Ossec
OSSEC سامانهای جهت تشخیص نفوذ مبتنی بر سیستم میزبان (HIDS) است. این نرمافزار آزاد و متنباز است. همچنین دارای قابلیتهایی نظیر تحلیل لاگ (Log Analysis)، صحهگذاری بر یکپارچگی (Integrity Checking)، پایش رجیستری ویندوز، کشف و شناسایی روتکیتها، هشدار دهی مبتنی بر زمان و پاسخدهی فعال (Active Response) میباشد. قابلیت HIDS را برای بسیاری از سیستمها عامل نظیر لینوکس، اوپنبیاسدی، فریبیاسدی، اواس ده، سولاریس (سیستمعامل) و مایکروسافت ویندوز مهیا ساخته است. OSSEC با بهره بردن از مرکز کنترل متمرکز و معماری cross-platform توانایی مدیریت تعداد بالایی از سیستمهای تحت کنترل خود را دارا میباشد.
تاریخچه
جزو ضرورتهای استاندارد PCI_DSS) Payment Card Industry Data Security Standard) میباشد. آخرین نسخهٔ مورد اعتماد: ۲٫۸٫۳ مورخ ۵ نوامبر ۲۰۱۵
اجزای تشکیل دهنده سامانه OSSEC
سامانهٔ OSSEC شامل یک نسخهٔ سرور (برنامهٔ کاربردی اصلی) و یک نسخهٔ Agent مخصوص سیستم عامل ویندوز میباشد. در نسخهٔ سرور امکان استفاده از کنسول تحت وب جهت مدیریت برنامهٔ کاربردی وجود دارد.
- برنامهٔ کاربردی اصلی OSSEC، که جهت نصب متمرکز یا پراکنده نیاز میباشد. سیستم عاملهای پشتیبانی کننده عبارتند از Linux, Solaris, BSD, Mac.
- Windows Agent، مخصوص محیطهای مایکروسافت ویندوز میباشد. نیاز به نصب نسخهٔ برنامهٔ کاربردی به عنوان سرور مدیریت میباشد. سپس نسخهٔ Agent را روی سیستمها نصب میکنیم. (نیازمند Authentication Key میباشد)
- نمایه تحت وب (web Interface)، که به عنوان یک ابزار کاربردی مجزا محیط گرافیکی برای کاربر فراهم میکند.
توانمندیها
سامانهٔ OSSEC دارای هستهای برای تحلیل (Analysis Engine) میباشد، که امکان مرتبط سازی (Correlate) و تحلیل و بررسی لاگها را فراهم میکند. سامانههای تحت پوشش تا این تاریخ:
- یونیکس-only: Unix PAM, sshd (اوپناساساچ), سولاریس (سیستمعامل) تلنت، سامبا (نرمافزار), Su, and Sudo
- FTP servers: ProFTPd, Pure-FTPd, دیمن افتیپی بسیار امن، سرویسهای اطلاعات اینترنتی، and Solaris ftpd
- Mail servers: قرارداد پیامگزینی and pop3d, پستفیکس، سندمیل، vpopmail, and مایکروسافت اکسچنج سرور
- Databases: پستگرسکیوال and مایاسکیوال
- Web servers: وبسرور آپاچی (access log and error log), IIS web server (NSCA and W3C extended), and Zeus Web Server errors log
- Web applications: Horde IMP , SquirrelMail, and Modsecurity
- Firewalls: Iptables firewall, Solaris آیپیفیلتر firewall, AIX ipsec/firewall, Netscreen firewall, دیوارآتش ویندوز، Cisco PIX, Cisco FWSM, and Cisco ASA
- NIDS: Cisco IOS IDS/IPS module, and اسنورت IDS (full, fast, and syslog)
- Security tools: ضدویروس نورتون، انمپ، Arpwatch, and سیسکو سیستمز VPN Concentrator
- Others: Named (بایند), اسکوئید (نرمافزار) proxy, Zeus eXtensible Traffic Manager (now Riverbed Stingray Traffic Manager)
- Windows event logs (logins, logouts, audit information, etc.)
- Windows Routing and Remote Access logs
- Generic Unix authentication (adduser, logins, etc.)
سایر
سامانهٔ ossec hids در سامانهٔ USM AlienVault نیز مورد بهره براری قرار گرفته است.