Ossec
| ||||||||||||||||
Ossec. Es un detector de intrusos en host de fuente abierta, que proporciona análisis de logs, verificación de integridad de ficheros, monitorización del registro de Windows, detección de rootkits en tiempo real y que permite configurar respuestas activas. También es respaldado y apoyado totalmente por Trend Micro.
Sumario
Descripción de Ossec
Es un detector de intrusos Open Source basado en nodo, que lleva a cabo las siguientes funciones: análisis de registros, comprobación de integridad, detección de rootkits, alertas basadas en secuencias temporales y respuesta activa, capaz de ejecutarse en cliente/servidor y que funciona en Windows, Linux, Mac Os y otros sistemas. Es una especie de evolución de Tripwire.
Entre las utilidades que presenta es que la base de datos de firmas MD5 no se almacena en el equipo cliente, sino que se lleva a un servidor centralizado, permitiendo que si un cliente queda comprometido, las firmas no quedan comprometidas.
Esta dividido en tres componentes básicos los cuales son el servidor: el cual monitorea y registra la actividad de los agentes, estos últimos son quienes están siendo verificados y le envían la información de lo que ocurre en ellos al servidor y la interfaz WEB la cual se instala en un servidor WEB y sirve para la administración grafica del servidor.
Arquitectura
Se compone de varias piezas. Es todo lo que tiene un manager central de monitoreo y recepción de información de los agentes, syslog, bases de datos y desde dispositivos sin agente.
Manager
Es la pieza central del despliegue Ossec. Almacena la comprobación de la integridad del archivo de bases de datos, registros, los eventos y las entradas del sistema de auditoria. Todas las reglas, los decodificadores y las principales opciones de configuración son almacenados de forma centralizada en el administrador, lo que hace fácil de administrar, incluso un gran número de agentes.
Agentes
Es un pequeño programa instalado en los sistemas que desee supervisar. Se recopilará información en tiempo real y transmitir al manager de análisis y correlación. Tiene una memoria muy pequeña y la huella de CPU por defecto, que no afectan con el uso del sistema.
- Agente de seguridad: Se ejecuta con un usuario con pocos privilegios (creado durante la instalación) y dentro de una jaula chroot aislado del sistema.
Sin agentes
Para los sistemas que no se puede instalar un agente, permite realizar un control sobre la integridad de los archivos sin que el agente instalado. Puede ser muy útil para monitorear firewalls, routers e incluso los sistemas Unix en el que no se les permite instalar el agente.
Virtualización / Vmware
Permite instalar el agente en los sistemas operativos invitados o en el interior del huésped (Vmware ESX). Con el agente instalado en el interior del VMware ESX puede recibir alertas. También supervisa el inicio de sesión, cierre de sesión y los errores dentro del servidor ESX.
Firewalls, switches y routers
Puede recibir y analizar los eventos syslog de una gran variedad de servidores de seguridad, switches y routers. Es compatible con todos los routers de Cisco, Cisco PIX, Cisco FWSM, Cisco ASA, routers Juniper, firewall NetScreen, Checkpoint y muchos otros.
Formatos de registro
Soporta los formatos de registro siguientes: Sólo Unix:
- Pam Unix
- sshd (OpenSSH)
- Solaris telnetd
- Samba
- Su
- Sudo
- Rshd
- Xinetd
- Adduser / deluser / etc
- Cron / crontab
- Solaris BSM Auditoría
- Dpkg (paquetes de Debian) los registros
- Yum registros
Servidores FTP:
- Proftpd
- Pure-ftpd
- vsftpd
- wu-ftpd
- Servidor FTP de Microsoft
- Solaris ftpd
- True64 ftpd
- HP-UX ftpd
- Mac OS servidor FTP
Servidores de correo:
- IMAPD
- POP3D
- Postfix
- Sendmail
- Vpopmail
- Microsoft Exchange
- Courier imapd/pop3d/pop3-ssl
- Vm-pop3d
- SMF-SAV (Sendmail Sender Address Validator)
- Procmail
- Mailscanner
- Dovecot
Servidores Web:
- Apache web server (log de acceso y registro de errores)
- IIS 5/6 web server (NSCA y W3C extended)
- Zeus web server
- Nginx web server
Aplicaciones Web:
Firewalls:
- Iptables firewall
- Shorewall (basado en iptables) firewall
- Solaris ipfilter firewall
- AIX ipsec/firewall
- Netscreen firewall
- Windows firewall
- Cisco PIX/ASA/FWSM
- SonicWall firewall
- Checkpoint firewall
Bases de datos:
NIDS:
- Cisco IOS IDS/IPS module
- Snort IDS (Snort completo, rápido y syslog)
- Dragon NIDS
- Checkpoint Smart defense
Herramientas de seguridad:
- Symantec Anti Virus
- Symantec Web Security
- Trend Micro OSCE (Office scan)
- Microsoft Security Essentials
- Nmap
- Arpwatch
- McAfee VirusScan Enterprise (v8 y v8.5)
- Suhosin (Hardened PHP)
Otros:
- Named (Bind)
- Squid Proxy
- BlueCoat Proxy
- Cisco VPN Concentrator
- Cisco IOS routers
- Asterisk
- Vmware ESX
- Los registros de eventos de Windows (inicios de sesión, cierre de sesión, información de auditoría, etc).
- Ventanas de enrutamiento y acceso remoto de los registros.
- Genéricas de Unix (True64, HP-UX, AIX, etc.) los eventos de autenticación (adduser, inicio de sesión, cierre de sesión, etc.).
- Genérico Linux (Red Hat, Ubuntu, Suse, etc.) los eventos de autenticación y de nivel de sistema.
Ventajas
- Cumplimiento de Requisitos: ayuda a los clientes satisfacer las necesidades específicas de cumplimiento que permite a los clientes detectar y alertar sobre las modificaciones no autorizadas del sistema de archivos y comportamientos maliciosos incrustados en los archivos de registro de productos COTS, así como aplicaciones personalizadas.
- Multiplataforma: permite a los clientes implementar una serie completa base del sistema de detección de intrusos a través de múltiples plataformas, como Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac y VMware ESX.
- Alertas en tiempo real y configurable: permite a los clientes configurar los incidentes que se desea recibir una alerta en la que les permite centrarse en el aumento de la prioridad de los incidentes críticos sobre el ruido normal en cualquier sistema. Integración con el SMTP, SMS y syslog permite a los clientes a estar en la cima de alertas mediante el envío de estos a correo electrónico y dispositivos portátiles como teléfonos celulares y buscapersonas.
- Gestión centralizada: proporciona un servidor simplificado de gestión centralizada para administrar las políticas en múltiples sistemas operativos.
- Agente y la supervisión sin agente: ofrece la flexibilidad de control basado en agentes y sin agentes de los sistemas y componentes de red tales como routers y firewalls.
