spoofingu) analizuje nowo pojawiające się w sieciadresy MAC. W przypadku odnalezienia nowego adresu wysyła o tym powiadomienie. Przydaje się przy wykrywaniu nieautoryzowanego udostępniania Internetu itd. - p0f (pasywne wykrywanie systemu operacyjnego i analiza profilu), analizuje pakiety w sieci pod kątem używanych w niej systemów operacyjnych. W odróżnieniu od innych skanerów sam nic nie wysyła i jest całkowicie pasywny. Ze względu na swój pasywny charakter jest często wykorzystywany w systemach IDS. Nessus (skaner bezpieczeństwa). Nad tym programem warto się zatrzymać przez chwilę dłużej. Początki projektu Nessus sięgają roku 1998, jest klasycznym przedstawicielem automatycznych skanerów bezpieczeństwa sieci, nie odbiegającym od standardów wyznaczanych przez produkty komercyjne. Interesującą cechą Nessusa jest uwzględniona od samego początku architektura klient-serwer. System składa się z dwóch komponentów: demona nessusd działającego w tle i pozbawionego interfejsu użytkownika, co umożliwia jego instalację na praktycznie dowolnym serwerze. Ten element jest odpowiedzialny za faktyczne testowanie wskazanych przez klienta serwerów, któremu zwraca nieobrobione wyniki. Klient łączy się z serwerem i stanowi faktyczny interfejs użytkownika, wraz z funkcją prezentacji raportów. Taki dobór architektury umożliwia wykonywanie wielu skanów równocześnie przez wielu użytkowników z jednej centralnej maszyny. Skanowanie ma charakter dwuetapowy ? na początku znajdowane są otwarte i prawdopodobnie otwarte porty TCP i UDP. Drugim krokiem jest przeanalizowanie usług, działających na znalezionych portach. Jest to etap najbardziej czasochłonny, ponieważ skaner analizuje każdy z portów z osobna. Jako interesującą cechę można wymienić umiejętność sprawdzania serwerów ukrytych za protokołem SSL. W raportach przedstawia pełne informacje o znalezionych serwerach, np. HTTP/SSL. Zidentyfikowane usługi są testowane pod kątem występowania dziur specyficznych dla poszczególnych programów je obsługujących. Nessus nie sugeruje się numerem wersji zwracanym w nagłówku przez serwery, dlatego też taka dezinformacja nie odniesie w jego przypadku zbyt wiele. Podczas skanowania portów Nessus próbuje także wykryć markę i wersję skanowanego systemu za pomocą techniki stack finterprinting. Pozwala ona identyfikować systemy operacyjne na podstawie drobnych różnic w implementacji ich stosów TCP/IP, możliwych do stwierdzenia za pomocą odpowiednio spreparowanych pakietów IP. Informacja ta jest wykorzystana przez skaner do optymalizacji testów. - NMAP (skaner portów) jest zaawansowanym skanerem serwerów sieciowych. Posiada on wiele funkcji, http://www.witczak.priv.pl Kreator PDF Utworzono 7 March, 2017, 16:16 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT co sprawia, że jest to najpopularniejszy skaner dla systemów UNIX/Linux. Zaletą tego programu jest bogata baza sygnatur stosów TCP/IP poszczególnych systemów operacyjnych, pozwalająca na ustalanie nazwy i wersji systemu działającego na maszynie będącej celem skanowania. Dzięki temu, że rozpoznawanie oparte zostało o charakterystykę stosu TCP/IP, nie można zafałszować tych danych poprzez zmianę tekstu, jakim zgłasza się dana usługa systemowa (Rys. 3a). - Snort to bardzo silny sieciowy system wykrywania ataków (ang. Network Intrusion Detection System, NIDS), który daje różne mechanizmy detekcji, mogących w czasie rzeczywistym dokonywać analizy ruchu i rejestrowania pakietów w sieciach opartych na protokołach IP/TCP/UDP/ICMP. Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych. - Ntop pozwala na posortowanie ruchu sieciowego wg protokołów czy wyświetlenie statystyk ruchu. Dzięki niemu można również podejrzeć rozkład ruchu IP w różnych protokołach oraz zidentyfikować adresy mailowe użytkowników komputerów. To tylko przykłady. Możliwości NTOP-a są znacznie większe. NTOP pozwala na sortowanie ruchu sieciowego w oparciu o wiele kryteriów, analizę ruchu na podstawie jego źródła i celu. NTOP może również działać jako kolektor NetFlow/sFlow oraz generować RMON-o podobne statystyki ruchu (Rys. 3b). - Pads, program wykorzystywany do wykrywania wszelakich anomalii zachodzących w sieci; - Spade, statystycznie analizuje pakiety w sieci, określając, czy są one "normalne" lub "nienormalne" w oparciu o historyczną analizę ruchu sieciowego. Jest preprocesorem dla systemu SNORT IDS; - Tcptrack, ptrack to sniffer, który wyświetla informacje na temat połączeń TCP. Widzi go na interfejs sieciowy. Go biernie zegarki dla połączeń w sieci interfejs, śledzi ich stan i wyświetla listę połączeń w sposób podobny do UNIX 'top' command. Wyświetla źródłowych i docelowych adresów i portów, stan połączenia, czas bezczynności, a wykorzystanie pasma; - Nagios. Nagios to aplikacja do monitorowania komputerów oraz usług. Monitoruje usługi takie jak SMTP, POP3, HTTP, NNTP i wiele innych. Oprogramowanie czuwa także nad wykorzystaniem zasobów na hostach. Pilnuje np. obciążenia procesora, wykorzystania dysku i pamięci, uruchomionych procesów oraz logów. Potrafi również odczytywać temperaturę procesora czy dysku. Dzięki rozbudowanemu systemowi dodatków Nagios można modyfikować według własnych potrzeb (Rys. 4). - OCS-NG, to aplikacja zaprojektowana, aby pomóc administratorom w inwentaryzacji sprzętu komputerowego, a także sprawdzaniu poprzez sieć konfiguracji komputerów i oprogramowania, które jest na nich instalowane. OCS-NG gromadzi następujące informacje z inwentaryzowanych urządzeń: BIOS - numer seryjny, producent, model, wersja BIOS?u; Procesor - typ procesora, prędkość procesora, liczba procesorów; Gniazda pamięci ? typ pamięci i pojemność, rodzaj pamięci, szybkość w MHz, numer slotu; Pamięć RAM - pojemność dostępnej pamięci RAM; Pojemność pliku stronicowania lub rozmiar partycji swap w MB; Urządzenia wejściowe - typ, producent, opis, używany interfejs (PS / 2, USB, itp.); Porty - typ (szeregowe lub równoległe), opis; Sloty systemowe - nazwa, opis, oznaczenie (AGP, PCI, ISA itd.); Dostępne kontrolery - producent, nazwa, rodzaj (np. IDE, SCSI, USB, PCMCIA, IRDA); Dostępne dodatkowe nośniki danych - producent, model, opis, typ (dyskietka, dysk twardy, CD-Rom, itd.), i dostępna pojemność wyrażona w MB; Dyski logiczne i partycje - literę dysku logicznego, typ ( dysk twardy, CD-ROM, sieć, pamięć RAM, itd.), system plików (EXT2 i inne), całkowita pojemność wyrażona w MB, a także wolne miejsce także w MB;. Karta dźwiękowa - producent, nazwa i opis; Karty graficzne - nazwa, chipset, pamięć w MB, rozdzielczość ekranu; http://www.witczak.priv.pl Kreator PDF Utworzono 7 March, 2017, 16:16 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Monitory - producent, opis, typ i numer seryjny; Modemy - nazwa, model, opis, typ (wewnętrzne czy zewnętrzny); Karty sieciowe ? opis, typ, prędkość, adres MAC, adres IP, maska sieci IP, bramka IP, serwery DHCP jeżeli są w użyciu; Drukarki - nazwa, sterowniki, port przez który są podłączone; System operacyjny - nazwa systemu operacyjnego, wersja, komentarze, na kogo jest zarejestrowany system; Zainstalowane oprogramowanie ? w przypadku systemów Windows informacje te pochodzą z rejestru systemu; Rejestr systemu ? systemy Windows; Opis komputera ? zarejestrowany przez użytkownika opis danego komputera. OCS Inventory jest również w stanie wykryć wszystkie dostępne urządzenia, które są aktywne w sieci lokalnej, takie jak przełączniki, routery, drukarki sieciowe. Dla każdego z urządzeń przechowuje adresy MAC i IP co pozwala na ich sklasyfikowanie. - OSSEC jest systemem HIDS (wykrywania włamań na monitorowanym systemie), umożliwia również zaawansowany system scentralizowanej analizy i korelacji logów bezpieczeństwa. Open Source Security Information Management jest przykładem bardzo udanego połączenia dużej kolekcji narzędzi. Lista wszystkich użytych w tym systemie aplikacji jest bardzo imponująca. Mimo tego, że architektura systemu wydaje się być bardzo skomplikowana, jest bardzo intuicyjna. Programiści opracowali dla OSSIM szereg narzędzi integrujących wszystkie dotychczas wymienione narzędzia. Nastąpiła tutaj fantastyczna integracja wszystkich pakietów narzędzi. Natomiast wszystkie dane z tych aplikacji zostały połączone we wspólny frot-end i wyświetlane za pośrednictwem przeglądarki Web, która pełni tutaj funkcje klienta administracyjnego. OSSIM może być również dostosowany przy użyciu różnych wtyczek do pobierania danych z różnych innych źródeł, w tym urządzeń, takich jak np. zapory ogniowe, inne systemy operacyjne lub z innych wyspecjalizowanych aplikacji. OSSIM jest idealnym rozwiązaniem dla oficerów bezpieczeństwa i administratorów sieci. Może być używany do wszelakiego monitorowania zdarzeń i działań jakie zachodzą w środowiskach sieciowych. OSSIM może pełnić funkcję centralnego punktu zbierania i zestawiania informacji dla wydarzeń w danym środowisku, może generować alerty i raporty, zarówno w formie informacji wyświetlanych z poziomu przeglądarki Internetowej, jak i poprzez generowanie raportów w postaci plików pdf. Konsola Web jest tutaj centralnym miejscem. Koncentrują się w nim wszystkie elementy. Zapewniono w niej bardzo prosty i czytelny system wyświetlania informacji, panel sterowania umożliwia, wybieranie różnych poziomów szczegółowości wyświetlanych danych. Na najniższym poziomie szczegółowości, konsola może wyświetlać dane na temat sieci i zdarzeń na poziomie pojedynczych pakietów. Podobnie jak w wielu innych nowoczesnych systemach IDS, OSSIM przewiduje również ryzyko oparte na zdefiniowanych wskaźnikach. OSSIM jest w pełni funkcjonalnym, szybkim i potężnym systemem IDS. Na rynku tego typu produktów jest jedną z najciekawszych pozycji. Nie sposób wymienić wszystkie jego zalety. Trudno przejść obojętnie obok takiego projektu Strona domowa projektu OSSIM: www.ossim.netDodatkowy opis http://www.vivimo.pl/ossim.html http://www.witczak.priv.pl Kreator PDF Utworzono 7 March, 2017, 16:16