OSSEC,免费和开源IDS
原文:https://dougvitale.wordpress.com/2014/02/26/ossec-the-free-and-open-source-ids/
Doug Vitale技术博客
OSSEC,免费和开源IDS
入侵检测软件旨在监控网络流量或主机活动是否存在恶意操作,例如成功或不成功的入侵企图,恶意流量(即恶意扫描和拒绝服务),未经授权的配置更改,恶意软件症状和用户策略违规。入侵检测系统(IDS)通常可以生成描述生成警报的潜在危险活动的详细信息的报告。由于许多原因,OSSEC在这方面特别有用。首先,它是一个成熟的,声誉良好的产品,具有良好的记录(OSSEC于2004年首次发布,并由Trend Micro拥有自2009年以来)。其次,它是免费和开源的。第三,它与大多数现代操作系统兼容,如Linux,Windows(Server 2008,Server 2003,7,Vista,XP,2000)BSD(Free / Open / Net),Unix(Solaris,HP-UX,AIX),和MacOS。
IT安全的关键原则之一是阻止入侵者访问您组织的网络。网络的优势不仅必须能够抵御无数的攻击,还必须采取措施来检测成功突破外围的攻击者。这两项措施是实现“纵深防御”安全态势的重要步骤,OSSEC是履行IDS职责的有效且经济实惠的选择。
入侵检测系统(IDS)通常被分类为基于网络或基于主机的。阿基于网络的IDS(NIDS)试图通过,因为它用于恶意活动的迹象节点之间流动分析流量以发现到网络的未授权访问。阿基于主机的IDS(HIDS),在另一方面,被设计用于检测发生在它们的安装位置的主机威胁(在服务器上,例如)。HIDS监控当地的行动并试图识别可能存在危险的行为。通过这种方式,HIDS类似于防病毒应用程序,可识别和阻止某些攻击模式并发出警报以提醒用户和管理员。
您可能想知道NIDS和HIDS如何识别攻击何时发生。换句话说,他们如何区分敌对的,被禁止的行为和另一方面的正常,良性行为?正如防病毒应用程序必须使用最新的病毒定义保持更新一样,基于签名的IDS 依赖于已知攻击模式的签名,以使其能够识别威胁。或者,基于异常的 IDS检测在正常预期行为的基线之外发生的动作。
OSSEC是一个使用签名和异常检测功能的HIDS(书籍OSSEC HIDS基于主机的入侵指南)第161页说明OSSEC的“内核级别检查不使用任何签名,而是依靠异常检测技术来查找rootkit”)。OSSEC提供主机代理和文件完整性代理(完整性检查)功能。它还可以检测rootkit并执行日志分析。OSSEC可以作为独立代理部署,也可以作为代理的分布式网络的一部分,中央OSSEC服务器控制其配置和设置。在服务器模式下,中央OSSEC服务器管理一个或多个远程OSSEC代理。这些代理生成更新和状态报告,并将其传输到服务器。如果服务器认为这些通知中的任何一个是可疑的,则会生成警报。
安装OSSEC
OSSEC仅作为Linux / BSD上的服务器或独立安装提供。您可以在Windows主机上安装OSSEC代理以供OSSEC服务器监视。
我们来看看Linux上的OSSEC安装过程。像往常一样,通过使用软件包管理应用程序(例如Synaptic)搜索OSSEC是否在Linux发行版的软件存储库中可用是最简单和最快速的。如果不存在,可以使用wget实用程序下载它,如下所示:
# wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz(验证OSSEC 下载页面上的版本)
解压缩包,切换到生成的目录,然后启动安装例程:
# tar -zxvf ossec-hids-2.7.1.tar.gz
# cd ossec-hids-2.7.1/
# ./install.sh
你需要选择的第一件事是你的语言; 只需按Enter键输入英语。下一个屏幕建议您必须安装C编译器才能继续。再次按Enter键。
下一个屏幕会提示您输入所需的安装类型:
1- What kind of installation do you want (server, agent, local or help)?
如果要设置将在其他主机上管理和监视远程OSSEC代理的OSSEC服务器,请键入“server”。如果要安装将由OSSEC服务器控制的OSSEC代理,请键入“代理”。如果要避免OSSEC客户端/服务器环境并且只在单个主机上运行OSSEC,请键入“local”。如果要部署同时包含代理(可以回答另一个OSSEC服务器)的OSSEC服务器,请键入“hybrid”。
下一步允许您指定安装位置; 默认值为/ var / ossec。您现在可以指定所需的位置,或者只接受默认位置,然后按Enter键。
2- Setting up the installation environment.
- Choose where to install the OSSEC HIDS [/var/ossec]:
接下来,将要求您配置电子邮件通知并指定所需的电子邮件地址和SMTP服务器。OSSEC使用电子邮件通知来提醒您有关触发警报的事件。
3- Configuring the OSSEC HIDS
3.1- Do you want e-mail notification? (y/n) [y]: y
- What's your e-mail address? admin@kernel.org
- We found your SMTP server as: mail.kernel.org
- Do you want to use it? (y/n) [y]: y
接下来的步骤允许您指定启用OSSEC的哪些组件。
3.2- Do you want to run the integrity check daemon? (y/n) [y]: y
- Running syscheck (integrity check daemon).
完整性检查守护程序负责监视和报告系统文件中的更改。
3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y
- Running rootcheck (rootkit detection).
rootkit检测引擎定期执行测试以查找rootkit的迹象。
3.4- Active response allows you to execute a specific command based on the events received. For example, you can block an IP address or disable access for a specific user. More information at: http://www.ossec.net/en/manual.html#active-response
- Do you want to enable active response? (y/n) [y]: y
- Active response enabled.
3.5- By default, we can enable the host-deny and the firewall-drop responses. The first one will add a host to the /etc/hosts.deny and the second one will block the host on iptables (if Linux) or on ipfilter (if Solaris, FreeBSD or NetBSD).
-They can be used to stop SSHD brute force scans, port scans and some other forms of attacks. You can also add them to block on snort events. for example.
- Do you want to enable the firewall-drop response? (y/n) [y]: y
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- 4.2.2.1
- 8.8.8.8
- Do you want to add more IPs to the white list (y/n)? [n]: n
3.6- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log
-- /var/log/snort/alert (snort-fast file)
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
- If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us at http://www/ossec/net.
默认情况下启用日志分析。它会自动分析这些日志文件的内容,并对检测到的任何异常进行警报。
--- Press Enter to continue ---
<installation routine snipped>
- Configuration finished properly.
- To start OSSEC HIDS: /var/ossec/bin/ossec-control start
- To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
--- Press Enter to finish. ---
root@host:~/ossec-hids-2.7.1#
OSSEC现在正在运行,您的主机正在监控入侵和异常情况。但是,它在默认(未调整)状态下运行,应该使用您的环境的自定义设置进行调整。您可以自定义OSSEC安装的一些方法包括编辑规则和签名以反映主机上运行的应用程序和服务的组合,指定其他日志记录源并调整警报的重要性以反映对您的环境最重要的问题(例如数据/主机的关键性和敏感性)。只需添加或调整/var/ossec/rules目录中XML文件中包含的规则(规则格式在OSSEC在线用户手册中有说明)。可以从BitBucket获得新规则。
适用于Windows的OSSEC代理
如果将Linux / BSD主机配置为OSSEC服务器并且希望它监视Windows主机,则需要在其上安装OSSEC代理。这些代理通过UDP端口1514上的加密连接连接到服务器(相应地调整任何防火墙规则)。使用在服务器上定义的对称密钥对服务器和代理进行身份验证,然后将其复制到代理。
OSSEC 下载页面上也提供了代理.exe安装文件。安装后,必须指定OSSEC服务器的IP地址和身份验证密钥。
要在OSSEC服务器上生成身份验证密钥,请使用manage_agents命令,如下所示。
# cd /var/ossec/bin
# ./manage_agents
***************************************
* OSSEC HIDS v2.7.1 Agent manager. *
* The following options are available: *
***************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A, E, L, R or Q: A
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: Windows-server
* The IP Address of the new agent: 10.20.30.40
* An ID for the new agent[001]: 001
Agent information:
ID:001
Name:Windows-server
IP Address: 10.20.30.40
Confirm adding it?(y/n): y
Agent added.
现在返回manage_agents菜单,这次选择“E”。
***************************************
* OSSEC HIDS v2.7.1 Agent manager. *
* The following options are available: *
***************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A, E, L, R or Q: E
Available agents:
ID: 001, Name: Windows-server, IP: 10.20.30.40
Provide the ID of the agent to extract the key (or '\q' to quit): 001
Agent key information for '001' is:
MDAxIFdpbmfe524FQ38H8dthytF3fEG46Bweg5363g35wfGG4574=
** Press ENTER to return to the main menu.
您可以通过查看/var/ossec/logs/ossec.log代理和服务器上的文件内容来确认连接是否成功。
OSSEC Web用户界面
要使用图形用户界面管理OSSEC服务器或本地安装,可以下载Web用户界面(WUI),然后按照以下步骤操作。
# wget http://www.ossec.net/files/ossec-wui-0.8.tar.gz
解压缩gzipped tar文件的内容:
# tar -zxvf ossec-wui-0.8.tar.gz
将OSSEC-WUI目录移动并重命名为Apache可访问的WWW目录:
# mv ossec-wui-0.8/ /var/www/ossec-wui/
更改工作目录并启动安装例程:
# cd /var/www/ossec-wui/
# ./setup.sh
安装例程将提示您如下:
Setting up ossec ui...
Username:
New password:
Retype new password:
Enter your web server name (e.g. apache, www, nobody, www-data, ...) www-data
Enter your OSSEC install directory path (e.g. /var/ossec) /var/ossec/
You must restart your web server after this setup is done.
Setup completed successfully.
root@host:/var/ossec-wui#
现在将Web服务器用户帐户(例如apache或www-data)添加到ossec组/etc/group:
# gedit /etc/group
Example: ossec:x:1003 changes to ossec:x:1003:www-data
然后更改OSSEC临时目录的权限:
# cd /var/ossec/
# chmod 770 tmp/
# chgrp www-data tmp/
最后,重新启动Apache Web守护程序:
# apache2ctl restart
OSSEC Web用户界面(WUI)v0.8
进一步参考
Ddpbsd.blogspot.com,看着与OSSEC潜在的恶意域名
Devio.us,OSSEC在线手册
Github.com,OSSEC电子邮件滥用脚本
HackerTarget.com,卫冕的WordPress与OSSEC
HowToForge.com,保护你的服务器使用OSSEC
Linuxdrops.com,AnaLogi OSSEC
Mousesecurity.com的Web界面,使用OSSEC进行文件完整性监控
ReadTheDocs.org,OSSEC在线手册
Rootshell.be,多个OSSEC文章
TAMU.edu,使用OSSEC保护Web服务器
推荐阅读
如果您发现本文的内容有用并希望进一步扩展您的知识,请考虑使用以下链接购买相关书籍。谢谢!
OSSEC指南 即时OSSEC
实用入侵分析 安全监控
网络安全监控网络安全监控 实践
- 亚马逊上的计算机与技术书籍
OSSEC,免费和开源IDS相关推荐
- 16个免费和开源商业智能工具
公司需要分析他们收集的所有数据 - 这就是数据科学和商业智能工具的用武之地. 随着企业处理越来越多有关其运营和客户的信息,实时分析变得越来越重要.仅举一个例子,Gartner预测,在三年内,普通人每天 ...
- sql优化ppt_一款跨平台免费的开源 SQL 编辑器和数据库管理器!
大家好,我是 JackTian. 今天给大家推荐一款适用于Windows,Linux和Mac的跨平台免费的开源SQL编辑器和数据库管理应用程序 -- beekeeper-studio. Beekeep ...
- 国内外免费PHP开源建站程序
互联网上有很多开源建站程序供站长选择,做社区时你在Discuz和PHPWind之间做比较,做资讯网时你在DedeCMS.PHPCMS和Wordpress之间比较,虽然如此,你依然不知道选择什么程序好, ...
- 免费和开源世界里面有很多好的邮件服务器
最近看到很多朋友在windows下使用winwebmail的破解版.其实免费和开源世界里面有很多好的邮件服务器.下面简单总结一下:1 邮件服务器1.1最经典的当然是qmail,不过这是linux下的. ...
- 一线大厂为什么对免费的开源项目这么热衷?
比如,阿里在搞zeppelin以及收购了Flink, 这种免费的开源项目都要动用P8在钉钉群里答疑,这个目的是什么呢? zeppelin是一种类似于Jupyter Notebook的交互工具. 阿里想 ...
- 老男孩最近几年常用的免费的开源软件
下面是在linux网站运维方向老男孩最近几年常用的免费的开源软件,临时即兴想起来的,在这里和大家分享,希望给初学者指引一点路. linux的世界真的很精彩,还没入门的朋友赶紧进来吧! 操作系统:Cen ...
- activiti 文档_免费、开源、多平台的PDF文档处理软件——PDFsam Basic
今天给大家推荐的是一款免费.开源.多平台支持的PDF文档处理软件-- PDFsam Basic PDFsam Basic是为普通用户提供的免费开源解决方案,提供了PDF文档拆分.合并.混合.提取页面和 ...
- mac微软雅黑字体_“微软雅黑”有坑,小编向你推荐免费的开源字体
今日,某公司实习生使用"微软雅黑"字体,被方正公司投诉.该公司宣称:公司损失达到2800万. 可能有些人有疑惑,"微软雅黑"不该是免费的么!今天,小编就来科普一 ...
- emlog-FLY主题模板1.4版本免费完全开源
简介: FLY主题是在EMLOG上制作的非常漂亮的主题,功能也非常好. 作者还受到各种盗版的困扰. 因此,发布了免费版本供所有人试用. 如果感觉良好,则可以选择购买作者的FLY主题. 非常美丽而强大! ...
最新文章
- pageResponse - 让H5适配移动设备全家(移动端适配)1
- 通过性能计数器确定.net应用程序是否存在内存溢出
- 基于UDP的组播网络程序
- tls jdk_使用JDK 13查看TLS配置
- Android Killer
- linux 提高代码质量的工具
- .net core webapi 文件上传在 Swagger 文档中的有好提示处理
- WinEdt LaTex(一)—— hello world!
- 【SICP练习】31 练习1.37
- IPLOOK 5G核心网重磅升级!网络切片切出5G“大蛋糕”
- cpu控制器如何工作
- 什么表示计算机的存储容量,计算机的存储容量是指它具有的什么
- edm邮件直投_EDM邮件直投专家V3.8.5官方版下载 - 下载吧
- nodejs c++ addon插件的应用场景
- 达梦数据库-国产的荣光
- 【干货】OJ上各种术语
- Linux下的CreateEvent WaitForSingleObject
- 攻防世界——robots
- 最新pycharm专业版免费激活申请步骤
- 工业ERP管理系统新增功能对企业有哪些好处?