lss-pubdoc-2011-03-013

OSSIM - Open Source Security Information Management

LSS-PUBDOC-2011-03-013

OSSIM Open Source Security Information Management

LSS-PUBDOC-2011-03-013 Revizija 1.02 Stranica 2 od 25

Prava koritenja

Ovaj dokument smijete: Dijeliti - umnoavati, distribuirati i priopavati javnosti, Remiksirati - preraivati djelo

pod slijedeim uvjetima: Imenovanje - Morate priznati i oznaiti autorstvo djela na nain da bude nedvojbeno da mu je autor

Laboratorij za sustave i signale, Fakulteta elektrotehnike i raunarstva, Sveuilita u Zagrebu. To morate napraviti na nain koji ne sugerira da Vi ili Vae koritenje njegova djela imate izravnu podrku LSSa.

Nekomercijalno - Ovo djelo ne smijete naplaivati ili na bilo koji nain koristiti u komercijalne svrhe. Dijeli pod istim uvjetima - Ako ovo djelo izmijenite, preoblikujete ili koristei ga stvarate novo djelo,

preradu moete distribuirati samo pod licencom koja je ista ili slina ovoj i pri tome morate oznaiti izvorno autorstvo Laboratorija za sustave i signale, Fakulteta elektrotehnike i raunarstva, Sveuilita u Zagrebu.

Detalji licence dostupni su na: http://creativecommons.org/licenses/by-nc-sa/3.0/hr/legalcode

Upozorenje Podaci, informacije, tvrdnje i stavovi navedeni u ovom dokumentu nastali su dobrom namjerom i dobrom voljom te profesionalnim radom LSS-ovih strunjaka, a temelje se na njihovom znanju i petnaestak godina iskustva u radu u informacijskoj sigurnosti. Namjera je da budu toni, precizni, aktualni, potpuni i nepristrani. Ipak, oni su dani samo kao izvor informacija i LSS ne snosi nikakvu izravnu ili posrednu odgovornost za bilo kakve posljedice nastale koritenjem podataka iz ovog dokumenta. Ukoliko primijetite bilo kakve netonosti, krive podatke ili pogreke u ovom dokumentu, ili imate potrebu komentirati sadraj molimo Vas da to javite elektronikom potom na adresu [email protected].

O LSS-u LSS (Laboratorij za sustave i signale) je kolijevka u kojoj se 1991. godine rodila ideja o hrvatskom Internetu. Prvi ljudski resursi tima koji je doveo Internet u Hrvatsku dolazili su upravo iz LSS-a [www.LSS.hr]. Jo u ranoj razvojnoj fazi CARNet-a (eng. Croatian Academic and Research Network) i Interneta u Hrvatskoj, oni su bili izloeni brojnim napadima. Najvei se, meutim, dogodio 1995. godine. Ovaj dogaaj smatra se roenjem raunalne sigurnosti u Hrvatskoj. Sve do dananjega dana, LSS [security.LSS.hr] je educirao brojne sigurnosne strunjake i timove. Budui da je dio zagrebakog Sveuilita, LSS smatra svojom dunou iriti znanje i informacije iz podruja informacijske sigurnosti i time doprinositi sigurnosti informacijskih sustava na nacionalnoj i globalnoj razini. LSS je pomogao u osnivanju nacionalnog centra za informacijsku sigurnost CARNet CERT-a i aktivno snabdijeva javnost s najnovijim informacijama o sigurnosnim ranjivostima, dogaajima i alatima. Tonije, LSS donosi:

sigurnosne preporuke na dnevnoj bazi recenzije sigurnosnih alata na mjesenoj bazi dokumente o sigurnosnim temama na mjesenoj bazi servis za automatsko otkrivanje lanih poruka elektronike pote (eng. hoax)

Osim akademskih, LSS takoer prua i komercijalne usluge klijentima sa podruja akademskih zajednica, vladinih i nevladinih te komercijalnih organizacija. LSS prua usluge:

upravljanja sigurnou provjere sigurnosti zatite informacijskih sustava rjeavanja sigurnosnih incidenata edukacije.



Sadraj 1. UVOD .................................................................................................................................................. 4 2. DEFINICIJA I RAZVOJ ....................................................................................................................... 5

2.1. OSSIM ........................................................................................................................................... 5 2.2. RAZVOJ ........................................................................................................................................... 5

3. ALATI .................................................................................................................................................. 6 3.1. ARPWATCH ...................................................................................................................................... 7 3.2. P0F ................................................................................................................................................. 8 3.3. PADS ............................................................................................................................................. 8 3.4. OPENVAS ....................................................................................................................................... 8 3.5. SNORT ............................................................................................................................................ 9 3.6. SPADE ........................................................................................................................................ 10 3.7. TCPTRACK ..................................................................................................................................... 10 3.8. NTOP ............................................................................................................................................. 10 3.9. NAGIOS ......................................................................................................................................... 11 3.10. OSIRIS ........................................................................................................................................ 12 3.11. SNARE ........................................................................................................................................ 12 3.12. OSSEC ...................................................................................................................................... 13 3.13. PRINCIP RADA OSSIM ALATA ....................................................................................................... 14

3.13.1. Metode detekcije temeljene na prepoznavanju uzoraka .................................................15 3.13.2. Metode detekcije temeljene na otkrivanju anomalija u radu ...........................................15 3.13.3. Centralizacija i normalizacija ...........................................................................................15 3.13.4. Prioritiziranje ....................................................................................................................16 3.13.5. Procjena rizika .................................................................................................................16 3.13.6. Korelacija .........................................................................................................................17 3.13.7. Mehanizmi nadgledanja ...................................................................................................17 3.13.8. Forenzika konzola ..........................................................................................................18 3.13.9. Upravljaka ploa ............................................................................................................19

3.14. OPENITA ARHITEKTURA .............................................................................................................. 20 3.15. ARHITEKTURA DISTRIBUCIJE ......................................................................................................... 22

3.15.1. Jezgra ..............................................................................................................................22 3.15.2. Programski dodaci ...........................................................................................................23

4. BUDUNOST .................................................................................................................................... 24 5. ZAKLJUAK ..................................................................................................................................... 24 6. REFERENCE .................................................................................................................................... 25



1. Uvod Danas je na tritu dostupan velik broj raznovrsnih alata koji pomau administratorima u ouvanju sigurnosti raunalnih sustava. Neki od dostupnih alata besplatni su i otvorenog koda, dok su neki komercijalni. Neki alati su pak robusni i prilino sloeni, dok su drugi jednostavni i lagani za koritenje. Niz alata koristi se za analizu rada samog sustava, dio njih slui za prevenciju napada i otkrivanje upada u sustave, a ostali se koriste za korektivne radnje nakon sigurnosnih incidenata. Upravo zbog raznovrsnosti ponuenih alata administratori esto imaju sloenu zadau odabira skupa alata koji e na najbolji nain tititi njihov sustav. Raznovrsnost i nepovezanost dostupnih sigurnosnih alata oituje se i kod obrade niza informacija koje oni u svom radu pruaju. Naime, svaki od alata na ovaj ili onaj nain generira specifine izvjetaje, ovisno o svojoj funkcionalnosti. Velik broj takvih izvjetaja vezan je uz otkrivanje sumnjivih aktivnosti, procesa i dogaaja u sustavu na kojem su pokrenuti. Ovdje se pak javlja velik broj lanih upozorenja (eng. false positive) i zanemarenih prijetnji (eng. false negative). Openito, velik je broj informacija o radu sustava koje tako nastaju, a upitna je njihova pouzdanost. Kvalitetnu analizu dobivenih izvjetaja esto je zbog njihove koliine, raznovrsnosti i nepouzdanosti teko provesti. Kako bi se olakao posao administratora raunalnih sustava, osmiljen je OSSIM (eng. Open Source Security Information Management). Rije je o besplatnoj distribuciji alata otvorenog koda namijenjenih administraciji mrenih i raunalnih sustava, njihovoj zatiti te uoavanju i prevenciji zlonamjernih napada. Ideja OSSIM-a je integracija razliitih alata u jedinstven sustav koji prua irok spektar funkcionalnosti vezanih uz administraciju i zatitu raunalnih sustava. Samim administratorima eli se pruiti centralizirano, uinkovito i pregledno okruenje koje e im omoguiti temeljito upravljanje svim aspektima administracije raunalnih sustava. Ona ukljuuje detaljne analize i praenje njihova ponaanja, rangiranje i prioritiziranje eventualnih prijetnji te brzo poduzimanje uinkovitih korektivnih radnji. U ovom dokumentu predstavljen je skup alata OSSIM. U prvom poglavlju objanjeni su razlozi zbog kojih je dolo do razvoja samog alata te je dan kratak pregled razvoja. U drugom poglavlju opisani su programski alati od kojih se OSSIM sastoji. Tree poglavlje donosi opis mehanizma na kojem se temelji rad cjelokupnog sustava. Dodatno, ovo poglavlje bavi se i brojnim programskim dodacima za OSSIM. Posljednje poglavlje vezano je uz budue trendove u razvoju sustava.



2. Definicija i razvoj 2.1. OSSIM Kao to je ve spomenuto u uvodu, OSSIM je besplatna distribucija integriranih alata otvorenog koda razvijena s ciljem da prui uinkovito i centralizirano okruenje za administraciju i zatitu raunalnih sustava. Njegovim razvojem eli se pruiti jedinstveno okruenje koje e centralizirati, organizirati te unaprijediti otkrivanje i prikaz sigurnosnih podataka na pojedinim raunalnim sustavima. Samim time, olakat e se posao administratora raunalnih sustava i omoguiti uinkovitija zatita pojedinih raunala. OSSIM se sastoji od sljedeih elemenata:

upravljaka ploa namijenjena prikazu podataka na visokoj razini apstrakcije, komponente za praenje rizika od pojedinih sigurnosnih incidenata i sumnjivih aktivnosti

koje omoguuju nadgledanje sustava na srednjoj razini apstrakcije te forenzika konzola i komponente za praenje mrene aktivnosti namijenjene nadgledanju

podataka na vrlo niskoj razini apstrakcije. Cilj integracije postojeih, provjerenih sigurnosnih alata u kompaktnu cjelinu kao to je OSSIM, ujedno je i poveanje osjetljivosti te smanjenje nepouzdanosti sigurnosnih izvjetaja o radu sustava. OSSIM to postie kroz sljedee funkcionalnosti:

meusobna suradnja specijaliziranih alata, prioritiziranje u postupku otkrivanja sumnjivih aktivnosti te prediktivnih i korektivnih radnji

poduzetih od samog sustava te procjena rizika od sigurnosnih incidenata koji nastaju kao posljedica sumnjivih aktivnosti.

OSSIM distribucija sastoji se od poznatih i provjerenih sigurnosnih alata koji unose funkcionalnosti kao to su:

otkrivanje upada u sustav (eng. Intrusion Detection System, IDS) na temelju prepoznavanja uzoraka,

otkrivanje anomalija u radu sustava, vatrozidi te nadgledanje rada i performansi sustava.

Vie informacija o konkretnim alatima koji su ugraeni u OSSIM distribuciju nalazi se u nastavku dokumenta. Uz opisane funkcionalnosti, OSSIM donosi i administrativni alat koji upravlja postavkama pojedinih modula, alata i programskih dodataka od kojih je graena cjelokupna distribucija te organizira njihov zajedniki rad. Tako je omogueno uspjeno povezivanje raznovrsnih specifinih alata i njihovih funkcionalnosti u kompaktnu cjelinu.

2.2. Razvoj Tvrtka AlienVault razvila je, i 10. srpnja 2009. godinem objavila prvu slubenu inaicu OSSIM distribucije. AlienVault je poznata tvrtka sa sjeditem u Silicijskoj dolini (eng. Sillicon Valley) koja se bavi razvojem besplatnih i komercijalnih SIEM (eng. Security Information and Event Management) rjeenja. Slika 1. prikazuje logo tvrtke AlienVault.

Slika 1. Logo tvrtke AlienVault Izvor: AlienVault

OSSIM je razvijen zbog potrebe da se postojei korisni sigurnosni alati, od kojih svaki za sebe prua djeli korisnih informacija o stanju nadgledanog sustava, poveu u integrirani sustav koji e



pruati globalnu sliku stanja cijelog sustava. Na taj nain e administratorima raunalnih sustava biti olakan posao, kako u pogledu administriranja sustava, tako i po pitanju njegove zatite i otkrivanja neovlatenih upada. Osim toga, cilj je bio napraviti alat koji e na jednom, centraliziranom mjestu u raunalnoj mrei, upravljati sigurnou svih njenih udaljenih komponenata [1]. Povezujui dvije navedene pretpostavke elio se izbjei klasian scenarij koji se do tada javljao u poslovnim i ostalim raunalnim mreama. Naime, vrlo je est sluaj u kojem je, po pojavi odreenog sigurnosnog incidenta, koji zbog oteanog naina administriranja sustava nije bio uoen na vrijeme, dolo do neovlatenog upada u sustav. Sve skupa je esto rezultiralo ozbiljnim posljedicama. Takav upad bi se lake mogao sprijeiti uporabom alata kao to je OSSIM [1]. Danas je aktualna inaica 2.3.1, koja se moe preuzeti s razvojnih stranica alata (http://sourceforge.net/projects/os-sim/). Distribucija je namijenjena radu na operacijskim sustavima Unix. OSSIM je objavljen pod GPL licencom (eng. GNU General Public License). To znai da je sav njegov kod otvoren i dostupan razvojnoj zajednici radi dodatnih modifikacija ili rada na nadogradnji alata. Upravo zato je vrlo velika uloga programerske zajednice u razvoju samog alata. Jedan od ciljeva njegova razvoja bio je iskoristiti postojea dostupna rjeenja otvorenog koda i povezati ih u svima dostupnu integriranu cjelinu. Sav kod je, izmeu ostalog, dostupan na ve navedenoj internetskoj stranici. Rad na nadogradnji alata sastoji se od aktivnosti na unaprijeeniju alata i modula koji ulaze u osnovnu OSSIM distribuciju te na razvoju raznovrsnih dodatnih funkcionalnosti preko specifinih programskih dodataka (eng. plugin). Vie o tome nalazi se u sljedeim poglavljima. to se matine kompanije tie, AlienVault je nastavio s podrkom u razvoju ovog projekta, no sa slabijim intenzitetom nego to je to bilo nedugo po objavi alata. Tvrtka se danas okrenula razvoju monijih, komercijalnih inaica ovog alata.

3. Alati Osnovna OSSIM distribucija sastoji se od sljedeih poznatijih alata:

Arpwatch, p0f, PADS, OpenVAS, Snort, SPADE, Tcptrack, ntop, Nagios, Osiris, Snare, OSSEC te OSSIM alati za integraciju, korelaciju i upravljanje programskim dodacima.

Navedeni alati integrirani u jedinstven sustav, pruaju irok spektar funkcionalnosti. Neke od znaajnijih su:

otkrivanje anomalija MAC (eng. Media Access Control) adresa, otkrivanje operacijskog sustava na pojedinom raunalu, otkrivanje anomalija u radu usluga, procjena ranjivosti sustava, otkrivanje neovlatenih upada u sustav, statistiko otkrivanje nepravilnosti mrenih paketa, pregled podataka o uspostavljenim sjednicama, izgradnja baze s podacima o uobiajenim aktivnostima sustava i njegovih korisnika te

otkrivanje sumnjivog ponaanja, pregled informacija o dostupnosti pojedinih usluga,



prikupljanje zapisa o ponaanju korisnika na operacijskim sustavima Windows (premda valja naglasiti kako je OSSIM namijenjen administraciji i zatiti svih popularnih operacijskih sustava),

meusobna usporedba izvjetaja i rezultata te pregledan i centraliziran prikaz pojedinih informacija o stanju sustava.

Slijedi kratak opis svakog od navedenih programskih alata.

3.1. Arpwatch Arpwatch je programski alat namijenjen praenju paketa koji se razmjenjuju protokolom ARP (eng. Address Resolution Protocol). Razvio ga je odjel za mrena istraivanja organizacije Lawrence Berkeley National Laboratory. Objavljen je pod BSD (eng. Berkeley Software Distribution) licencom te je otvorenog koda. Arpwatch prati rad mrenih suelja u lokalnim mreama prema Ethernet standardu. Pritom gradi i odrava bazu podataka u koju pohranjuje sve parove MAC i IP (eng. Internet Protocol) adresa te vremenske oznake trenutka kada je pojedino sparivanje uoeno. Doe li do sumnjivih promjena upisanih parova, elektronikom potom se obavjetava administrator. Mreni administratori ovaj alat koriste prvenstveno kako bi uoili tzv. ARP spoofing napade . Rije je o napadima koji stvore lano preslikavanje IP i MAC adresa ime dolazi do preusmjeravanja prometa poslanog drugim sustavima, najee prema raunalima napadaa. Slika 2. prikazuje obavijest koja se elektronikom potom alje administratoru u sluaju pojave sumnjive promjene para IP i MAC adresa na sustavu s pokrenutim alatom Arpwatch [6].

Slika 2. Obavijest alata Arpwatch o sumnjivoj promjeni para IP i MAC adresa Izvor: tournasdimitrios1.wordpress



3.2. p0f OSSIM distribucija sadri i svestran programski alat za otkrivanje operacijskog sustava na nekom raunalu u mrei. Njegovo ime je p0f. Alat je razvio Michael Zalewski i namijenjen je radu na operacijskim sustavima Linux i Windows. Alat moe prepoznati operacijski sustav na raunalu:

s kojim je ve uspostavljena TCP (eng. Transmission Control Protocol) veza, s kojim se uspostavlja TCP veza, s kojim uspostava TCP veze nije uspjela, koje pokuava uspostaviti TCP vezu s raunalom na kojem je alat pokrenut te koje komunicira s nekim drugim raunalom preko TCP veze koja prolazi kroz raunalo na

kojem je pokrenut alat. Dodatno, p0f moe provjeravati i:

udaljenost od raunala na kojem se prepoznaje operacijski sustav te njegovo vrijeme rada (eng. uptime),

prisutnost vatrozida te prikljuak tog raunala na mreu i njegovog pruatelja internetske usluge (eng. Internet

Service Provider, ISP). Po svom se pasivnom nainu rada p0f razlikuje od ostalih alata za prepoznavanje operacijskih sustava. On oslukuje mreni promet bez stvaranja novih, dodatnih paketa. Operacijski sustav odreuje se na temelju analize odreenih polja paketa koji se prihvaaju. Analizirane vrijednosti usporeuju se s potpisima pojedinih operacijskih sustava. Zbog takvog naina rada, udaljeni sustav nije u mogunosti otkriti djelovanje spomenutog alata. Sam alat nema grafiko korisniko suelje, ve se koristi iz komandne linije [7].

3.3. PADS Programski alat PADS (eng. Passive Asset Detection System) je kombinacija programa za oslukivanje mrenog prometa i sustava za otkrivanje mrenih upada temeljenih na nizu unaprijed odreenih pravila. Izradio ga je Matt Shelton i trenutano je aktualna inaica 1.2. Koristi se za oslukivanje mrenog prometa te pruanje auriranih podataka o raunalima u mrei i uslugama koje su na njima pokrenute. Praenjem ovih parametara moe se uoiti prisutnost eventualnih sumnjivih usluga. Alat takoer radi pasivno, bez stvaranja dodatnih paketa te je njegov rad gotovo nemogue primijetiti na ostalim raunalima u mrei [5].

3.4. OpenVAS OpenVAS je jedan od najpopularnijih alata dananjice koji se koristi za skeniranje ranjivosti na udaljenim raunalima. Nastao je kao nasljednik programskog paketa Nessus, u trenutku kada je Nessus postao komeracijalan. OpenVAS je alat otvorenog koda izraen pod GPL licencom. Koristi se za analizu ranjivosti udaljenog raunala skeniranjem njegovih prikljuaka. Ako pronae otvorene prikljuke, pokree daljnje radnje kako bi testirao otpornost sustava na neke od standardnih napada zlonamjernih korisnika. to se osnovnih funkcionalnosti tie, OpenVAS moe sljedee:

odrediti ranjivosti koje udaljenim napadaima mogu omoguiti pristup osjetljivim podacima,

pronai pogrene postavke pojedinih usluga, otkriti nepromijenjene podrazumijevane lozinke, iskoristiti programski alat Hydra za pokretanje napada rjenikom (napad koji pokuava

pogoditi korisniku lozinku usporedbom s unaprijed pohranjenim kombinacijama znakova) kako bi testirao sigurnost postavljenih lozinki te

pokrenuti napad uskraivanja usluge posebno oblikovanim paketima kako bi testirao otpornost skeniranog sustava na takve vrste napada.



Slika 3. pokazuje primjer izvjetaja programskog alata OpenVAS nakon uspjeno provedenog skeniranju udaljenog raunala.[8]

Slika 3. Primjer izvjetaja stvorenog programskim alatom Nessus Izvor: Openvas.org

3.5. Snort Snort je besplatan programski alat otvorenog koda namijenjen otkrivanju i sprjeavanju upada u mrene sustave. Prvu inaicu ovog alata razvio je Martin Roesch 1998. godine. Danas se o razvoju ovog alata brine tvrtka Sourcefire kojoj je Roesch osniva. Rad alata temelji se na mogunosti izvoenja analize mrenog prometa i stvaranja odgovarajuih zapisa u stvarnom vremenu. Snort moe obavljati analizu rada pojedinih mrenih protokola i pretragu za odreenim sadrajem te provoditi usklaivanje odabranih sadraja. Isto tako, moe se koristiti i za otkrivanje pokuaja skeniranja sustava koji titi, zlonamjernih napada na sam sustav, pokuaja otkrivanja operacijskog sustava, prepisivanja meuspremnika itd. Snort se moe podesiti da radi u jednom od tri osnovna naina:

njukanje mrenog prometa (eng. sniffer), zapisivanje podataka o mrenim paketima (eng. packet logger) te otkrivanje upada u mreni sustav (eng. intrusion detection).

Kada radi u prvom nainu (njukanje mrenog prometa), alat presree mrene pakete, analizira ih i prikazuje odgovarajue informacije u konzoli. Za analizu mrenih paketa te zapisivanje tako dobivenih podataka sve potrebne informacije zapisuju se u posebne datoteke na disku. Napokon, kada alat radi kao sustav za otkrivanje upada u mreu, pratit e mreni promet i usporeivati ga s nizom pravila koje je postavio administrator. Ovisno o prepoznatoj aktivnosti provode se odgovarajue akcije [9]. Sljedea slika prikazuje korisniko suelje OSSIM alata s dijelom u kojem se koristi Snort.



Slika 4. Snort unutar OSSIM alata Izvor: AlienVault

3.6. SPADE SPADE (eng. Statistical Packet Anomaly Detection Engine) je programski dodatak namijenjen programskom alatu Snort. Snort koritenjem SPADE dodatka dobiva mogunost slanja dodatnih, detaljnijihobavijesti po otkrivanju anomalija u promatranim mrenim paketima. Ovaj dodatak koristi se za prikupljanje podataka o zlonamjernim napadima iji se potpisi jo ne nalaze u poznatim bazama podataka. To mu omoguuju posebni mehanizmi statistike analize mrenih paketa te posebni oblici heuristikih algoritama.

3.7. Tcptrack U osnovnu OSSIM distribuciju spada i programski alat Tcptrack. Namijenjen je analizi mrenog prometa vezanog uz TCP veze pronaene na mrenom suelju raunala na kojem je pokrenut. Alat na pasivan nain promatra veze na mrenom suelju, prati njihova stanja i na pregledan nain u konzoli prikazuje osnovne podatke o njima. Slika 5. daje primjer podataka koje Tcptrack ispisuje.[10]

Slika 5. Podaci o TCP vezama dobiveni programskim alatom Tcptrack Izvor: Tech Tutorial

3.8. ntop Ntop je programski alat namijenjen ispitivanju mrenog prometa. On na pregledan nain prikazuje podatke o zauzeu mrenih resursa. Ovaj besplatan alat otvorenog koda osmislio je i implementirao Luca Deri. Alat moe raditi na dva naina. Prvi je interaktivni nain rada u kojem se na korisnikom terminalu ispisuju podaci o stanju mrenih resursa. Drugi nain je onaj u kojem alat djeluje kao web posluitelj koji podatke o zauzeu mrenih resursa prikuplja i sprema u HTML formatu [11]. Sljedea slika daje primjer uporabe alata ntop unutar OSSIM-a.



Slika 6. Uporaba alata ntop u OSSIM-u Izvor: AlienVault

3.9. Nagios OSSIM sadri i popularan alat za analizu mrenog prometa Nagios. Radi se o besplatnom alatu otvorenog koda kojeg je izvorno razvio Ethan Galstad 1999. godine. Neke od vanijih funkcionalnosti koje Nagios prua su sljedee:

praenje i analiza mrenih usluga (Simple Mail Transfer Protocol SMTP, Post Office Protocol POP3, Hypertext Transfer Protocol HTTP, Network News Transfer Protocol NNTP, Internet Control Message Protocol ICMP, Simple Network Management Protocol SNMP, File Transfer Protocol FTP, Secure Shell SSH),

nadgledanje procesa i resursa na raunalu na kojem je pokrenut alat, nadgledanje ostalih sumnjivih aktivnosti, nadgledanje pomou posebnih skripti pokrenutih s udaljenih raunala (eng. remotely-run

scripts) preko NRPE (eng. Nagios Remote Plugin Executor) modula, podrka za udaljeno nadgledanje preko protokola SSH i SSL (eng. Security Sockets

Layer), jednostavna nadogradnja sustava programskim dodacima, izrada programskih dodataka za grafiki prikaz podataka o stanju raunalnih i mrenih

resursa,

paralelizirane provjere pokrenutih usluga, uinkovit mehanizam dojave sumnjivih i ostalih aktivnosti (elektronika pota, SMS itd.), mogunost oblikovanja naina na koje e se odreene aktivnosti obraditi s ciljem

stvaranja proaktivnog pristupa u rjeavanju problema te automatsko biljeenje prikupljenih informacija [12].

Sljedea slika prikazuje uporabu alata Nagios u sklopu OSSIM distribucije.



Slika 7. Uporaba alata Nagios unutar OSSIM okruenja Izvor: AlienVault

3.10. Osiris Osiris je jednostavan programski alat koji je prvenstveno namijenjen otkrivanju neovlatenih upada u raunalo na kojem je pokrenut (eng. Host-based Intrusion Detection System, HIDS). Premda je zastupljen u OSSIM distribuciji, veina funkcionalnosti koje obavlja preklapa se s onima programskog alata OSSEC.

3.11. Snare OSSIM distribucija sadri i skupinu programskih agenata otvorenog koda koji se koriste za prikupljanje i biljeenje podataka o radu s raznovrsnih operacijskih sustava. Oni omoguuju centralizirano provoenje sloenih analiza rada meusobno udaljenih, ali povezanih raunala s razliitim operacijskim sustavima. Prva inaica ovog programskog paketa objavljena je 2001. godine. Sami programski agenti unutar OSSIM distribucije slui za prikupljanje podataka i izvjetaja dobivenih nadgledanjem pojedinih sustava te njihovo slanje centralnom posluitelju. Tamo se obavlja pohrana i arhiviranje podataka te, po potrebi, njihova analiza i stvaranje preglednih izvjetaja [13]. Sljedea slika prikazuje mogunost pristupa udaljenom raunalu preko OSSIM okruenja uporabom Snare mehanizama.



Slika 8. Uporaba alata Snare u OSSIM okruenju Izvor: AlienVault

3.12. OSSEC OSSEC je besplatan alat otvorenog koda namijenjen otkrivanju neovlatenih upada u raunalo na kojem je pokrenut. Osmislio ga je i implementirao Daniel B. Cid 2004. godine. Trenutno je aktualna inaica 2.5.1. Rije je o alatu koji provodi detaljnije analize raznovrsnih sigurnosnih izvjetaja i zapisa, provjere integriteta sustava, nadgledanje registara na operacijskom sustavu Windows, otkrivanje rootkitova (zlonamjerni trojanski programi koji mijenjaju postavke operacijskog sustava radi lakeg sakrivanja), pravovremeno alje odgovarajue obavijesti administratoru i omoguuje poduzimanje odgovarajuih akcija. Njegova centralizirana, vieplatformska arhitektura omoguuje uinkovito nadgledanje vie raunala s pokrenutim razliitim operacijskim sustavima. Alat se sastoji od tri osnovne programske komponente koje meusobno komuniciraju kako bi pruile spomenute funkcionalnosti:

glavne aplikacije, Windows agenta te web suelja [14].

Na sljedeoj slici (Slika 9.) moe se vidjeti karakteristian izgled OSSEC web suelja.



Slika 9. Karakteristian izgled OSSEC web suelja Izvor: cdalexander.netArhitektura i nain rada

3.13. Princip rada OSSIM alata Radi boljeg razumijevanja osnovnog principa rada OSSIM distribucije njene funkcionalnosti mogu se podijeliti na devet razina. Slika 10. donosi grafiki prikaz takve podjele.

Slika 10. Arhitektura funkcionalnosti OSSIM distribucije



U nastavku poglavlja slijedi kratak opis svake od spomenutih razina.

3.13.1. Metode detekcije temeljene na prepoznavanju uzoraka Rad OSSIM alata temelji se na postupcima uoavanja sumnjivih aktivnosti u radu sustava (jednostavnije, mehanizmima detekcije). Mehanizam detekcije ine svi alati koji su u stanju u stvarnom vremenu prikupljati podatke o radu sustava (poput mrenih paketa, dogaaja sustava i slinog), obraditi ih i poslati obavijest administratoru ako doe do poklapanja s unaprijed odreenim pravilima ili znaajnijeg odudaranja od njih. Jedan od naina otkrivanja sumnjivih aktivnosti temeljen je na prepoznavanju uzoraka. Uzorci su ovdje potpisi ili pravila koja poblie odreuju svaku pojedinu sumnjivu aktivnost sustava. Najbolji primjer programa koji rade na ovom principu jesu klasini alati za otkrivanje neovlatenih upada u sustav (Snort, Osiris, OSSEC). Na ovaj nain rade i brojni usmjeritelji (eng. router) te vatrozidi. Uz spomenute alate, OSSIM sadri i ugraene detektore za sigurnosne dogaaje unutar pojedinih operacijskih sustava. Takvi detektori imaju vlastite sigurnosne zapise koji se stalno auriraju te mogu slati odgovarajue obavijesti kod otkrivanja sumnjivog ponaanja na razini samog operacijskog sustava [1].

3.13.2. Metode detekcije temeljene na otkrivanju anomalija u radu Ova metoda otkrivanja sumnjivih aktivnosti neto je modernija od one temeljene na prepoznavanju uzoraka. U ovom sluaju program sam uoava uobiajene obrasce ponaanja sustava, a obavijesti se alju u sluaju da to ponaanje u dovoljnoj mjeri odstupi od uobiajenog. Usklaivanjem rada spomenutih (komplementarnih) metoda detekcije postie se vea uinkovitost cjelokupnog mehanizma. Metode detekcije temeljene na otkrivanju anomalija u radu sustava koriste primjerice alati kao to su Arpwatch, PADS, SPADE i Tcptrack. One se esto koriste pri otkrivanju:

napada na granicu zatienog sustava (eng. perimeter attack), novih napada iji potpisi nisu poznati, prisutnosti raznovrsnih crva u sustavu koji uzrokuju masovno stvaranje novih

paketa, stvaranje sumnjivih veza i slino, novih usluga nepoznatog podrijetla, uporabe resursa sustava u udnim vremenima, pojaane uporabe mrenih resursa, promjena u operacijskim sustavima te ostalih oblika nesvakidanjeg ponaanja u sustavu.

Valja naglasiti kako je dodatni cilj obje metode detekcije odravanje razumnog broja obavijesti o radu sustava i sumnjivim aktivnostima. Prevelik broj lanih upozorenja oteat e kasnije analize, a posljedino i poveati vrijeme potrebno za otkrivanje stvarnih prijetnji [1].

3.13.3. Centralizacija i normalizacija Postupci centralizacije i normalizacije koriste se za ujedinjavanje svih sigurnosnih izvjetaja, obavijesti te upozorenja primljenih s kritinih toaka u sustavima koji se nadgledaju. Cilj je dobiti jedinstven format podataka prikazan na centralnoj konzoli. Veina sigurnosnih alata sadri podrku za centralizirano prikupljanje podataka primjenom standardnih protokola. Samim time olakano je prikupljanje takvih podataka. Ipak, oni su esto razliitih formata. Postupak normalizacije koristi se za njihovo pretvaranje u jedinstven format. Normalizacija koristi poseban parser ostvaren tako da prepoznaje formate izvjetaja razliitih detektora koji se koriste i pretvara ih u jedinstven, nov format. Podaci se u takvom formatu pohranjuju u posebnu bazu podataka. Forenzika konzola koja e biti namijenjena njihovom prikazu takoer treba biti ostvarena tako da ih to uinkovitije prikazuje. Uporabom ovih postupaka OSSIM je u mogunosti pruiti jedinstven pregled nad svim sigurnosnim obavijestima, izvjetajima i upozorenjima primljenim u nekom trenutku, bez



obzira na to jesu li oni stigli s nekog usmjeritelja, vatrozida, sustava za otkrivanje neovlatenog upada, programa za otkrivanje anomalija ili pak posluitelja temeljenog na operacijskom sustavu UNIX. Na taj nain dobiva se iznimno sveobuhvatan pogled na dogaaje u sustavu koji omoguuje provedbu detaljnih analiza i uoavanje sloenih prijetnji [1].

3.13.4. Prioritiziranje Prioritet svakog pojedinog sigurnosnog upozorenja ovisi o arhitekturi administriranog sustava. Razlozi su jednostavni i ilustrirani sljedeim primjerima:

a) Ako se na raunalu s operacijskim sustavom UNIX i pokrenutim Apache web posluiteljem pojavi obavijest o napadu na Microsoftov IIS (eng. Internet Information Services), takvom upozorenju treba pridijeliti nizak prioritet.

b) Ako neki korisnik stvori sumnjivu vezu s posluiteljem izvan raunalne mree, OSSIM bi trebao:

pridijeliti upozorenju najvii mogui prioritet ako se radi o udaljenom napadau koji obavlja napad na korisniku bazu podataka,

pridijeliti upozorenju nizak prioritet ako se radi o lokalnom korisniku koji napada mreni pisa te

ignorirati upozorenje ako se radi o uobiajenom testiranju sustava koje obavlja njegov korisnik.

Prioritiziranje zapravo znai postavljanje svakog upozorenja u kontekst sustava u kojem se javlja. Mogue ga je izvesti koritenjem podataka o programskim i sklopovskim komponentama administriranog sustava ili podataka vezanim uz implementiranu sigurnosnu politiku. Da bi se takva usporedba mogla napraviti, OSSIM prua okruenje koje nudi detaljno podeavanje sljedeih postavki:

1. sigurnosne politike, 2. podataka o programskim i sklopovskim komponentama administriranog sustava, 3. procjene resursa sustava, 4. procjene rizika, 5. procjene pouzdanosti upozorenja te 6. definicije upozorenja.

Prioritiziranje je jedan od najvanijih postupaka kod filtriranja sigurnosnih upozorenja i njegova uinkovitost ovisi o tonosti unesenih podataka o administriranom sustavu [1].

3.13.5. Procjena rizika Utjecaj nekog sigurnosnog dogaaja ovisi o sljedea tri imbenika:

1. vanosti resursa sustava povezanog s dogaajem, 2. prijetnji koju taj dogaaj predstavlja za sustav te 3. vjerojatnosti da e se takav dogaaj ostvariti.

Navedeni imbenici sastavni su dio tradicionalne definicije rizika kao mjere potencijalnog utjecaja odreene prijetnje i vjerojatnosti da e se ona ostvariti. Tradicionalna procjena rizika temelji se upravo na takvim, intrinzinim rizicima. Drugim rijeima, radi se o rizicima koji se u nekoj organizaciji javljaju zbog kombinacije resursa koje posjeduje kako bi ostvarila svoje poslovne ciljeve te prijetnji koje su kod njih prisutne. S druge strane, administracija sustava zahtijeva procjenu rizika povezanih s trenutnim stanjem sustava. Takvi rizici odreeni su utjecajem na sustav te vjerojatnou da se dogode u svakom trenutku rada sustava. Spomenuta vjerojatnost zapravo se svodi na stupanj pouzdanosti otkrivanja potencijalnih napada u trenutku u kojem se oni odvijaju. Pojam izravnih rizika predstavlja stanje rizika koje nastaje kod obrade nekog sigurnosnog upozorenja kao kombinacija utjecaja kojeg bi takav sigurnosni incident mogao imati na sustav i pouzdanosti detektora koji je to upozorenje poslao.



OSSIM po primljenom upozorenju izraunava izravne rizike svakog sigurnosnog dogaaja. Takvi rizici objektivno su sredstvo procjene vanosti svakog pojedinog sigurnosnog dogaaja koji se javlja u sustavu [1].

3.13.6. Korelacija Korelacija se definira kao funkcija koja algoritamski izvrava odreene operacije nad ulaznim podacima i kao rezultat vraa izlazne podatke. Informacije prikupljene preko raznovrsnih detektora i alata za nadgledanje rada sustava gledaju se kao specifini djelii cjelokupne slike o tome to se u samom sustavu stvarno dogaa. Cilj je, dakako, saznati to je mogue vie informacija. Obradom spomenutih, specifinih informacija koja se temelji na njihovom povezivanju mogue je dobiti dodatne podatke o radu sustava. Ideja postupka korelacije kod OSSIM-a je upravo to: povezati sve specifine djelie informacija o radu sustava dobivene preko raznovrsnih senzora, detektora i programa za nadgledanje s ciljem stjecanja dodatnih saznanja. Povratkom na definiciju s poetka, ulazni podaci ovdje bi bili:

mehanizmi za nadgledanje rada sustava koji u pravilu pruaju indikatore sumnjivih aktivnosti te

mehanizmi detekcije sumnjivih dogaaja koji u pravilu pruaju upozorenja. Izlazni podaci takoer e biti indikatori ili upozorenja. Korelacijske funkcije zapravo e posluiti kao novi detektori i mehanizmi za nadgledanje rada sustava te pruiti dodatne podatke za analizu. Ciljevi korelacijskog sloja OSSIM-a su viestruki:

razvoj specifinih uzoraka koji e posluiti za otkrivanje poznatih i prepoznatljivih prijetnji,

razvoj openitih uzoraka koji e posluiti za otkrivanje nepoznatih i neprepoznatljivih prijetnji,

pruiti mehanizam zakljuivanja kojim se moe upravljati preko meusobno povezanih pravila, a koji moe opisati sloene uzorke sumnjivih aktivnosti,

sposobnost rekurzivnog povezivanja raznovrsnih detektora i programa za nadgledanje rada sustava radi stvaranja korisnijih podataka vie razine apstrakcije te

razvoj algoritama za openiti prikaz trenutnog stanja sustava visoke razine apstrakcije.

Da bi ostvario navedene ciljeve, OSSIM koristi dvije osnovne korelacijske metode koje se temelje na sljedeim principima:

1) Korelacija preko niza dogaaja (eng. Correlation using sequences of events): koncentrira se na poznate i prepoznatljive napade, povezuje poznate uzorke i dogaaje koji se u sustavu javljaju kod odreenih napada preko pravila odreenih i implementiranih u automatu konanih stanja.

2) Korelacija uporabom heuristikih algoritama (eng. Correlation using heuristic algorithms): suprotnim prethodnom pristupom (korelaciji preko niza dogaaja) pokuava se izgraditi algoritam koji prepoznaje rizine situacije heuristikom analizom. Ovaj princip koristi se kod otkrivanja nepoznatih i neprepoznatljivih napada te kod openitog prikaza sigurnosnog stanja velikog broja raznovrsnih sustava [1].

3.13.7. Mehanizmi nadgledanja Mehanizmi nadgledanja odnose se na nadgledanje rada cjelokupnog sustava i mogu biti:

Mehanizam nadgledanja rizika (eng. Risk Monitor): OSSIM sadri mehanizam nadgledanja rizika koji je nazvan RiskMeter. On prikazuje vrijednosti dobivene izraunom izravnih rizika koje se sastoje od stupnja kompromitiranosti sustava te razine ozbiljnosti potencijalnog napada kojeg odreena sigurnosna obavijest predstavlja.



Mehanizam nadgledanja obrazaca uporabe, korisnikih sjednica i korisnikih profila (eng. Use, Session and Profile Monitor): nadgledanje obrazaca uporabe prua openitu informaciju o nainu na koji se neka komponenta sustava koristi. Nadgledanje korisnikih profila prua specifine informacije o korisnikim aktivnostima koje omoguuju njihovu jednostavnu klasifikaciju. Napokon, nadgledanje korisnikih sjednica omoguuje pristup podacima o aktivnim korisnikim sjednicama u stvarnom vremenu. OSSIM ova tri mehanizma prua kroz alate koji su po svojoj funkcionalnosti namijenjeni nadgledanju mrenog prometa i detaljnom pogledu na trenutnu situaciju u mrei (Arpwatch, PADS, Tcptrack, ntop, Nagios).

Mehanizam nadgledanja komunikacijskih puteva (eng. Path Monitor): ovaj mehanizam omoguava nadgledanje svih komunikacijskih putova izmeu razliitih raunala u mrei u stvarnom vremenu. Rezultati se preko posebnih dijagrama grafiki prikazuju korisniku alata. Mehanizam prikuplja podatke s druga dva sustava za nadgledanje: jedan je namijenjen nadgledanju korisnikih sjednica koji identificira sve veze izmeu raunala u mrei, a drugi je vezan uz nadgledanje rizika pa se na spomenutom dijagramu mogu bojama prikazati i rizinosti pojedinih veza.

3.13.8. Forenzika konzola Korisniko suelje OSSIM alata sadri posebnu upravljaku plou koja se naziva forenzika konzola. Ona prua pristup svim prikupljenim informacijama o radu sustava. Radi se o svojevrsnom pretraivau (koji je ostvaren nad bazom podataka) o radu sustava, a omoguuje administratoru centraliziranu analizu sigurnosnih dogaaja u odnosu na sve kritine elemente mrene arhitekture. Tako je omoguen detaljan pregled svakog evidentiranog dogaaja u sustavu. Slika 11. sadri primjer izgleda forenzike konzole OSSIM alata.[1]

Slika 11. Primjer izgleda forenzike konzole OSSIM alata Izvor: AlienVault



3.13.9. Upravljaka ploa Upravljaka ploa se koristi za pregled stanja sustava na najvioj razini apstrakcije. Preko nje se moe pratiti niz indikatora vezanih uz sigurnosno stanje administriranog sustava. Dodatno, mogu se definirati vrijednosti odreenih parametara koje, ako ih vrijednosti indikatora dostignu, automatski pokreu odgovarajue korisnike akcije. Takve akcije takoer mogu biti definirane, kao i automatske obavijesti te alarmi koji se s njima javljaju. Prikaz podataka na upravljakoj ploi treba biti koncizan i pregledan. Da bi to bilo mogue, prisutna je mogunost preciznog definiranja postavki s ciljem prikazivanja samo relevantnih informacija u odgovarajuem trenutku. Preko upravljake ploe mogu je pristup svim znaajnijim sigurnosnim alatima ukljuenim u OSSIM distribuciju. Pokretanjem pojedinih alata ili podeavanjem naina prikaza, mogu je detaljniji pogled na eljeni dio administriranog sustava [1]. Primjeri izgleda upravljake ploe OSSIM alata nalaze se na sljedeim slikama (Slika 12. i Slika 13.).

Slika 12. Primjer izgleda upravljake ploe OSSIM alata Izvor: AlienVault



Slika 13. Primjer izgleda upravljake ploe OSSIM alata (RiskMeter) Izvor: AlienVault

3.14. Openita arhitektura Procesi koji se koriste u radu OSSIM alata podijeljeni su u dvije osnovne stavke:

pretprocesiranje koje obavljaju detektori i alati za nadgledanje rada sustava te post-procesiranje koje se obavlja u centraliziranoj konzoli.

Na sljedeoj slici (Slika 14.) nalazi se dijagram koji prikazuje openitu arhitekturu OSSIM alata.

Slika 14. Openita arhitektura OSSIM alata



Uz ve opisane funkcionalnosti, na dijagramu iznad nalaze se i tri baze podataka: 1. Baza podataka o dogaajima u sustavu (eng. Event Database, EDB): najvea baza

podataka u kojoj se pohranjuje svaki uoen dogaaj. Slui za pohranu i arhivu podataka o dogaajima u sustavu.

2. Baza podataka o administriranom sustavu (eng. Knowledge of Framework Database, KDB): baza podataka u kojoj se pohranjuju parametri vezani uz podatke o programskim i sklopovskim elementima administriranog sustava zajedno s podacima o sigurnosnim politikama koje se ele provesti. Koristi se za praenje i upravljanje radom cjelokupnog sustava.

3. Baza podataka o korisnikim profilima (eng. Profile Database, UDB): baza podataka koja sadri podatke prikupljene sustavom za nadgledanje korisnikih profila. Koristi se kod odreivanja neuobiajenih korisnikih aktivnosti i nepravilnosti u radu nadgledanih sustava.

Mehanizam rada OSSIM alata podrazumijeva sljedei niz koraka, poevi od trenutka pojave nekog dogaaja u sustavu:

1. Dogaaj u sustavu obrauje se pomou alata za otkrivanje. Po prepoznavanju uzorka sumnjivog ponaanja ili anomalije u radu sustava stvaraju se odgovarajua sigurnosna upozorenja.

2. Ako je potrebno, upozorenja se dodatno obrauju u tzv. konsolidatorima (eng. consolidator) radi povezivanja u srodne grupe kako bi se utroila to manja koliina mrenog prometa (kada se radi o prikupljanju podataka s razliitih komponenti raunalne mree).

3. Modul za prikupljanje podataka (eng. collector) prikuplja upozorenja preko raznovrsnih komunikacijskih protokola.

4. Poseban parser koristi se za normalizaciju i pohranu opisa dogaaja u bazu podataka o dogaajima u sustavu.

5. Parser provodi postupak prioritiziranja obavijesti prema definiranim sigurnosnim politikama i podacima o samom sustavu.

6. Parser provodi i procjenu izravnog rizika svakog pojedinog dogaaja te po potrebi alje odgovarajue obavijesti upravljakoj ploi.

7. Prioritizirane obavijesti obrauju se pomou obje implementirane metode postupka korelacije (opisane u potpoglavlju 3.13.6). Po provedenoj korelaciji osvjeavaju se podaci o pojedinim dogaajima te se, po potrebi, alju nove, pouzdanije obavijesti prema parseru (obrada) te upravljakoj ploi (prikaz podataka).

8. Mehanizam za nadgledanje rizika periodiki prikazuje najnovije stanje rizika svakog od uoenih dogaaja u sustavu.

9. Upravljaka ploa prikazuje najnovije obavijesti i osvjeene podatke te ih usporeuje s vrijednostima korisniki definiranih parametara. Ako se vrijednosti poklapaju, poduzimaju se odgovarajue radnje.

10. Administrator posredno preko upravljake ploe moe detaljnije pregledati svaki uoen dogaaj u sustavu za vrijeme njegova trajanja. Detaljniji pregled i pretraga mogui su preko forenzike konzole.

11. Administrator takoer moe provjeriti trenutna stanja raunala i mrenih komponenti sustava kojeg nadgleda preko mehanizama nadgledanja obrazaca uporabe, korisnikih profila te sjednica.

Sljedea slika (Slika 15.) prikazuje tok podataka prilikom rada OSSIM alata (plavi brojevi u zagradama prikazuju opisane korake).



Slika 15. Tok podataka prilikom rada OSSIM alata

3.15. Arhitektura distribucije Premda se za njega esto koristi termin alat, OSSIM je zapravo distribucija vie meusobno povezanih i integriranih programskih alata. Zbog sve vee sloenosti cjelokupne distribucije (koja je posljedica njenog intenzivnijeg razvoja) postoje dvije osnovne razine njene arhitekture:

jezgra ili osnovna OSSIM distribucija te programski dodaci.

3.15.1. Jezgra Osnovna OSSIM distribucija jo se naziva i OSSIM jezgrom te predstavlja prvu razinu distribucijske arhitekture. Ona podrazumijeva ve nabrojane alate (u poglavlju 3) i funkcionalnosti koje obuhvaaju obavljanje sljedeih poslova:

definicija podatkovnih struktura, pruanje korisnikog suelja za uporabu integriranih alata, obavljanje mehanizama post-procesiranja, pruanje okruenja za administraciju na najvioj razini apstrakcije, mogunost povezivanja s ostalim administrativnim sustavima te implementacija upravljake ploe.



3.15.2. Programski dodaci Pod pojmom programski dodaci podrazumijevaju se programske nadogradnje i alati koji nisu bili ukljueni u osnovnu OSSIM distribuciju. Postoje dva tipa programskih dodataka za OSSIM:

programski alati otvorenog koda koji se mogu izmijeniti ili nadograditi i koji mogu biti ukljueni u popis provjerenih programskih dodataka te

programski alati komercijalne prirode koji se nee mijenjati ili nadograivati niti e biti ukljueni u nove distribucije otvorenog koda.

Prvi tip programskih dodataka izrazito je popularan u razvojnoj zajednici. Sama otvorena arhitektura OSSIM sustava prua relativno jednostavne mogunosti njegove nadogradnje. Autorima programskih dodataka tako preostaje jedino prijava kod slubene razvojne zajednice okupljene oko cjelokupnog projekta kako bi svoj programski dodatak objavili na slubenom popisu provjerenih dodataka. Trenutno je na slubenom popisu objavljeno 2395 raznovrsnih besplatnih programskih dodataka. Popis nije sveobuhvatan te se smatra da preostaje velik broj implementiranih dodataka koji se na njemu iz raznoraznih razloga ne nalaze. Programski dodaci s navedenog popisa utjelovljuju izrazito irok spektar novih funkcionalnosti. Neke od njih vezane su uz:

povezivanje s Microsoftovim aplikacijama za trenutne poruke (eng. MSN Messenger i Windows Live Messenger),

nadogradnju alata osnovne distribucije (OSSIM post core, ossec Syslog, ossim-agent, Snare Agent for Windows i mnogi drugi),

povezivanje s Oracle bazama podataka (Oracle, OracleOraHome90Agent, Oracle.wired i drugi),

nadogradnja obavijesti i upozorenja te dodaci za operacijske sustave Windows (Report Server Windows, Report Server Windows Service, Snare Agent for Windows, Windows Backup, Windll128 itd.),

ugradnja ostalih popularnih sigurnosnih alata (primjerice Tripwire), povezivanje s .NET okolinom (.NET Runtime, .NET Runtime Error, .NET Runtime

Optimization Service itd.), povezivanje s Apache web posluiteljem (Apache, Apache Jakarta Connector2), nadogradnja mehanizama autentikacije (Authentication failed, Authentication

success, Authentication failures itd.), povezivanje i podrka za BlackBerry ureaje (BlackBerry Server, BlackBerry Sync

Service, BlackBerry Messaging Agent, BlackBerry Mobile Data Agent itd.), nadogradnja podrke za CISCO mrenu opremu i aplikacije (Cisco ios, Cisco-

ACS, Cisco router, Cisco vpn, Cisco VPN box, Cisco TFTP, Cisco Desktop Enterprise Server i mnogi drugi),

nadogradnja upravljanja lozinkama (Citrix Password Manager, NT to UNIX Password, NT to UNIX Password Sync Service),

nadogradnja podrke za popularne mrene protokole (DNS, DHCP, DHCP Server, FTP preprocessor i ostali) te

irok spektar ostalih funkcionalnosti.



4. Budunost Zbog otvorenosti i fleksibilnosti nadogradnje, OSSIM distribuciji predstoji nastavak intenzivnog razvoja i u budunosti. Matina tvrtka AlienVault i dalje nastavlja podupirati cjelokupni projekt te, premda se posljednjih godina vie koncentrira na svoja komercijalna rjeenja, i dalje paralelno objavljuje nove inaice osnovne distribucije. Ipak, programerska zajednica okupljena oko ovog projekta snosit e veinu tereta u nastavku njegova razvoja. Koliina i spektar funkcionalnosti programskih dodataka dostupnih danas i vie je nego dobar pokazatelj kako je nastavak razvoja OSSIM distribucije u dobrim rukama. Neke od funkcionalnosti na kojima e se intenzivno raditi do objave sljedee distribucije ukljuuju:

mogunost potvrde sigurnosnih obavijesti i njihova arhiviranja, bolju integraciju programskog alata Nagios, ugradnju arobnjaka koji e olakati uporabu alata novim korisnicima, bolju integraciju programskog alata OSSEC, nadogradnju opisa dogaaja sustava i njihove obrade, skeniranje mree koje e obavljati posebni programski agenti, nadogradnju sustava upravljanja elektronikom potom te ugradnju sloenijih antivirusnih alata u osnovnu distribuciju.

5. Zakljuak Do pojave OSSIM distribucije izrazito velik problem administratora raunalnih sustava bio je vezan uz odabir najboljih i najuinkovitijih sigurnosnih alata za zatitu mrenih sustava te povezivanje njihova rada u skladnu cjelinu. Velik dio vremena tako se gubio samo na usklaivanje razliitih izvjetaja i sigurnosnih obavijesti, podeavanje rada velikog broja meusobno komplementarnih alata te dugotrajne analize esto nepreglednih sigurnosnih izvjetaja. Sve skupa otealo je osnovni zadatak svih administratora uinkovitu zatitu sustava koje administriraju. OSSIM distribucija uspjeno je rijeila veinu spomenutih problema. Povezivanjem izuzetno korisnih, ali esto komplementarnih programskih alata, njihovom ugradnjom i automatizacijom sustava izvjetaja i njihove analize, centralizacijom nadgledanja te nainom na koji se predstavljaju osnovni podaci o radu sustava uspio se poprilino olakati posao administratora. Preostaju im jedino zadaci vezani uz podeavanje rada cjelokupnog alata kako bi na najuinkovitiji nain titio administrirani sustav, zatim praenje pregledno prikazanih podataka o njegovom radu te nadogradnja alata korisnim programskim dodacima. U svakom sluaju, OSSIM je ostvario ciljeve zbog kojih je nastao, a daljnjim razvojem iza kojeg prvenstveno stoji velika i aktivna razvojna zajednica, postat e jo bolji i uinkovitiji programski alat koji e administratorima raunalnih sustava omoguiti uinkovitu i fleksibilnu zatitu od veine prijetnji.



6. Reference [1] Karg, D. et al.: OSSIM General System Description, opis alata, 26. studeni, 2003. [2] AlienVault: Official Web Site, http://alienvault.com/community, oujak 2011. [3] Sourceforge: Stranice OSSIM projekta, http://sourceforge.net/projects/os-sim/, oujak 2011. [4] Wikipedia: OSSIM, http://en.wikipedia.org/wiki/OSSIM, oujak 2011. [5] Sourceforge: PADS, http://passive.sourceforge.net/, oujak 2011. [6] Wikipedia: arpwatch, http://en.wikipedia.org/wiki/Arpwatch, oujak 2011. [7] Wikipedia: P0f, http://en.wikipedia.org/wiki/P0f, oujak 2011. [8] Wikipedia: OpenVAS (software), http://www.openvas.org/, oujak 2011. [9] Wikipedia: Snort (software): http://en.wikipedia.org/wiki/Snort_%28software%29, oujak

2011. [10] Tcptrack Development: Tcptrack, http://www.rhythm.cx/~steve/devel/tcptrack/, oujak 2011. [11] Wikipedia: ntop, http://en.wikipedia.org/wiki/Ntop, oujak 2011. [12] Wikipedia: Nagios, http://en.wikipedia.org/wiki/Nagios, oujak 2011. [13] Wikipedia: Snare (software), http://en.wikipedia.org/wiki/Snare_%28software%29, oujak

2011. [14] Wikipedia: OSSEC, http://en.wikipedia.org/wiki/OSSEC, oujak 2011.

lss-pubdoc-2011-03-013

Documents

Transcript of lss-pubdoc-2011-03-013