Framework OSSIM - Open Source Security Information Management

Neste artigo escreverei sobre uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management), ferramenta para gerenciamento de segurança da informação de código fonte aberto.

[ Hits: 22.200 ]

Por: Celso Pimentel Gomes em 06/12/2008


Introdução



Neste artigo escreverei sobre uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management), ferramenta para gerenciamento de segurança da informação de código fonte aberto.

Hoje a informação é zelada por qualquer organização, pois dependendo do grau de insegurança que venha acarretar sobre esta, o preço pela perda de informações críticas pode ser alto, muitas vezes pago com a queda da empresa no cenário de atuação. Com os avanços da tecnologia a informação definitivamente passou a ser armazenada digitalmente, exigindo grandes responsabilidades à TI (tecnologia da informação), a qual necessita ser vista como uma área estratégica para qualquer organização.

Linux: Framework OSSIM - Logotipo OSSIM é um framework que agrega as principais ferramentas de segurança e monitoramento de rede em uma única estrutura, permitindo a correlação entre as funcionalidades de cada uma, trazendo muitas possibilidades aos administradores de rede.

Atualmente o segmento de aplicações open source vem a contribuir de forma significativa com softwares de qualidade, que possuem uma boa adaptabilidade e, na maioria das vezes, um baixo custo de implantação.

O objetivo do framework Ossim é fornecer uma ampla compilação de ferramentas, que, ao trabalhar juntos, concedem um gerenciamento de segurança ao administrador, obtendo uma visão detalhada sobre todo e qualquer aspecto das suas redes, hosts, acesso físico, dispositivos, servidor etc. Além de ser formada pelas ferramentas de código aberto mais conhecidas no gerenciamento e monitoramento de redes. Alguma que o compõe:
  • Arpwatch
  • P0f
  • Pads
  • Nessus
  • Snort
  • Spade
  • Tcptrack
  • Ntop
  • Nagios
  • Osiris
  • OCS-NG
  • OSSEC
  • entre outras...

A suíte OSSIM apresenta um centro de operação de segurança, coleta as informações e eventos críticos e apresenta estes em uma central de monitoramento. Através de configuração de sensores, que podem ser softwares ou hardwares instalados na rede, os dados são coletados e enviados. Para isso existe o agente que é um processo que funciona no sensor para coletar e emitir dados ao servidor. O agente, para sua operação, possui plugins que são partes de softwares responsáveis por estender funcionalidades deste. Por exemplo, um plugin que conheça o formato de um sistema de log específico, reservando-se a coletar estes dados. Desta forma, o agente reside no sensor e o coletor no servidor.

A arquitetura como um todo do OSSIM, vista na figura abaixo, consiste em quatro elementos:
  1. Sensores;
  2. Servidor de gerenciamento;
  3. Banco de dados;
  4. Frontend.

Linux: Front-end do Framework OSSIM
Os sensores são responsáveis por monitorar as atividades da rede, também realizam varreduras ativas através de scanners de hosts, em busca de vulnerabilidades na rede. O ossim agent recebe dados de hosts da rede, por exemplo, um roteador ou um firewall comunicam e enviam seus eventos ao servidor de gerência pai, ossim server. Na prática, uma configuração tí[*****] de sensores faria as seguintes funções em um monitoramento:
  • IDS (snort);
  • Scanner de vulnerabilidades (Nessus);
  • Detector de anomalias (Spade, Arpwatch, Pads, RRD);
  • Monitoramento de uso dos recursos de rede (ntop) e outros.

O servidor de gerenciamento inclui os seguintes componentes:
  • Framework, um daemon de controle que une diversos serviços;
  • Centraliza as informações recebidas dos sensores;
  • Coleta níveis de risco, prioridades, correlação, inventário, programar tarefas externas de apoio entre outros;
  • A base de dados armazena eventos e informações úteis para a gerência do sistema. Possui uma base de dados SQL.

O Frontend ou o console, é a visualização da aplicação aos olhos do administrador de redes, os componentes são módulos autônomos e podem ser configurados conforme a necessidade do administrador. Todos estes componentes poderiam estar separados aplicação por aplicação, mas de forma gerencial o OSSIM os coloca todos em um console central. Toda estrutura organizacional do sistema OSSIM pode ser vista na figura abaixo.
Linux: Arquitetura do Framework OSSIM
O monitoramento pelo sistema OSSIM pode ser dividida entre detectores e monitores. Os detectores são grupos de eventos e normalizações contínuas. Assim que os eventos são normalizados as informações são enviadas ao servidor e análises são realizadas em tempo real.

Já nos monitores, os agentes permanecem em stand-by até que o servidor solicite informação sobre o status de qualquer recurso. Esta requisição provoca a ativação do agente, que cumpre o pedido recolhendo e emitindo dados pretendidos ao servidor.

Todo o conjunto da suíte OSSIM demanda muito recurso de hardware, principalmente em sua capacidade de armazenamento devido aos eventos de logs.

O sistema OSSIM é modular, ou seja, possui uma escalabilidade, permitindo a fácil integração de novos elementos, sem a necessidade de reestruturar ou substituir o existente. A arquitetura com vários níveis é uma é uma estrutura redundante. Esta arquitetura permite servidores redundantes, como por exemplo, no uso do Keepalived, aplicação que tem a implementação de uma VRRP (Virtual Router Redundancy Protocol).

Quando na existência de diversas bases de dados, pode-se agregar todos os eventos em uma base de dados central. Caso ocorra uma falha em um dispositivo da rede, os eventos são mantidos em uma fila do coletor, até que o outro servidor tornar-se disponível, desta forma, nenhum evento é perdido durante o ajuste.

O OSSIM permite autenticação de seus usuários de gerência, utilizando o protocolo LDAP para localizar os usuários corporativos.

A confiabilidade e a prioridade fixadas dos eventos estão atribuídos as seguintes maneiras: quando o evento é normalizado e armazenado na base de dados, um valor inicial de prioridade e de confiabilidade é atribuído, quando o evento é gerado pelo módulo de correlação, a regra combinada desta, atribui seus próprios valores predefinidos da prioridade e da confiabilidade. Usando políticas gerais, o administrador pode ajustar a prioridade e a confiabilidade de um evento.

A recepção dos eventos no coletor e a transmissão ao servidor de correlação ocorrem em tempo real, enquanto os eventos são recebidos no coletor, ocorre a transferência imediata ao motor da correlação. Assim, o processamento e análise são imediatos.

Apresentado o framework open source OSSIM, para quem quiser maiores informações, bem como baixar e instalar a ferramenta, o site para comunidade é www.ossim.net, e o site do desenvolvedor é www.ossim.com. Não posso deixar de frisar aqui os direitos também do conteúdo de meu colega de estágio Pablo Schrammel, parceiro de muitas noites em claro estudando o OSSIM.

Referências


   

Páginas do artigo
   1. Introdução
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Proteção utilizando fail2ban contra ataques do tipo

Descobrindo serviço através das portas

Utilizando RPM para detecção de intrusos

Convergência entre segurança física e lógica

Verifique a sua fortaleza com lsat - software de auditoria em servidores e desktops

  
Comentários
[1] Comentário enviado por fernandoiury em 06/12/2008 - 23:28h

Grande achado. Ferramenta extremamente interessante!

Meus parabens,

Fernando Iury Alves Costa
www.fernandocosta.eti.br

[2] Comentário enviado por luizvieira em 03/03/2011 - 11:23h

Excelente artigo!
Eu sou fã do OSSIM!
Quem quer um monitoramento completo, eu indico esse framework :-)
Ele inclusive permite que vejamos até que ponto estamos em compliance como normas de segurança, como a ISO 27001 e PCI-DSS.

[ ]'s

[3] Comentário enviado por celsopimentel em 03/03/2011 - 14:45h

Vlw! Luiz, pena que a muito tempo não acompanho mais a evolução OSSIM, atualmente atuo mais no Coordenação de TI, mas a ferramenta é muito objetiva e o melhor de tudo que centraliza as necessidades de rede em um único gerenciamento. Um framewaork maravilhoso. Gostaria que colegas que utilizam a ferramenta atulmente podessem postar as novidades e considerações. Grande abraço, e VIVA o Linux, VIVA o mundo da colaboração e compartilhamento.

[4] Comentário enviado por virgil_dantas em 03/04/2014 - 14:19h

Olá, alguem sabe fazer a interação do OSSIM com o OCS???
obrigado galera.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor HostGator.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Viva o Android

Tópicos

Top 10 do mês

Scripts