Ossim應用入門

**

• Ossim應用入門

**

軟件下載：
Alienvault Ossim v3.1 （32位）下載地址
Alienvault Ossim v3.1 (64位)下載地址
Alienvault Ossim 4.3 （64位）下載地址

——在《OSSIM在企業網絡管理中的應用》http://chenguang.blog.51cto.com/350944/802007 這篇文章發佈以後，不少同行對ossim表示了極大關注,紛紛來信諮詢如何部署和使用這套系統。在接下來的時間裏我將總結這套系統的安裝和使用的方法給你們分享。
1 OSSIM背景介紹
——目前，網絡威脅從傳統的病毒進化到像蠕蟲、拒絕服務等的惡意攻擊，當今的網絡威脅攻擊複雜程度愈來愈高，已再也不侷限於傳統病毒，盜號木馬、僵屍網絡、間諜軟件、流氓軟件、網絡詐騙、垃圾郵件、蠕蟲、網絡釣魚等嚴重威脅着網絡安全。網絡攻擊常常是融合了病毒、蠕蟲、木馬、間諜、掃描技術於一身的混合式攻擊。拒絕服務攻擊（DOS）已成爲黑客及蠕蟲的主要攻擊方式之一。黑客利用蠕蟲製造僵屍網絡，整合更多的攻擊源，對目標集中展開猛烈的拒絕服務攻擊。並且攻擊工具也愈來愈先進，例如掃描工具不只能夠快速掃描網絡中存在漏洞的目標系統，還能夠快速植入攻擊程序。
——所以，網絡安全管理的重要性和管理困難的矛盾日益突出。網絡安全是動態的系統工程，只有從與網絡安全相關的海量數據中實時、準確地獲取有用信息並加以分析，及時地調整各安全子系統的相關策略，才能應對目前日益嚴峻的網絡安全威脅。
——此外，IDS安全工具存在的錯報、漏報也是促成安全集成思想的緣由之一。以IDS爲例，總的來講，入侵檢測的方案有基於預約義規則的檢測和基於異常的檢測，判斷檢測能力的2個指標爲靈敏度和可靠性。不可避免的，不管是基於預約義規則的檢測仍是基於異常的檢測，因爲防範老是滯後於攻擊，其必然會遇到漏報、錯報的問題。而安全集成則因爲其集成聯動分析了多個安全工具，使得檢測能力即靈敏度和可靠性都獲得大幅提高。綜上所述，咱們須要將各網絡安全子系統，包括防火牆、防病毒系統、入侵檢測系統、漏洞掃描系統、安全審計系統等整合起來，在信息共享的基礎上，創建起集中的監控、管理平臺，使各子系統既各司其職，又密切合做，從而造成統一的、有機的網絡防護體系，來共同抵禦日益增加的網絡安全威脅。
——綜上所述，就是將前面介紹過的Nagios、Ntop、OpenVas、Snort、Nmap、Ossec這些工具集成在一塊兒提供綜合的安全保護功能，而沒必要在各個系統中來回切換，且統一了數據存儲，人們能獲得一站式的服務，這就是OSSIM給咱們帶來的好處，咱們這一節的目標就是將它的主要功能展現出來。
——OSSIM經過將開源產品進行集成，從而提供一種可以實現安全監控功能的基礎平臺。它的目標是提供一種集中式、有組織的，可以更好地進行監測和顯示的框架式系統。OSSIM 明肯定位爲一個集成解決方案，其目標並非要開發一個新的功能，而是利用豐富的、強大的各類程序（包括Mrtg、Snort、Nmap、Openvas以及Ntop等開源系統安全軟件）。在一個保留它們原有功能和做用的開放式架構體系環境下，將它們集成起來。到目前爲止，OSSIM支持多達兩千多種插件（http://www.alienvault.com/community/plugins）。而OSSIM項目的核心工做在於負責集成和關聯各類產品提供的信息，同時進行相關功能的整合，如圖1所示。因爲開源項目的優勢，這些工具已經久經考驗，同時也通過全方位測試，更加可靠。
124704414.jpg
圖1 OSSIM提供功能的層次結構圖
2．OSSIM流程分析
OSSIM系統的工做流程爲：
（1）做爲整個系統的安全插件的探測器（Sensor）執行各自的任務，當發現問題時給予報警。
（2）各探測器的報警信息將被集中採集。
（3）將各個報警記錄解析並存入事件數據庫（EDB）。
（4）根據設置的策略（Policy）給每一個事件賦予一個優先級（Priority）。
（5）對事件進行風險評估，給每一個警報計算出一個風險係數。
（6）將設置了優先級的各事件發送相當聯引擎，關聯引擎將對事件進行關聯。注意：關聯引擎就是指在各入侵檢測傳感器（入侵檢測系統、防火牆等）上報的告警事件基礎上，通過關聯分析造成入侵行爲斷定，並將關聯分析結果報送控制檯。
（7）對一個或多個事件進行關聯分析後，關聯引擎生成新的報警記錄，將其也賦予優先級，並進行風險評估，存入數據庫。
（8）用戶監控監視器將根據每一個事件產生實時的風險圖。
（9）在控制面板中給出最近的關聯報警記錄，在底層控制檯中提供所有的事件記錄。
104647642.jpg
Ossim工做流程圖
OSSIM安全信息集成管理系統（如圖2所示）設計成由安全插件（Plug-ins）、代理進程（Agent）、傳感器（Sensor）、關聯引擎（Server）、數據倉庫（Database）、Web框架（Framework）5個部分構成。
那代理是什麼，好像很籠統，下面舉個例子，各位就能明白。常規監控軟件都是使用SNNM實現流量監控，監控對象是什麼？你要監控誰就得在它上面啓用SNMP代理進程，也就是在被管理設備上啓用代理，在OSSIM還有那些代理呢？好比Snare，Ossec Agent，OCS Agent等等。隨着深刻OSSIM學習我都會向你們介紹。
124730223.jpg
圖2 信息安全集成管理系統邏輯結構圖
（1）安全插件
——安全插件即各種安全產品和設施。如防火牆、IDS等。這裏引入Linux下的開源安全工具：Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris等這些Plugins分別針對網絡安全的某一方面，總的來講，能夠將它們劃分爲探測器（Detector）和監視器（Monitor）兩大陣營，將它們集成關聯起來是出於安全集成的目的，如圖3所示。
105257465.jpg
圖3 安全插件
（2）代理進程
——代理進程將運行在多個或單個主機上，負責從各安全設備、安全工具採集相關信息（如報警日誌等），並將採集到的各種信息統一格式，再將這些數據傳至Server。
——Agent的主要功能是接收或主動抓取Plugin發送過來或者生成的文件型日誌，通過預處理後有序地傳送到OSSIM的Server。它的功能很複雜，由於它的設計要考慮到若是Agent和Server之間的網絡中斷、擁堵、丟包以及Server端可能接收不過來甚至死機等狀況，確保日誌不丟失也不漏發。基於這個考慮，OSSIM的日誌處理在大部分狀況下不能作到實時，一般會在Agent端緩存一段時間纔會發送到Server端。Agent會主動鏈接兩個端口與外界通訊或傳輸數據，一個是鏈接Server的40001端口，另外一個是鏈接數據庫的3306端口。
（3）傳感器
——傳感器一般會被咱們理解爲一段程序，但它不是一個肯定的程序，而是一個邏輯單元的概念。在OSSIM中，把Agent和插件構成的一個具備網絡行爲監控功能的組合稱爲一個傳感器（Sensor），Sensor的功能範圍主要有：
l入侵檢測（Snort）
l漏洞掃描（OpenVas）
l異常檢測（Spade，P0f，Pads，Arpwatch，RRD ab behaviour）
l網絡流量監控與剖析（Ntop）
——採集本地路由器、防火牆、IDS等硬件設備，做爲防火牆使用。在具體的部署中，以上功能一般能夠部署在一臺服務器上，也能夠分多臺服務器部署。
（4）關聯引擎
——關聯引擎是OSSIM安全集成管理系統的核心部分，支持分佈式運行，負責將Agent傳送來的事件進行關聯，並對網絡資產進行風險評估。
（5）數據倉庫
——數據倉庫由Server將關聯結果寫入Database，此外，系統用戶（如安全管理員）也可經過Framework（Web控制檯）對Database進行讀寫。數據倉庫是整個系統事件分析和策略調整的信息來源，從整體上將其劃分爲事件數據庫（EDB）、知識數據庫（KDB）、用戶數據庫（UDB）、OSSIM系統默認使用的MySQL監聽端口是3306，在系統中數據庫的負擔最重，由於它除了存儲數據外，還要對其進行分析整理，因此實時性不強，這也是OSSIM架構最大的缺陷。
（6）Web框架
——Web框架控制檯，提供用戶（安全管理員）的Web頁面，從而控制系統的運行（例如設置策略），是整個系統的前端，用來實現用戶和系統的B/S模式交互。Framework能夠分爲2個部分：Frontend是系統的一個Web頁面，提供系統的用戶終端；Frameworkd是一個守護進程，它綁定OSSIM的知識庫和事件庫，偵聽端口是40003，負責將Frontend收到的用戶指令和系統的其餘組件相關聯，並繪製Web圖表供前端顯示。

OSSIM 學習教程《Unix/Linux網絡分析與流量監控》