OSSEC

28 Квітня, 2016 0

OSSEC – хостовая система обнаружения вторжений (HIDS), свободная и с открытым исходным кодом. Она ведёт анализ системных логов, проверку целостности, наблюдение за реестром операционной системы Microsoft Windows, обнаружение руткитов, оповещение в заданное время и если будет обнаружено какое-либо событие.

OSSEC предоставляет функцию обнаружения вторжений для большинства операционных систем, включая Microsoft Windows, Linux, OpenBSD, FreeBSD, Mac OS X, Solaris. Её кроссплатформенная архитектура позволяет легко управлять и наблюдать сразу за несколькими операционными системами. Она написана Даниэлем Б. Сидом, и доступна с 2004 года.

Возможности OSSEC соблюдают некоторые правила PCI DSS. Подробнее можно прочитать в предоставленном на сайте проекта OSSEC PDF-документе.

В июне 2008 года проект OSSEC и все копирайты, принадлежащие лидеру проекта, Даниэлю Б. Сиду, приобрела компания Third Brigade. Компания обязуется совмещать разработку программы вместе с сообществом Open Source и предоставлять коммерческую поддержку и обучение пользователям OSSEC.

В мае 2009 года компания Trend Micro приобрела Third Brigade и проект OSSEC, также обязуясь оставлять его открытым и свободным.

Компоненты OSSEC

OSSEC состоит из основного приложения, программы-агента для операционной системы Microsoft Windows и веб-интерфейса.

• Основное приложение:

основное приложение, OSSEC, работает и в распределённой сети, и автономно. Поддерживает операционные системы Linux, Solaris, BSD и Mac OS X.

• Агент для операционной системы Microsoft Windows:

работает только в операционной системе Microsoft Windows. Для включения серверного режима основного приложения необходима программа-агент.

• Веб-интерфейс:

графический интерфейс пользователя. Как и основное приложение, поддерживает операционные системы Linux, Solaris, BSD и Mac OS X.

Возможности OSSEC

OSSEC ведёт очень подробный анализ логов, программа может сравнивать и анализировать логи одновременно нескольких приложений в нескольких форматах. Для наблюдения поддерживаются следующие приложения:

• UNIX-специфичные:

• UNIX PAM
• sshd (OpenSSH)
• Solaris telnetd
• Samba
• Su
• Sudo

• FTP-серверы:

• ProFTPd
• Pure-FTPd
• vsftpd
• IIS (Internet Information Services)
• Solaris ftpd

• Почтовые серверы:

• Imapd and pop3d
• Postfix
• Sendmail
• vpopmail
• Microsoft Exchange Server

• Базы данных:

• PostgreSQL
• MySQL

• Веб-серверы:

• Apache HTTP Server (логи доступа и ошибок)
• IIS web server (включая расширения NSCA и W3C)
• Логи ошибок Zeus Web Server

• Интернет-приложения:

• Horde IMP
• SquirrelMail
• Modsecurity

• Фаерволы:

• Iptables
• Solaris IPFilter
• AIX ipsec/firewall
• Netscreen
• Брандмауэр Windows
• Cisco PIX
• Cisco FWSM
• Cisco ASA

• NIDS:

• Cisco IOS, модуль IDS/IPS
• Snort IDS (snort full, snort fast и snort syslog)

• Утилиты для обеспечения безопасности:

• Norton AntiVirus
• Nmap
• Arpwatch
• Cisco VPN Concentrator

• Прочие:

• Named (BIND)
• Squid
• Zeus eXtensible Traffic Manager

• Логи событий Microsoft Windows (логин, логон, информация для аудита и другие)
• Логи маршрутизации и удалённого доступа Microsoft Windows
• Средства аутентификации UNIX (adduser, логины и другие)

Ссылки

Сайт OSSEC

Скачать OSSEC