本期特邀《Linux企业应用案例精解》一书作者李晨光老师,针对开源信息安全系统OSSIM在企业中的应用的问题给予解答,欢迎网友积极提问,与专家一起讨论!
查看本期门诊精彩实录:http://doctor.51cto.com/develop-256.html
精选本期网友提问与专家解答,以供网友学习参考。
Q:李老师,您好,对 OSSIM不是很了解,能够麻烦您用简洁的语言描述一下什么是 OSSIM,有什么功能,什么特点,正对其他相关同性质的软件有何优势?如何学习 OSSIM?
A:在以前的讨论中我讲过ossim是开源安全信息系统,它基于debian linux系统之上集成了众多开源安全管理监控工具(Snort,Nmap,Nessus,Ntop,Nagiso,Openvas,Ocs等开源系统安全软件,集众多安全软件之所长集成在一个系统中,他类似BackTrack 继承了大量网络安全检测工具,但也有区别,拿BT4来说,它是一个LiveCD的系统可以通过光盘&U盘直接引导并使用。这里我们讲的ossim系统是必须安装配置调试才能使用。从windows系统管理方向转向linux的朋友,普遍会认为linux平台下一大堆的shell命令参数编程脚本,不容易掌握,ossim是在debian linux系统之上的安全系统除了原有特性之外,还要具备网络安全(例如入侵检测,安全审计,安全漏洞,渗透测试等方面)、加解密等技能。具有上述这些知识技能在部署ossim会得心应手,稍差一点,也可以边干边学,只要用心去做事就能学成。
Q:李老师你好,请问ossim这个软件能否部署在大型互联网公司中?由于互联网行业的特点,所有的服务都是对外网开放的,用户都是未知用户,服务器,数据库等需求也都比较庞大,还有就是要求必须7*24小时在线,所以和企业网络还是有很大区别的。在这种环境中,网络安全是非常重要的环节,那么,除了产品及网站代码层面的安全以外,其他方面的安全ossim是否可以扮演一个重要的角色呢?
A:根据你介绍的情况,OSSIM完全可以胜任,可以监控机房的Web服务器,数据库服务器,能保存检测日志以备查询。匿名访问站点,但访问的IP范围是可以被定为的。你的需求和企业机房的管理还是有差别,这种大量的web访问,对ossim来说没有问题,他不但可以对高层协议的数据流进行解码,还能通过调整过滤器,查出问题,这对操作者的经验有很大关系。如果对ossim感到陌生那么就无法在你们的系统里使用,更不用说是重要角色。
Q:老师您好,想问下OSSIM对DDOS攻击防御的效果如何?我想问的主要是 大的流量攻击(肉鸡被黑客利用),还有一种是异常分片的报文攻击~~还有他的检测是不是攻击的机制是什么?例如我们常见的Land,Winnuke,teardrop等,这些是已知的攻击类型,如果是一些未知的攻击类型,能防御的住不?
A:前面我为大家介绍过ossim他的组成,其中一个总要组件就是snort,他能轻松完成例如DDOS攻击,缓冲区溢出,端口扫描,CGI攻击等网络异常活动,当然他也有不够完美的地方,那就是snort在应对IP碎片时有他天生的不足,一些攻击者会利用上述特点,将流量进行分片后发往目标,那是因为Snort与Server本身的Tcp/Ip的堆栈对数据包的处理方式的差异造成,从而导致目标主机因处理过多的Ip碎片而能力耗尽。怎么办呢?我们可以通过Frage,和防火墙上配置ACL,具体过程请参见《Linux企业应用案例精解》第七章部署IDS案例分析。至于防御未知攻击的问题,我想是这样,我们看看当前所有杀毒软件基本上都是依赖于病毒特征码判断的技术,而要知道防御的发展总是慢于武器的开发,对于ossim而言虽然他能调整规则,但是有时候会出现误报,也就是说并不能完全防御。
Q:如何在Linux系统上部署一个全网络的网络设备、服务器的日志集中管理系统,实现日志存储、日志分类、分主机日志查看、严重高危日志提醒等功能?
A:我们总是希望电脑没有病毒该多好,有没有杀遍天下所有病毒的软件,其实这种想法是好的,但实际不存在。linux系统不是万能的,最为管理员首先要再不依托第三方软件的情况下知道默认的日志文件在什么地方,例如/var/log/下面存放着那些系统和网络服务的日志。一些开源工具例如Logcheck,Logwatch用来分析日志文件,过滤出有潜在安全风险的日志项目,然后以email通知指用户,当然linux平台下也有你所指集中控制管理存储,分析的商业软件例如,ManageEngine EventLog Analyzer,它是一个基于Web技术、实时的事件监控管理解决方案,能够提高企业网络安全、减少工作站和服务器的宕机事件。EventLog采用无代理的结构从分布式主机上收集事件日志,也可以从Linux/UNIX 主机、路由器、交换机及其它网络设备上收集日志,并且生成图形化报表 ,以便帮助分析提高网络性能。
Q:你好,李老师!请问下OSSIM建立起集中的监控、管理平台,是一站式的服务,那么相对之前的监控应用软件cacti和nagios它的综合优势是怎样的?又是如何做到把内部信息泄露的风险降到最低?另外在智能化这块能达到一个怎样的效果?
A:Ossim之所以能达到一站是服务的效果,就是因为它将一些安全、监控、审计、漏扫软件有机的整合到一个开放式的体系结构中,使用各种嗅探器和监控器产生的告警信息进行格式化集中存储处理,这样提高了告警的准确度。单独的nagios也好,cacti也好,他们都只能单一的统计流量并告警的功能,在服务器(或网络设备)再次有问题了还是会周而复始的告警提示,并不具备对结果的智能化的分析过程。而Ossim系统采用了事件序列关联算法和启发式算法使得它的事件数据库(EDB)能够保存各个探测器才加的每一单独时间,所以这一数据库会非常庞大,此外它拥有一个自己不段学习的知识库和档案库存放着系统了解到当前网络的各项参数和安全策略。如果说Ossim系统是一艘航母,那么单纯的nagios功能与其相比只能说是一艘炮艇。目前由于公司内部泄密原因多样化、泄密手段专业化让人防不胜防,总体而言大致分为内部主动泄密、无意泄密、恶意窃取三种针对这一情况,它可以采用登录认证、通信加密、数据库加密等措施尽量保障信息不被轻易窃取,但无法完全避免。要想实现真正意义的内部信息防泄露还需要其他的第三方软件的支持,和公司管理制度上的制约。
Q:老师你好!我想问一下现在我们公司用的cacti+nagios的监控系统但是每周出报表的时候都只能截图。虽然截图是比较直观,但是感觉上没一个实质数据出来的报表没多大价值!如果用他本身导出来的表格的话数据非常乱,OSSIM有没有一个监控报表插件,还有就是在跨平台上的做的怎样呢。感谢老师回答!
A:OSSIM能生成非常详细报表,更具SIEM 能生成有关Attack Host,Used Port,Alarm Report的Top 10记录同时可以选择时间范围,最后能以pdf,rtf,email的方式通知你。因为他是基于b/s的架构,对于跨平台没有问题。
