Framework OSSIM - Open Source Security Information Management

Neste artigo escreverei sobre uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management), ferramenta para gerenciamento de segurança da informação de código fonte aberto.

[ Hits: 27.357 ]

Por: Celso Pimentel Gomes em 06/12/2008


Introdução



Neste artigo escreverei sobre uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management), ferramenta para gerenciamento de segurança da informação de código fonte aberto.

Hoje a informação é zelada por qualquer organização, pois dependendo do grau de insegurança que venha acarretar sobre esta, o preço pela perda de informações críticas pode ser alto, muitas vezes pago com a queda da empresa no cenário de atuação. Com os avanços da tecnologia a informação definitivamente passou a ser armazenada digitalmente, exigindo grandes responsabilidades à TI (tecnologia da informação), a qual necessita ser vista como uma área estratégica para qualquer organização.

Linux: Framework OSSIM - Logotipo OSSIM é um framework que agrega as principais ferramentas de segurança e monitoramento de rede em uma única estrutura, permitindo a correlação entre as funcionalidades de cada uma, trazendo muitas possibilidades aos administradores de rede.

Atualmente o segmento de aplicações open source vem a contribuir de forma significativa com softwares de qualidade, que possuem uma boa adaptabilidade e, na maioria das vezes, um baixo custo de implantação.

O objetivo do framework Ossim é fornecer uma ampla compilação de ferramentas, que, ao trabalhar juntos, concedem um gerenciamento de segurança ao administrador, obtendo uma visão detalhada sobre todo e qualquer aspecto das suas redes, hosts, acesso físico, dispositivos, servidor etc. Além de ser formada pelas ferramentas de código aberto mais conhecidas no gerenciamento e monitoramento de redes. Alguma que o compõe:
  • Arpwatch
  • P0f
  • Pads
  • Nessus
  • Snort
  • Spade
  • Tcptrack
  • Ntop
  • Nagios
  • Osiris
  • OCS-NG
  • OSSEC
  • entre outras...

A suíte OSSIM apresenta um centro de operação de segurança, coleta as informações e eventos críticos e apresenta estes em uma central de monitoramento. Através de configuração de sensores, que podem ser softwares ou hardwares instalados na rede, os dados são coletados e enviados. Para isso existe o agente que é um processo que funciona no sensor para coletar e emitir dados ao servidor. O agente, para sua operação, possui plugins que são partes de softwares responsáveis por estender funcionalidades deste. Por exemplo, um plugin que conheça o formato de um sistema de log específico, reservando-se a coletar estes dados. Desta forma, o agente reside no sensor e o coletor no servidor.

A arquitetura como um todo do OSSIM, vista na figura abaixo, consiste em quatro elementos:
  1. Sensores;
  2. Servidor de gerenciamento;
  3. Banco de dados;
  4. Frontend.

Linux: Front-end do Framework OSSIM
Os sensores são responsáveis por monitorar as atividades da rede, também realizam varreduras ativas através de scanners de hosts, em busca de vulnerabilidades na rede. O ossim agent recebe dados de hosts da rede, por exemplo, um roteador ou um firewall comunicam e enviam seus eventos ao servidor de gerência pai, ossim server. Na prática, uma configuração típica de sensores faria as seguintes funções em um monitoramento:
  • IDS (snort);
  • Scanner de vulnerabilidades (Nessus);
  • Detector de anomalias (Spade, Arpwatch, Pads, RRD);
  • Monitoramento de uso dos recursos de rede (ntop) e outros.

O servidor de gerenciamento inclui os seguintes componentes:
  • Framework, um daemon de controle que une diversos serviços;
  • Centraliza as informações recebidas dos sensores;
  • Coleta níveis de risco, prioridades, correlação, inventário, programar tarefas externas de apoio entre outros;
  • A base de dados armazena eventos e informações úteis para a gerência do sistema. Possui uma base de dados SQL.

O Frontend ou o console, é a visualização da aplicação aos olhos do administrador de redes, os componentes são módulos autônomos e podem ser configurados conforme a necessidade do administrador. Todos estes componentes poderiam estar separados aplicação por aplicação, mas de forma gerencial o OSSIM os coloca todos em um console central. Toda estrutura organizacional do sistema OSSIM pode ser vista na figura abaixo.
Linux: Arquitetura do Framework OSSIM
O monitoramento pelo sistema OSSIM pode ser dividida entre detectores e monitores. Os detectores são grupos de eventos e normalizações contínuas. Assim que os eventos são normalizados as informações são enviadas ao servidor e análises são realizadas em tempo real.

Já nos monitores, os agentes permanecem em stand-by até que o servidor solicite informação sobre o status de qualquer recurso. Esta requisição provoca a ativação do agente, que cumpre o pedido recolhendo e emitindo dados pretendidos ao servidor.

Todo o conjunto da suíte OSSIM demanda muito recurso de hardware, principalmente em sua capacidade de armazenamento devido aos eventos de logs.

O sistema OSSIM é modular, ou seja, possui uma escalabilidade, permitindo a fácil integração de novos elementos, sem a necessidade de reestruturar ou substituir o existente. A arquitetura com vários níveis é uma é uma estrutura redundante. Esta arquitetura permite servidores redundantes, como por exemplo, no uso do Keepalived, aplicação que tem a implementação de uma VRRP (Virtual Router Redundancy Protocol).

Quando na existência de diversas bases de dados, pode-se agregar todos os eventos em uma base de dados central. Caso ocorra uma falha em um dispositivo da rede, os eventos são mantidos em uma fila do coletor, até que o outro servidor tornar-se disponível, desta forma, nenhum evento é perdido durante o ajuste.

O OSSIM permite autenticação de seus usuários de gerência, utilizando o protocolo LDAP para localizar os usuários corporativos.

A confiabilidade e a prioridade fixadas dos eventos estão atribuídos as seguintes maneiras: quando o evento é normalizado e armazenado na base de dados, um valor inicial de prioridade e de confiabilidade é atribuído, quando o evento é gerado pelo módulo de correlação, a regra combinada desta, atribui seus próprios valores predefinidos da prioridade e da confiabilidade. Usando políticas gerais, o administrador pode ajustar a prioridade e a confiabilidade de um evento.

A recepção dos eventos no coletor e a transmissão ao servidor de correlação ocorrem em tempo real, enquanto os eventos são recebidos no coletor, ocorre a transferência imediata ao motor da correlação. Assim, o processamento e análise são imediatos.

Apresentado o framework open source OSSIM, para quem quiser maiores informações, bem como baixar e instalar a ferramenta, o site para comunidade é www.ossim.net, e o site do desenvolvedor é www.ossim.com. Não posso deixar de frisar aqui os direitos também do conteúdo de meu colega de estágio Pablo Schrammel, parceiro de muitas noites em claro estudando o OSSIM.

Referências


   

Páginas do artigo
   1. Introdução
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Rootkit: Uma nova ameaça?

Configurando o OpenVPN no SuSE Linux Enterprise Server (SLES)

Detectando possíveis trojans e lkms em seu servidor

Uma breve abordagem sobre Criptografia

Uma introdução ao Linux-PAM

  
Comentários
[1] Comentário enviado por fernandoiury em 06/12/2008 - 23:28h

Grande achado. Ferramenta extremamente interessante!

Meus parabens,

Fernando Iury Alves Costa
www.fernandocosta.eti.br

[2] Comentário enviado por luizvieira em 03/03/2011 - 11:23h

Excelente artigo!
Eu sou fã do OSSIM!
Quem quer um monitoramento completo, eu indico esse framework :-)
Ele inclusive permite que vejamos até que ponto estamos em compliance como normas de segurança, como a ISO 27001 e PCI-DSS.

[ ]'s

[3] Comentário enviado por celsopimentel em 03/03/2011 - 14:45h

Vlw! Luiz, pena que a muito tempo não acompanho mais a evolução OSSIM, atualmente atuo mais no Coordenação de TI, mas a ferramenta é muito objetiva e o melhor de tudo que centraliza as necessidades de rede em um único gerenciamento. Um framewaork maravilhoso. Gostaria que colegas que utilizam a ferramenta atulmente podessem postar as novidades e considerações. Grande abraço, e VIVA o Linux, VIVA o mundo da colaboração e compartilhamento.

[4] Comentário enviado por virgil_dantas em 03/04/2014 - 14:19h

Olá, alguem sabe fazer a interação do OSSIM com o OCS???
obrigado galera.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts