Framework OSSIM - Open Source Security Information Management

Por Celso Pimentel Gomes: Tecnólogo em Redes de Computadores, Técnico em Informática, Coordenador Curso Técnico em Informática do Colégio Evangélico Martin Luther - Marechal Cândido Rondon - PR.  

=====================================================================

Hoje a informação é zelada por qualquer organização, pois dependendo do grau de insegurança que venha acarretar sobre esta, o preço pela perda de informações críticas pode ser alto, muitas vezes pago com a queda da empresa no cenário de atuação. Com os avanços da tecnologia a informação definitivamente passou a ser armazenada digitalmente, exigindo grandes responsabilidades à  TI (tecnologia da informação), a qual necessita ser vista como uma área estratégica para qualquer organização. OSSIM é um framework que agrega as principais ferramentas de segurança e monitoramento de rede em uma única estrutura, permitindo a correlação entre as funcionalidades de cada uma, trazendo muitas possibilidades aos administradores de rede.

Atualmente o segmento de aplicações open source vem a contribuir de forma significativa com softwares de qualidade, que possuem uma boa adaptabilidade e, na maioria das vezes, um baixo custo de implantação.

O objetivo do framework Ossim é fornecer uma ampla compilação de ferramentas, que, ao trabalhar juntos, concedem um gerenciamento de segurança ao administrador, obtendo uma visão detalhada sobre todo e qualquer aspecto das suas redes, hosts, acesso físico, dispositivos, servidor etc. Além de ser formada pelas ferramentas de código aberto mais conhecidas no gerenciamento e monitoramento de redes. Alguma que o compõe:
  • Arpwatch
  • P0f
  • Pads
  • Nessus
  • Snort
  • Spade
  • Tcptrack
  • Ntop
  • Nagios
  • Osiris.
  • OCS-NG.
  • OSSEC,
entre outras...

A suíte OSSIM, apresenta um centro de operação de segurança, coleta as informações e eventos críticos e apresenta estes em uma central de monitoramento. Através de configuração de sensores, que podem ser softwares ou hardwares instalados na rede, os dados são coletados e enviados. Para isso existe o agente que é um processo que funciona no sensor para coletar e emitir dados ao servidor. O agente, para sua operação, possui plug-ins que são partes de softwares responsáveis por estender funcionalidades deste. Por exemplo, um plug-in que conheça o formato de um sistema de log específico, reservando-se a coletar estes dados. Desta forma, o agente reside no sensor e o coletor no servidor.

A arquitetura como um todo do OSSIM, vista na figura abaixo, consiste em quatro elementos:
  • Sensores;
  • Servidor de gerenciamento;
  • Banco de dados;
  • Frontend.
 
Os sensores são responsáveis por monitorar as atividades da rede, também realizam varreduras ativas através de scanners de hosts, em busca de vulnerabilidades na rede. O ossim agent, recebe dados de hosts da rede, por exemplo, um roteador ou um firewall comunicam e enviam seus eventos ao servidor de gerência pai, ossim server. Na prática, uma configuração típica de sensores, faria as seguintes funções em um monitoramento:
  • IDS (snort);
  • Scanner de vulnerabilidades (Nessus);
  • Detector de anomalias (Spade, Arpwatch, Pads, RRD);
  • Monitoramento de uso dos recursos de rede (ntop) e outros..
O servidor de gerenciamento inclui os seguintes componentes:
  • Framework, um daemon de controle que une diversos serviços;
  • Centraliza as informações recebidas dos sensores;
  • Coleta níveis de risco, prioridades, correlação, inventário, programar tarefas externas de apoio entre outros;
  • A base de dados armazena eventos e informações úteis para a gerência do sistema. Possui uma base de dados SQL.
O Frontend ou o console, é a visualização da aplicação aos olhos do administrador de redes, os componentes são módulos autônomos e podem ser configurados conforme a necessidade do administrador. Todos estes componentes poderiam estar separados aplicação por aplicação, mas de forma gerencial o OSSIM os coloca todos em um console central. Toda estrutura organizacional do sistema OSSIM pode ser vista na figura abaixo:

 

O monitoramento pelo sistema OSSIM, pode ser dividida entre detectores e monitores. Os detectores são grupos de eventos e normalizações contínuas. Assim que os eventos são normalizados as informações são enviadas ao servidor e análises são realizadas em tempo real. Já nos monitores, os agentes permanecem em stand-by, até que o servidor solicite informação sobre o status de qualquer recurso. Esta requisição provoca a ativação do agente, que cumpre o pedido recolhendo e emitindo dados pretendidos ao servidor.

Todo o conjunto da suíte OSSIM, demanda muito recurso de hardware principalmente em sua capacidade de armazenamento devido aos eventos de logs.

O sistema OSSIM é modular, ou seja, possui uma escalabilidade, permitindo a fácil integração de novos elementos, sem a necessidade de reestruturar ou substituir o existente. A arquitetura com vários níveis é uma é uma estrutura redundante.

Esta arquitetura permite servidores redundantes, como por exemplo, no uso do Keepalived, aplicação que tem a implementação de uma VRRP (Virtual Router Redundancy Protocol). Quando na existência de diversas bases de dados, podem-se agregar todos os eventos em uma base de dados central. Caso ocorra uma falha em um dispositivo da rede, os eventos são mantidos em uma fila do coletor, até que o outro servidor tornar-se disponível, desta forma, nenhum evento é perdido durante o ajuste.
O OSSIM permite autenticação de seus usuários de gerência, utilizando o protocolo LDAP para localizar os usuários corporativos.

A confiabilidade e a prioridade fixadas dos eventos, estão atribuídos as seguintes maneiras: Quando o evento é normalizado e armazenado na base de dados, um valor inicial de prioridade e de confiabilidade é atribuído, quando o evento é gerado pelo módulo de correlação, a regra combinada desta, atribui seus próprios valores predefinidos da prioridade e da confiabilidade. Usando políticas gerais, o administrador pode ajustar a prioridade e a confiabilidade de um evento.

A recepção dos eventos no coletor e a transmissão ao servidor de correlação ocorrem em tempo real, enquanto os eventos são recebidos no coletor, ocorre a transferência imediata ao motor da correlação. Assim, o processamento e análise são imediatos.

Apresentado o framework open source OSSIM, para quem quiser maiores informações bem como baixar e instalar a ferramenta, o site para comunidade é www.ossim.net, e o site do desenvolvedor é www.ossim.com. Não posso deixar de frisar aqui os direitos também do conteúdo de meu colega de estágio Pablo Schrammel, parceiro de muitas noites em claro estudando o OSSIM.

Fonte: Site do Autor: Oficina da Net
Share:

0 comentários:

Aviso importante!

Não realizamos upload dos ficheiros, apenas reportamos os links que encontramos na própria Internet. Assim, toda e qualquer responsabilidade não caberá ao administrador deste blog. Este blog não tem como objetivo reproduzir as obras, apenas divulgar o que foi encontrado na Internet. Os filmes aqui informados são de cunho científico assim como as séries, as quais são produzidas para exibição em TV aberta. Uma vez que a série não tenha sido ripada de um DVD, ou seja, a mesma foi gravada do sinal de TV aberta com o respectivo selo da emissora. Não é caracterizado crime, pois a mesma foi produzida para exibição pública. Será crime quando for realizado venda desta série ou filme. Quem efetuar download de qualquer ficheiro deste blog, que não tenha seu conteúdo de base Open Source (Código Aberto), ou FOSS (Free Open Source Software), deverá estar ciente que terá 24 horas para eliminar os ficheiros que baixou. Após assistir e gostar do filme ou série, adquira o original via lojas especializadas. Se algo contido no blog lhe causa dano ou prejuízo, entre em contato que iremos retirar o ficheiro ou post o mais rápido possível. Se encontrou algum post que considere de sua autoria, favor enviar e-mail para suporte@delphini.com.br informando o post e comprovando sua veracidade. Muito obrigado a todos que fizeram deste blog um sucesso.

Creative CommonsEsta obra está licenciada sob uma Licença Creative Commons. Você pode copiar, distribuir, exibir, executar, desde que seja dado crédito ao autor original (Citando nome do autor, data, local e link de onde tirou o texto). Você não pode fazer uso comercial desta obra.Você não pode criar obras derivadas.

Google+ Followers

Nossos 10 Posts Mais Populares