HomeHoles.Net » ossec

OSSEC 2.4 julkaistu

Timo — Fri, 02 Apr 2010 07:40:36 +0000

OSSEC, tuo avoimeen lähdekoodiin perustuva palvelin/työasemakohtainen hyökkäyksien havainnointijärjestelmä (HIDS/LIDS) on päivittynyt versioon 2.4.

Nyt pitäisi alkaa kehittelemään mitä kaikkea kivaa uusilla ominaisuuksilla voisi tehdä:

Päivittäiset koosteraportit tapahtumista
Check_diff optio jonka avulla voi valvoa periaatteessa minkä tahansa syötteiden eroavaisuuksia. Eräs esimerkki.
Microsoft Security Essentielsin lokiformaatti on nyt myös tuettu
ossec-logtest työkalulla voi analysoida mitä tahansa lokitiedostoa manuaalisesti. Kätevä työkalu kun haluaa tutkia mitä koneella on tapahtunut (forensic analysis)

OSSEC versio 2.3 on julkaistu

Timo — Mon, 07 Dec 2009 20:42:26 +0000

OSSEC, tuo avoimeen lähdekoodiin perustuva palvelin/työasemakohtainen hyökkäyksien havainnointijärjestelmä (HIDS/LIDS) on päivittynyt versioon 2.3. OSSEC suorittaa mm. tehokkaalla ja helposti määriteltävällä tavalla analysointia ja hälytyksiä järjestelmän logidatasta (LIDS), analysoi järjestelmien konfiguraatiota ja sen muutoksia, sekä ilmoittaa tiedostojärjestelmässä tapahtuneista muutoksista (integrity check). Toki OSSEC pystyy myös estämään havaitsemiaan hyökkäyksiä sulkemalla hyökkääjältä verkkoyhteydet.

Ehkä suurimpana itseäni kiinnostavana ominaisuutena uudessa versiossa on prosessien valvonta. Vaikka mikään yleinen valvontajärjestelmä OSSEC ei ole, eikä siitä sellaista ole tulossakaan, ei kaikkea tietoturvan kannalta olennaisia asioita pystytä pelkästään lokeista valvomaan.

WordPress to syslog

Timo — Fri, 14 Aug 2009 21:09:21 +0000

Siinä missä WordPress on loistava blogi/julkaisuväline, on OSSEC vähintään yhtä mahtava ohjelmisto hyökkäyksien havainnointiin (HIDS) ja lokien parsimiseen. Molemmat tietysti vapaan lähdekoodin ohjelmia.

Nyt WordPressiin on tehty wpsyslog2-plugin, jonka avulla WordPress saadaan kirjoittamaan tapahtumistaan tietoa syslogiin, ja sitä kautta OSSEC pystyy valvomaan myös WordPressin tapahtumia.

Ossec HIDS

Timo — Tue, 15 Jul 2008 14:09:17 +0000

Ossec on laajasti mielenkiintoa herättänyt open-source HIDS/HIPS (hyökkäyksien havainnonti- ja/tai torjumisjärjestelmä) *nix ja Windows käyttöjärjestelmille. Kyseisellä ohjelmistolla voidaan havainnoida sekä tiedostojärjestelmän muutoksia, että poimia lokitiedostoista normaalista poikkeavia tapahtumia ja hälyttää niistä ylläpitäjää.

Olen itse käyttänyt ja seurannut tuotteen kehittymistä jo jonkin aikaa. Seuraava iso askel kehityksessä otetaan versiossa 1.6, kun mukaan tulee nyt testivaiheessa olevat CIS-bencmark testit. Näiden testien avulla ossec osaa auditoida myös järjestelmän konfiguraatiota CIS:n (Center for Internet Security) laatimen hyvien käytäntöjen tarkastuslistoja vastaan.

Esimerkkinä CIS-auditoinnista sain huomautuksen siitä, ettei tietyt hakemistot ole erillisillä osioilla. Selittelynä todettakoon että käyttämäni virtualserver-toimittaja ei anna kuin yhden osion mitä käyttää.

[INFO]: Starting rootcheck scan.
[OK]: No presence of public rootkits detected. Analyzed 270 files.
[OK]: No binaries with any trojan detected. Analyzed 79 files.
[INFO]: System Audit: CIS -
Testing against the CIS Debian Linux Benchmark v1.0. File: /proc/sys/kernel/ostype.
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
[INFO]: System Audit: CIS - Debian Linux 1.4 Robust partition scheme
/tmp is not on its own partition. File: /etc/fstab.
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
....