OSSIM 系統介紹與安裝

ossec 同樣是 opensource 形式的軟體,支援多種作業系統,主要提供主機的完整性檢查、日誌檔監測與惡意程式 (Rootkit) 掃描的功能。如果發現有疑似攻擊的行為發生,ossec 還可以做出回應,例如封鎖攻擊來源的 IP 位址。ossec 採用主從式 (Client-Server) 的架構,主要透過命令列方式加以設定。而事件的判斷結果統一集中在 ossec 伺服器 (Server) 上,同樣必須透過指令的方式加以查看。
作為一個專業的管理人員,當然不能接受這麼不方便的事情。好險,有 ossim 的存在。嚴格來說,  ossim 並不是單是  ossec 的圖型化操作介面,更不是日誌管理系統。ossim 整合了許多 opensource 的資安/管理工具,並以 ISO 檔 (或專屬設備) 的形式發佈,讓管理者可以很快建立起一個完整的 SIEM 系統。ossim 整合的工具包含了

    流量管理: ntop, netflow
    入侵偵測: snort, ossec
    弱點掃描: openvas, nessus
    可用性: nagios3
    變更管理: arpwatch, P0f, Pads
    無線網路管理: kismet

除了工具的整合,  ossim 還可以透過 syslog 的機制,分析來自其他設備或軟體的資訊。而付費版本的 ossim,更提供了日誌加密封存的功能,可作為日後訴訟用的佐證。
甚至可以利用 ossec + ossim 做出一個完整的主機入侵偵測系統 (HIDS)。前面提到 ossec 採用主從式的架構,所以 ossim 就是 ossec 的伺服器 (Server),而其他我們想要管理的主機就是 ossec 的客戶端 (Client)。

介紹完了 ossim 的強大功能,馬上就開始實際安裝。
  1. 至 AlienVault 官網下載最新版 https://www.alienvault.com/products/ossim 目前的版本 v5.1 我是下載 64位元的 iso 檔。
  2. 進入安裝畫面,由於是以debian ( linux ) 為基礎所設計的開源軟體,安裝的過程也十分簡單如下:
    Install AlienVault OOSIM 5.1.0 (64 Bit)
    Install AlienVault Sensor 5.1.0 (64 Bit)
    Chinses(Traditional)-中文(繁體)
    地區:臺灣
    鍵盤-美語
    進入安裝
    網路設定
    IP位址:你的 ip
    網路遮罩(NetMask):略
    閘道(Gateway):略
    名稱伺服器(Name Server):略
  3. 正式安裝有點久,完成安裝後會自動重開機,然後進入 linux 畫面,如下圖:

由於完成安裝後 ssh 已開啟,故直接用 putty 連線進來設定即可。






如要登入 ossim 管理頁面,直接在網址輸入主機的 ip ,自動會導到 https://主機ip/ossim 首頁,雖然是免費的資安管理工具,但該有的功能一樣少不了,整體的系統介面相當完善,不太需要做複雜的 config 設定,直接使用網頁設定即可。


看不懂英文嗎?沒問題,系統提供語系切換,雖然翻譯的沒有很完整,但至少是繁體中文了。




ossim 功能很強大,但仍需要做詳細的設定,在此就不一一介紹,有興趣的可以下載來試試看。





留言

這個網誌中的熱門文章

c語言-關於#define用法

CMD常用網管指令

使用windows CMD 時間自動校正