Infomation

OSSEC (Open Soure HIDS SECurity)

DarkSoul.Story 2016. 4. 27. 17:57
반응형




Steps.

1. 개요

2. OSSEC 아키텍처 (Architecture)

   1) Manager

   2) Agent

   3) Agentless

   4) Virtualization/VMware

   5) Firewall, Switch, Router

3. OSSEC에서 지원하는 시스템

   1) OSSEC Agent를 지원하는 운영체제

   2) syslog를 지원하는 시스템/디바이스 (Devices supported via Syslog)

   3) Agentless를 지원하는 시스템

 



1. 개요


OSSEC은 확장 멀티 플랫폼, 오픈소스 호스트 기반 침입 탐지 시스템 (HIDS)이다. OSSEC은 강력한 상관 관계 및 분석 엔진을 이용하여, 통합 로그 분석, 파일 무결성 검사, Windows 레지스트리 모니터링, 중앙 집중식 정책 적용, 루트킷 탐지, 실시간 경고 및 능동적 대응을 할 수 있다.


OSSEC은 Linux를 포함하여, OpenBSD, FreeBSD, MacOS, Solaris, Windows등 대부분의 운영체제에서 실행 가능 하다. 또한, OSSEC은 무료 소프트웨어 이며, GNU General Public License (version 2) 규정에 따라 수정할 수 있다.


2. OSSEC 아키텍처 (Architecture)

OSSEC은 모니터링 하는 중앙 관리 (Central Manager), 시스템 로그등을 전달해 주는 에이전트 (Agent), 에이전트가 없는 디바이스 (Agentless Devices)로 나누어 진다.


1) Manager

Manager는 OSSEC의 중앙 부분으로 파일의 무결성 검사 데이터베이스, 로그, 이벤트 및 시스템 감사 항목을 저장한다. 그리고 모든 규칙(rule), 디코더 (decoders), 주요 구성 옵션이 저장된다. 많은 에이전트들을 쉽게 관리 할 수 있다. Manager는 OSSEC Server 라고 부르며, Linux 또는 Unix 계열 시스템에서만 지원한다.


2) Agent

Agent는 모니터링하려는 시스템에 설치하는 프로그램 또는 프로그램의 모음으로, 모니터링 하려는 시스템의 정보를 수집, 분석 및 상관 관계에 대한 내용을 Manager에 전달 한다. 정보는 정기적으로 또는 실시간으로 수집하며, 기본적으로 모니터링 하려는 시스템에 영향을 주지 않도록 작은 CPU와 Memory를 사용한다. 


Agent는 낮은 권한을 가진 사용자 (Low Privilege User)로 실행되며, 대부분의 Agent 설정은 Manager에 푸시(push) 할 수 있다. Agent는 Linux 또는 Unix 계열 시스템 뿐만 아니라, Windows 플랫폼도 지원한다.  


3) Agentless

Agent를 설치 할 수 없는 시스템의 경우 Agentless를 지원하며, 무결성 검사를 수행 할 수 있다. Agentless scan은 방화벽(Firewall), 라우터(Router), 심지어 Unix 시스템을 모니터하기 위해 사용될 수 있다.


4) Virtualization/VMware

OSSEC은 게스트 운영체제 (Guest Operating System)에 Agnet를 설치 할 수 있다. 또한 VMWare ESX 일부 버전에 설치할 수 있으나, 지원 문제가 발생 할 수 있다.


5)  Firewall, Switch, Router

OSSEC은 방화벽, 스위치, 라우터의 syslog 이벤트를 분석 할 수 있으며, Cisco routers, Cisco PIX, Cisco FWSM, Cisco ASA, Juniper Routers, Netscreen firewall, Checkpoint 및 기타 시스템의 syslog 이벤트를 분석할 수 있다. 


참고 : OSSEC Architecture (http://ossec.github.io/docs/manual/ossec-architecture.html)


3. OSSEC (Open Soure HIDS SECurity)에서 지원하는 시스템


OSSEC (Open Soure HIDS SECurity)은 아래와 같은 시스템들을 지원한다. 


1) OSSEC Agent를 지원하는 운영체제


- GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, Debian, etc)

- Windows XP, 2003, Vista, 2008, 2012

- VMWare ESX 3.0,3.5 (including CIS checks)

- FreeBSD (all current versions)

- OpenBSD (all current versions)

- NetBSD (all current versions)

- Solaris 2.7, 2.8, 2.9 and 10

- AIX 5.2 and 5.3

- Mac OS X 10.x

- HP-UX 11


2) syslog를 지원하는 시스템/디바이스 (Devices supported via Syslog)


- Cisco PIX, ASA and FWSM (all versions)

- Cisco IOS routers (all versions)

- Juniper Netscreen (all versions)

- SonicWall firewall (all versions)

- Checkpoint firewall (all versions)

- Cisco IOS IDS/IPS module (all versions)

- Sourcefire (Snort) IDS/IPS (all versions)

- Dragon NIDS (all versions)

- Checkpoint Smart Defense (all versions)

- McAfee VirusScan Enterprise (v8 and v8.5)

- Bluecoat proxy (all versions)

- Cisco VPN concentrators (all versions)

- VMWare ESXi 4.x


3) Agentless를 지원하는 시스템


아래 시스템의 경우 OSSEC Agnetless 사용하여, 로그 분석 및 파일 무결성 검사를 진행 할 수 있다.


- Cisco PIX, ASA and FWSM (all versions)

- Cisco IOS routers (all versions)

- Juniper Netscreen (all versions)

- SonicWall firewall (all versions)

- Checkpoint firewall (all versions)


참고 : OSSEC (http://ossec.github.io/docs/manual/supported-systems.html)


반응형