Neste artigo escreverei sobre uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management), ferramenta para gerenciamento de segurança da informação de código fonte aberto.

Hoje a informação é zelada por qualquer organização, pois dependendo do grau de insegurança que venha acarretar sobre esta, o preço pela perda de informações críticas pode ser alto, muitas vezes pago com a queda da empresa no cenário de atuação. Com os avanços da tecnologia a informação definitivamente passou a ser armazenada digitalmente, exigindo grandes responsabilidades à TI (tecnologia da informação), a qual necessita ser vista como uma área estratégica para qualquer organização.

OSSIM é um framework que agrega as principais ferramentas de segurança e monitoramento de rede em uma única estrutura, permitindo a correlação entre as funcionalidades de cada uma, trazendo muitas possibilidades aos administradores de rede.

Atualmente o segmento de aplicações open source vem a contribuir de forma significativa com softwares de qualidade, que possuem uma boa adaptabilidade e, na maioria das vezes, um baixo custo de implantação.

O objetivo do framework Ossim é fornecer uma ampla compilação de ferramentas, que, ao trabalhar juntos, concedem um gerenciamento de segurança ao administrador, obtendo uma visão detalhada sobre todo e qualquer aspecto das suas redes, hosts, acesso físico, dispositivos, servidor etc. Além de ser formada pelas ferramentas de código aberto mais conhecidas no gerenciamento e monitoramento de redes. Alguma que o compõe:

• Arpwatch
• P0f
• Pads
• Nessus
• Snort
• Spade
• Tcptrack
• Ntop
• Nagios
• Osiris
• OCS-NG
• OSSEC
• entre outras...

A suíte OSSIM apresenta um centro de operação de segurança, coleta as informações e eventos críticos e apresenta estes em uma central de monitoramento. Através de configuração de sensores, que podem ser softwares ou hardwares instalados na rede, os dados são coletados e enviados. Para isso existe o agente que é um processo que funciona no sensor para coletar e emitir dados ao servidor. O agente, para sua operação, possui plugins que são partes de softwares responsáveis por estender funcionalidades deste. Por exemplo, um plugin que conheça o formato de um sistema de log específico, reservando-se a coletar estes dados. Desta forma, o agente reside no sensor e o coletor no servidor.

A arquitetura como um todo do OSSIM, vista na figura abaixo, consiste em quatro elementos:

1. Sensores;
2. Servidor de gerenciamento;
3. Banco de dados;
4. Frontend.

Os sensores são responsáveis por monitorar as atividades da rede, também realizam varreduras ativas através de scanners de hosts, em busca de vulnerabilidades na rede. O ossim agent recebe dados de hosts da rede, por exemplo, um roteador ou um firewall comunicam e enviam seus eventos ao servidor de gerência pai, ossim server. Na prática, uma configuração típica de sensores faria as seguintes funções em um monitoramento:

• IDS (snort);
• Scanner de vulnerabilidades (Nessus);
• Detector de anomalias (Spade, Arpwatch, Pads, RRD);
• Monitoramento de uso dos recursos de rede (ntop) e outros.

O servidor de gerenciamento inclui os seguintes componentes:

• Framework, um daemon de controle que une diversos serviços;
• Centraliza as informações recebidas dos sensores;
• Coleta níveis de risco, prioridades, correlação, inventário, programar tarefas externas de apoio entre outros;
• A base de dados armazena eventos e informações úteis para a gerência do sistema. Possui uma base de dados SQL.

O Frontend ou o console, é a visualização da aplicação aos olhos do administrador de redes, os componentes são módulos autônomos e podem ser configurados conforme a necessidade do administrador. Todos estes componentes poderiam estar separados aplicação por aplicação, mas de forma gerencial o OSSIM os coloca todos em um console central. Toda estrutura organizacional do sistema OSSIM pode ser vista na figura abaixo. O monitoramento pelo sistema OSSIM pode ser dividida entre detectores e monitores. Os detectores são grupos de eventos e normalizações contínuas. Assim que os eventos são normalizados as informações são enviadas ao servidor e análises são realizadas em tempo real.

Já nos monitores, os agentes permanecem em stand-by até que o servidor solicite informação sobre o status de qualquer recurso. Esta requisição provoca a ativação do agente, que cumpre o pedido recolhendo e emitindo dados pretendidos ao servidor.

Todo o conjunto da suíte OSSIM demanda muito recurso de hardware, principalmente em sua capacidade de armazenamento devido aos eventos de logs.

O sistema OSSIM é modular, ou seja, possui uma escalabilidade, permitindo a fácil integração de novos elementos, sem a necessidade de reestruturar ou substituir o existente. A arquitetura com vários níveis é uma é uma estrutura redundante. Esta arquitetura permite servidores redundantes, como por exemplo, no uso do Keepalived, aplicação que tem a implementação de uma VRRP (Virtual Router Redundancy Protocol).

Quando na existência de diversas bases de dados, pode-se agregar todos os eventos em uma base de dados central. Caso ocorra uma falha em um dispositivo da rede, os eventos são mantidos em uma fila do coletor, até que o outro servidor tornar-se disponível, desta forma, nenhum evento é perdido durante o ajuste.

O OSSIM permite autenticação de seus usuários de gerência, utilizando o protocolo LDAP para localizar os usuários corporativos.

A confiabilidade e a prioridade fixadas dos eventos estão atribuídos as seguintes maneiras: quando o evento é normalizado e armazenado na base de dados, um valor inicial de prioridade e de confiabilidade é atribuído, quando o evento é gerado pelo módulo de correlação, a regra combinada desta, atribui seus próprios valores predefinidos da prioridade e da confiabilidade. Usando políticas gerais, o administrador pode ajustar a prioridade e a confiabilidade de um evento.

A recepção dos eventos no coletor e a transmissão ao servidor de correlação ocorrem em tempo real, enquanto os eventos são recebidos no coletor, ocorre a transferência imediata ao motor da correlação. Assim, o processamento e análise são imediatos.

Apresentado o framework open source OSSIM, para quem quiser maiores informações, bem como baixar e instalar a ferramenta, o site para comunidade é www.ossim.net, e o site do desenvolvedor é www.ossim.com. Não posso deixar de frisar aqui os direitos também do conteúdo de meu colega de estágio Pablo Schrammel, parceiro de muitas noites em claro estudando o OSSIM.

Referências

• OSSIM - Site para comunidade
• OSSIM - Site do desenvolvedor