OSSIM - szwajcarski scyzoryk bezpieczeństwa

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
OSSIM - szwajcarski scyzoryk bezpieczeństwa
Autor: piotr
29.12.2009.
Zmieniony 06.06.2011.
Open Source Security Information Management - OSSIM, system który móżna wykorzystać zarówno do
wykrywania ataków na zasoby sieciowe, czy też wykrywania różnego rodzaju anomalii. System też może
z powodzeniem posłużyć do prowadzenia inwentaryzacji sprzętu komputerowego w archiwach.
Motto NSA? agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo
systemów teleinformatycznych, brzmi "Ufamy Bogu - wszystko inne sprawdzamy". Większość
administratorów ślepo wierzy w produkty i usługi pochodzące od dużych i renomowanych producentów.
Często jednak takie myślenie jest weryfikowane przez mniej lub bardziej uzdolnionych włamywaczy.
Każdą stosowaną instalację informatyczną, należy testować i monitorować, głównie po to, by uprzedzić
potencjalnych intruzów. Lepiej jest wykryć niebezpieczeństwo samemu, niż czekać, aż zrobią to hakerzy.
Co powinno być monitorowane i testowane? Głównie wartości, które powinny podlegać ochronie, które
najprościej i najbezpieczniej określić na podstawie Polityki Bezpieczeństwa. Podstawowe założenie to nie
wpuścić wroga do naszego systemu teleinformatycznego.
Czym monitorować?
Rozwiązań może być bardzo wiele. Każdy wybiera to, w czym najlepiej się czuje i co w trakcie
eksploatacji jest najtańsze.
W miarę czasu używania przeważają koszty (głównie godziny pracy administratora) przeznaczone na
pielęgnację systemu, na wprowadzane modyfikacje itp.
Dlatego do monitorowania należy wybrać dostosowany do naszych wymagań system IDS.
Czym jest IDS.
IDS (ang. Intrusion Detection System ? System Wykrywania Włamań) jest systemem, zdolnym do
wykrycia zmiany stanu systemu lub sieci komputerowej. Przy wykryciu zmian IDS, może wysłać
wiadomość alarmową lub podjąć zdefiniowane działania, aby odpowiednio ochronić sieć.
Wyróżniamy dwa główne rodzaje systemów IDS:
-
oparte na serwerze (ang. Host-based);
oparte na sieci komputerowej (ang. Network-based).
Pierwszy typ charakteryzuje się tym, że skanuje logi systemowe i otwarte połączenia sieciowe. Może
także skanować dysk twardy komputera w poszukiwaniu anomalii.
Drugi typ polega głównie na nasłuchiwaniu sieci i wyłapywaniu zdarzeń w niej zachodzących.
Systemy IDS dostarczają szeregu różnych usług:
- Identyfikują ruch sieciowy;
- Alarmowanie poprzez wysyłanie komunikatów do administratora;
- Zmiana konfiguracji systemu, wiele systemów IDS udostępnia zmianę konfiguracji systemu w
przypadku przeprowadzonego ataku.
Systemy IDS umożliwiają określanie następujących zdarzeń:
-Rodzaj protokołu, np. czy pakiet należy do protokołu UPC, TCP itd.;
-Pochodzenie źródłowego adresu IP;
-Przeznaczenie wysyłanych pakietów.
-Porty źródłowe: informuje o portach używanych przez serwer, z których wychodzą dane pakiety;
-Port docelowy: informuje o portach używanych przez serwer, do których wchodzą dane pakiety;
-Sumy kontrolne: które strzegą integralności przesyłanych pakietów;
-Numery sekwencji: informuje o kolejności wytworzonych pakietów;
-Informacje o pakietach: potrafi przeprowadzić analizę przesyłanych pakietów.
Warto jeszcze przypomnieć o dwóch podstawowych strategiach na podstawie których działają systemy
IDS:
-Aplikacje oparte na regułach. Jest to najbardziej rozpowszechniony typ systemów IDS. Wynika to z tego,
że jest on najprostszy do zainstalowania;
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 16:16
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
-Aplikacje oparte na anomaliach. Tego typu systemy IDS pobierają próbki ruchu sieciowego, który będzie
stanowił odniesienie dla przyszłych analiz. Następnie takie informacje składowane są w bazie danych
systemu IDS i stanowią wzorzec przy dalszej analizie ruchu sieciowego. Występuje tutaj problem z
ustaleniem co można rozumieć przez tzw. ?normalny? ruch sieciowy, który ma być wzorem przy
wykrywaniu anomalii. Powoduje to problemy w konfiguracji takiego systemu.
W ostatnich latach pojawiło się szereg nowych narzędzi IDS z otwartym kodem źródłowym (open source).
Te narzędzia, chociażby takie jak Groundwork's, jest narzędziem do monitorowania sieci, składa się z
szeregu zintegrowanych narzędzi open source, oparte często na interfejsie Web lub kliencie z graficzną
konsolą. Narzędzia te są przeznaczone do konsolidacji wielu różnych wyspecjalizowanych narzędzi open
source z zakresu bezpieczeństwa, za pośrednictwem jednego silnika lub interfejsu administracyjnego.
OSSIM lub inaczej Open Source Security Information Management, jest jednym z takich narzędzi. Jest on
skierowany na potrzeby profesjonalistów w celu zapewnienia bezpieczeństwa sieci teleinformatycznej i
wykrywania wszelkich anomalii. OSSIM łączy szeroki wybór sieci, hostów i zarządzania urządzeniem i
narzędzi informacyjnych wraz z korelacją silnika. Obejmuje ona możliwości wizualizacji, jak również
zgłaszania incydentów i narzędzi zarządzania.
OSSIM ma architekturę trójwarstwową. Pierwsza warstwa to baza danych (mysql), następna warstwa to
serwer aplikacji, ostatnią, trzecią warstwą jest tutaj graficzny front-end bazujący na aplikacji Web.
Dodatkowo dodano do niego grupę agentów i wtyczek, które zbierają informacje ze zdalnych jednostek
znajdujących się w sieci lokalnej.
OSSIM zawiera takie narzędzia jak:
- Arpwatch ? (wykrywania arp-spoofingu) analizuje nowo pojawiające się w sieciadresy MAC. W
przypadku odnalezienia nowego adresu wysyła o tym powiadomienie. Przydaje się przy wykrywaniu
nieautoryzowanego udostępniania Internetu itd.
- p0f (pasywne wykrywanie systemu operacyjnego i analiza profilu), analizuje pakiety w sieci pod kątem
używanych w niej systemów operacyjnych. W odróżnieniu od innych skanerów sam nic nie wysyła i jest
całkowicie pasywny. Ze względu na swój pasywny charakter jest często wykorzystywany w systemach
IDS.
Nessus (skaner bezpieczeństwa). Nad tym programem warto się zatrzymać przez chwilę dłużej. Początki
projektu Nessus sięgają roku 1998, jest klasycznym przedstawicielem automatycznych skanerów
bezpieczeństwa sieci, nie odbiegającym od standardów wyznaczanych przez produkty komercyjne.
Interesującą cechą Nessusa jest uwzględniona od samego początku architektura klient-serwer. System
składa się z dwóch komponentów: demona nessusd działającego w tle i pozbawionego interfejsu
użytkownika, co umożliwia jego instalację na praktycznie dowolnym serwerze. Ten element jest
odpowiedzialny za faktyczne testowanie wskazanych przez klienta serwerów, któremu zwraca
nieobrobione wyniki. Klient łączy się z serwerem i stanowi faktyczny interfejs użytkownika, wraz z funkcją
prezentacji raportów.
Taki dobór architektury umożliwia wykonywanie wielu skanów równocześnie przez wielu użytkowników z
jednej centralnej maszyny.
Skanowanie ma charakter dwuetapowy ? na początku znajdowane są otwarte i prawdopodobnie otwarte
porty TCP i UDP. Drugim krokiem jest przeanalizowanie usług, działających na znalezionych portach. Jest
to etap najbardziej czasochłonny, ponieważ skaner analizuje każdy z portów z osobna.
Jako interesującą cechę można wymienić umiejętność sprawdzania serwerów ukrytych za protokołem
SSL. W raportach przedstawia pełne informacje o znalezionych serwerach, np. HTTP/SSL.
Zidentyfikowane usługi są testowane pod kątem występowania dziur specyficznych dla poszczególnych
programów je obsługujących. Nessus nie sugeruje się numerem wersji zwracanym w nagłówku przez
serwery, dlatego też taka dezinformacja nie odniesie w jego przypadku zbyt wiele.
Podczas skanowania portów Nessus próbuje także wykryć markę i wersję skanowanego systemu za
pomocą techniki stack finterprinting. Pozwala ona identyfikować systemy operacyjne na podstawie
drobnych różnic w implementacji ich stosów TCP/IP, możliwych do stwierdzenia za pomocą odpowiednio
spreparowanych pakietów IP. Informacja ta jest wykorzystana przez skaner do optymalizacji testów.
- NMAP (skaner portów) jest zaawansowanym skanerem serwerów sieciowych. Posiada on wiele funkcji,
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 16:16
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
co sprawia, że jest to najpopularniejszy skaner dla systemów UNIX/Linux. Zaletą tego programu jest
bogata baza sygnatur stosów TCP/IP poszczególnych systemów operacyjnych, pozwalająca na ustalanie
nazwy i wersji systemu działającego na maszynie będącej celem skanowania. Dzięki temu, że
rozpoznawanie oparte zostało o charakterystykę stosu TCP/IP, nie można zafałszować tych danych
poprzez zmianę tekstu, jakim zgłasza się dana usługa systemowa (Rys. 3a).
- Snort to bardzo silny sieciowy system wykrywania ataków (ang. Network Intrusion Detection System,
NIDS), który daje różne mechanizmy detekcji, mogących w czasie rzeczywistym dokonywać analizy ruchu
i rejestrowania pakietów w sieciach opartych na protokołach IP/TCP/UDP/ICMP. Potrafi przeprowadzać
analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele
ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi
WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych.
- Ntop pozwala na posortowanie ruchu sieciowego wg protokołów czy wyświetlenie statystyk ruchu.
Dzięki niemu można również podejrzeć rozkład ruchu IP w różnych protokołach oraz zidentyfikować
adresy mailowe użytkowników komputerów. To tylko przykłady. Możliwości NTOP-a są znacznie większe.
NTOP pozwala na sortowanie ruchu sieciowego w oparciu o wiele kryteriów, analizę ruchu na podstawie
jego źródła i celu. NTOP może również działać jako kolektor NetFlow/sFlow oraz generować RMON-o
podobne statystyki ruchu (Rys. 3b).
- Pads, program wykorzystywany do wykrywania wszelakich anomalii zachodzących w sieci;
- Spade, statystycznie analizuje pakiety w sieci, określając, czy są one "normalne" lub "nienormalne" w
oparciu o historyczną analizę ruchu sieciowego. Jest preprocesorem dla systemu SNORT IDS;
- Tcptrack, ptrack to sniffer, który wyświetla informacje na temat połączeń TCP. Widzi go na interfejs
sieciowy. Go biernie zegarki dla połączeń w sieci interfejs, śledzi ich stan i wyświetla listę połączeń w
sposób podobny do UNIX 'top' command. Wyświetla źródłowych i docelowych adresów i portów, stan
połączenia, czas bezczynności, a wykorzystanie pasma;
- Nagios. Nagios to aplikacja do monitorowania komputerów oraz usług. Monitoruje usługi takie jak
SMTP, POP3, HTTP, NNTP i wiele innych. Oprogramowanie czuwa także nad wykorzystaniem zasobów na
hostach. Pilnuje np. obciążenia procesora, wykorzystania dysku i pamięci, uruchomionych procesów oraz
logów. Potrafi również odczytywać temperaturę procesora czy dysku. Dzięki rozbudowanemu systemowi
dodatków Nagios można modyfikować według własnych potrzeb (Rys. 4).
- OCS-NG, to aplikacja zaprojektowana, aby pomóc administratorom w inwentaryzacji sprzętu
komputerowego, a także sprawdzaniu poprzez sieć konfiguracji komputerów i oprogramowania, które jest
na nich instalowane.
OCS-NG gromadzi następujące informacje z inwentaryzowanych urządzeń:
BIOS - numer seryjny, producent, model, wersja BIOS?u;
Procesor - typ procesora, prędkość procesora, liczba procesorów;
Gniazda pamięci ? typ pamięci i pojemność, rodzaj pamięci, szybkość w MHz, numer slotu;
Pamięć RAM - pojemność dostępnej pamięci RAM;
Pojemność pliku stronicowania lub rozmiar partycji swap w MB;
Urządzenia wejściowe - typ, producent, opis, używany interfejs (PS / 2, USB, itp.);
Porty - typ (szeregowe lub równoległe), opis;
Sloty systemowe - nazwa, opis, oznaczenie (AGP, PCI, ISA itd.);
Dostępne kontrolery - producent, nazwa, rodzaj (np. IDE, SCSI, USB, PCMCIA, IRDA);
Dostępne dodatkowe nośniki danych - producent, model, opis, typ (dyskietka, dysk twardy, CD-Rom,
itd.), i dostępna pojemność wyrażona w MB;
Dyski logiczne i partycje - literę dysku logicznego, typ ( dysk twardy, CD-ROM, sieć, pamięć RAM, itd.),
system plików (EXT2 i inne), całkowita pojemność wyrażona w MB, a także wolne miejsce także w MB;.
Karta dźwiękowa - producent, nazwa i opis;
Karty graficzne - nazwa, chipset, pamięć w MB, rozdzielczość ekranu;
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 16:16
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Monitory - producent, opis, typ i numer seryjny;
Modemy - nazwa, model, opis, typ (wewnętrzne czy zewnętrzny);
Karty sieciowe ? opis, typ, prędkość, adres MAC, adres IP, maska sieci IP, bramka IP, serwery DHCP
jeżeli są w użyciu;
Drukarki - nazwa, sterowniki, port przez który są podłączone;
System operacyjny - nazwa systemu operacyjnego, wersja, komentarze, na kogo jest zarejestrowany
system;
Zainstalowane oprogramowanie ? w przypadku systemów Windows informacje te pochodzą z rejestru
systemu;
Rejestr systemu ? systemy Windows;
Opis komputera ? zarejestrowany przez użytkownika opis danego komputera.
OCS Inventory jest również w stanie wykryć wszystkie dostępne urządzenia, które są aktywne w sieci
lokalnej, takie jak przełączniki, routery, drukarki sieciowe. Dla każdego z urządzeń przechowuje adresy
MAC i IP co pozwala na ich sklasyfikowanie.
- OSSEC jest systemem HIDS (wykrywania włamań na monitorowanym systemie), umożliwia również
zaawansowany system scentralizowanej analizy i korelacji logów bezpieczeństwa.
Open Source Security Information Management jest przykładem bardzo udanego połączenia dużej
kolekcji narzędzi. Lista wszystkich użytych w tym systemie aplikacji jest bardzo imponująca. Mimo tego,
że architektura systemu wydaje się być bardzo skomplikowana, jest bardzo intuicyjna.
Programiści opracowali dla OSSIM szereg narzędzi integrujących wszystkie dotychczas wymienione
narzędzia. Nastąpiła tutaj fantastyczna integracja wszystkich pakietów narzędzi. Natomiast wszystkie
dane z tych aplikacji zostały połączone we wspólny frot-end i wyświetlane za pośrednictwem przeglądarki
Web, która pełni tutaj funkcje klienta administracyjnego.
OSSIM może być również dostosowany przy użyciu różnych wtyczek do pobierania danych z różnych
innych źródeł, w tym urządzeń, takich jak np. zapory ogniowe, inne systemy operacyjne lub z innych
wyspecjalizowanych aplikacji.
OSSIM jest idealnym rozwiązaniem dla oficerów bezpieczeństwa i administratorów sieci. Może być
używany do wszelakiego monitorowania zdarzeń i działań jakie zachodzą w środowiskach sieciowych.
OSSIM może pełnić funkcję centralnego punktu zbierania i zestawiania informacji dla wydarzeń w danym
środowisku, może generować alerty i raporty, zarówno w formie informacji wyświetlanych z poziomu
przeglądarki Internetowej, jak i poprzez generowanie raportów w postaci plików pdf.
Konsola Web jest tutaj centralnym miejscem. Koncentrują się w nim wszystkie elementy. Zapewniono w
niej bardzo prosty i czytelny system wyświetlania informacji, panel sterowania umożliwia, wybieranie
różnych poziomów szczegółowości wyświetlanych danych. Na najniższym poziomie szczegółowości,
konsola może wyświetlać dane na temat sieci i zdarzeń na poziomie pojedynczych pakietów. Podobnie jak
w wielu innych nowoczesnych systemach IDS, OSSIM przewiduje również ryzyko oparte na
zdefiniowanych wskaźnikach.
OSSIM jest w pełni funkcjonalnym, szybkim i potężnym systemem IDS. Na rynku tego typu produktów
jest jedną z najciekawszych pozycji. Nie sposób wymienić wszystkie jego zalety. Trudno przejść obojętnie
obok takiego projektu
Strona domowa projektu OSSIM:
www.ossim.netDodatkowy opis http://www.vivimo.pl/ossim.html
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 16:16