OSSEC – Intro

Published by Lello on

OSSEC (Open Source HIDS SECurity) è un sistema host-based intrusion detection system (HIDS); quello che è importante sottolineare che OSSEC è open source, rilasciato con licenza GNU General Public License (version 3).

Il compito di OSSEC è da una parte monitorare sistemi tramite analisi dei log, checking strutturale, monitoring del registry di Windows, rootkit detection; dall’altra parte effettuare alerting al verificarsi di un certo evento ed eventualmente attuare risposte pro-attive.

OSSEC fornisce funzioni di intrusion detection per sistemi operativi eterogeni; quelli supportati sono praticamente tutti:

  • GNU/Linux (tutte le distribuzioni Linux, comprese RHEL, Ubuntu, Slackware, Debian, etc);
  • Windows 7, 8, 10 e Windows Server 2008r2, 2012, 2016 e 2019;
  • FreeBSD (tutte le versioni);
  • OpenBSD (tutte le versioni);
  • NetBSD (tutte le versioni);
  • Solaris 10;
  • AIX 5.2 and 5.3;
  • Mac OS X 10.x;
  • HP-UX 11.

Si compone di:

  • Manager (or server), richiesto per installazioni stand-alone o distribuite;
  • Agent, un piccolo programma installato sul sistema da monitorare che permette di inviare i log verso il server (in maniera crittografata);
  • Agentless mode, utilizzato quando non è possibile installare agent (monitoring di firewalls, routers, e sistemi Unix).

Grazie al suo sistema di analisi dei log, permette di effettuare analisi di dati provenienti da diverse piattaforme e formati (analisi dei log di sistema, piuttosto che analisi del web server o di router o firewall).

I formati di log supportati sono:

  • syslog;
  • snort-full, snort-fast;
  • apache;
  • iis;
  • squid;
  • nampg;
  • mysql_log, postgresql_log;
  • eventlog;
  • djb_multilog

Inoltre:

  • Tramite syslog remoto permette di analizzare:
    • Cisco PIX, ASA and FWSM;
    • Cisco IOS routers;
    • Juniper Netscreen;
    • SonicWall firewall;
    • Checkpoint firewall;
    • Cisco IOS IDS/IPS module;
    • Sourcefire (Snort) IDS/IPS;
    • Checkpoint Smart Defense;
    • Bluecoat proxy;
    • Cisco VPN concentrators.
  • Senza sistema di agent, permette di effettuare log analysis e file integrity checking sui seguenti sistemi:
    • Cisco PIX, ASA and FWSM;
    • Cisco IOS routers;
    • Juniper Netscreen;
    • SonicWall firewall;
    • Checkpoint firewall;
    • All operating systems specified in the “operating systems” section

OSSEC infine è compatibile con i requisiti Payment Card Industry Data Security Standard (PCI DSS).

Nel post successivo, vedremo come  installare OSSEC su un sistema “CentOS 8 Linux” based; partiremo dal presupposto di aver installato il sistema in modalità minimal senza interfaccia grafica, di aver applicato tutte le patch necessarie, di aver disabilitato selinux e il firewall (da valutare nell’ambiente in cui il sistema viene posto).

La versione attuale di OSSEC è la versione 3.6.

OSSEC – Installazione Server →

 

Categories: LinuxSecurityTechnology
Tags:

Related Posts

RedHat - AlmaLinux - Rocky
Cultura

RedHat blocca l’accesso ai sorgenti di RHEL

Con un comunicato del 21 Giugno a firma del suo vicepresidente Mike McGrath, RedHat blocca l’accesso ai sorgenti di RHEL a terzi. Il codice sorgente verrà reso disponibile, tramite il RedHat Customer Portal, solo per Read more…

information security
Cultura

… e 100.000 !!!

Sono passati circa 2 anni da quando ho iniziato a comunicare quasi per gioco ad AbuseIPDB gli indirizzi IP che cercano di effettuare tentativi fraudolenti verso alcuni server (circa una ventina, non critici) che gestisco Read more…

Apache Guacamole
Linux

Apache Guacamole – Database

Espandiamo le capacità di Apache Guacamole utilizzando come back-end di autenticazione un Database Server. In questo post utilizziamo come back-end MySQL/MariaDB. Apache Guacamole supporta diversi database: MySQL, MariaDB, PostgreSQL, MS SQL Server o altri tramite Read more…