OSSEC versio 2.3 on julkaistu

OSSEC, tuo avoimeen lähdekoodiin perustuva palvelin/työasemakohtainen hyökkäyksien havainnointijärjestelmä (HIDS/LIDS) on päivittynyt versioon 2.3. OSSEC suorittaa mm. tehokkaalla ja helposti määriteltävällä tavalla analysointia ja hälytyksiä järjestelmän logidatasta (LIDS), analysoi järjestelmien konfiguraatiota ja sen muutoksia, sekä ilmoittaa tiedostojärjestelmässä tapahtuneista muutoksista (integrity check). Toki OSSEC pystyy myös estämään havaitsemiaan hyökkäyksiä sulkemalla hyökkääjältä verkkoyhteydet.

Ehkä suurimpana itseäni kiinnostavana ominaisuutena uudessa versiossa on prosessien valvonta. Vaikka mikään yleinen valvontajärjestelmä OSSEC ei ole, eikä siitä sellaista ole tulossakaan, ei kaikkea tietoturvan kannalta olennaisia asioita pystytä pelkästään lokeista valvomaan.

ossec_logo

WordPress to syslog

Siinä missä WordPress on loistava blogi/julkaisuväline, on OSSEC vähintään yhtä mahtava ohjelmisto hyökkäyksien havainnointiin (HIDS) ja lokien parsimiseen. Molemmat tietysti vapaan lähdekoodin ohjelmia.

ossec_logo

Nyt WordPressiin on tehty wpsyslog2-plugin, jonka avulla WordPress saadaan kirjoittamaan tapahtumistaan tietoa syslogiin, ja sitä kautta OSSEC pystyy valvomaan myös WordPressin tapahtumia.

Ossec HIDS

Ossec logo
Ossec on laajasti mielenkiintoa herättänyt open-source HIDS/HIPS (hyökkäyksien havainnonti- ja/tai torjumisjärjestelmä) *nix ja Windows käyttöjärjestelmille. Kyseisellä ohjelmistolla voidaan havainnoida sekä tiedostojärjestelmän muutoksia, että poimia lokitiedostoista normaalista poikkeavia tapahtumia ja hälyttää niistä ylläpitäjää.

Olen itse käyttänyt ja seurannut tuotteen kehittymistä jo jonkin aikaa. Seuraava iso askel kehityksessä otetaan versiossa 1.6, kun mukaan tulee nyt testivaiheessa olevat CIS-bencmark testit. Näiden testien avulla ossec osaa auditoida myös järjestelmän konfiguraatiota CIS:n (Center for Internet Security) laatimen hyvien käytäntöjen tarkastuslistoja vastaan.

Esimerkkinä CIS-auditoinnista sain huomautuksen siitä, ettei tietyt hakemistot ole erillisillä osioilla. Selittelynä todettakoon että käyttämäni virtualserver-toimittaja ei anna kuin yhden osion mitä käyttää.

[INFO]: Starting rootcheck scan.
[OK]: No presence of public rootkits detected. Analyzed 270 files.
[OK]: No binaries with any trojan detected. Analyzed 79 files.
[INFO]: System Audit: CIS - 
Testing against the CIS Debian Linux Benchmark v1.0. File: /proc/sys/kernel/ostype. 
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
[INFO]: System Audit: CIS - Debian Linux 1.4 Robust partition scheme 
/tmp is not on its own partition. File: /etc/fstab. 
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
....