OSSEC é un sistema HIDS (Host Intrusion Detection System), é decir, un sistema de detección de intrusos que tamén opera como un SIM (Security Incident Managament). Un sistema de detección de intrusión de equipos ten como cometido o de analizar os rexistros de eventos do sistema operativo, comprobar a integridade do mesmo, auditoría do rexistro dos equipos Windows, detección de rootkits, alerta en tempo real e resposta activa.
OSSEC é un software de código aberto e gratuíto para o seu uso. Polas súas características, é un software altamente adaptable para calquera necesidade de seguridade a través das súas extensas opcións de configuración, adición regras de alerta personalizadas e escribindo guións de accións en resposta ás alertas de seguridade.
O proxecto OSSEC liberouse en xuño de 2008. Nesta data, o proxecto OSSEC e todos os dereitos de propiedade foron adquiridos pola compañía Third Brigade xunto co compromiso de que se seguiría contribuíndo á comunidade de código aberto estendendo o apoio comercial e a formación ao código aberto de OSSEC para a comunidade. Un ano despois, en maio de 2009, sería Trend Micro a que adquiriría a compañía Third Brigade e o proxecto OSSEC mantendo a promesa de manter a este último como proxecto de código aberto e libre. Na actualidade, OSSEC conta cunha gran comunidade de desenvolvedores, administradores de TI e usuario. O proxecto segue publicamente accesible en Github e a súa comunidade activa nos grupos de apoio ao proxecto en Google.
Volvendo á súa función, OSSEC permite aos clientes implementar un sistema integral de detección de intrusos baseado na supervisión do host con políticas específicas de aplicacións no lado servidor. Como software, funciona coa maioría dos sistemas operativos, incluíndo Linux, OpenBSD, FreeBSD, Mac OS X e Windows, é compatible cos requisitos da norma Payment Card Industry Data Security Standard (PCI DSS).
No que se refire aos compoñentes para a instalación, consta dunha aplicación principal, un axente de Windows e unha interface web. A aplicación principal, OSSEC, que se require para a rede distribuída ou instalacións autónomas. Soporta sistemas operativos Linux, BSD e Mac.
Pola súa banda, o axente de Windows proporciónase para ambientes Microsoft Windows. Para o seu uso, necesítase a configuración e instalación da aplicación principal en modo servidor para soportar o axente de Windows.
Finalmente está a interface web, que como aplicación separada fornece unha interface gráfica de usuario. Do mesmo xeito que a aplicación principal, é compatible con sistemas operativos Linux, BSD e Mac. Alternativamente, existe a posibilidade de reemprazar esta vista web por unha integración nunha ferramenta de visualización de ferramentas coma Kibana, Splunk, Graylog ou algo similar.
O núcleo de OSSEC está representado polo motor de análise de rexistros que é capaz de correlacionar e analizar rexistros de varios dispositivos e formatos:
- Unix: Unix PAM, sshd (OpenSSH), Solaris telnetd, Samba, Su e Sudo
- Servidores FTP: ProFTPd, Pure-FTPd, vsftpd, Microsoft FTP Server e Solaris ftpd
- Servidores de correo: Imapd e pop3d, Postfix, Sendmail, vpopmail e Microsoft Exchange Server
- Bases de datos: PostgreSQL e MySQL
- Servidores web: Servidor HTTP Apache (rexistro de acceso e rexistro de erros), servidor web IIS (NSCA e W3C estendido), e rexistro de erros do servidor web Zeus
- Aplicacións web: Horde IMP, SquirrelMail e Modsecurity
- Firewalls: firewall iptables, firewall IPFilter de Solaris, ipsec / firewall de AIX, firewall Netscreen, firewall de Windows, Cisco PIX, Cisco FWSM e Cisco ASA
- NIDS: módulo IDS / IPS de Cisco IOS e Snort IDS (completo, rápido e syslog)
- Ferramentas de seguridade: Symantec AntiVirus, Nmap, Arpwatch e Cisco VPN Concentrator
- Outros: Nomeado (BIND), proxy de Squid, Zeus eXtensible Traffic Manager (agora Riverbed Stingray Traffic Manager)
- Rexistros de eventos de Windows (logins, logouts, información de auditoría, etc.)
- Rexistro de Windows e acceso remoto
- Autenticación xenérica de Unix (adduser, inicios de sesión, etc.)
OSSEC ofrece unha xestión centralizada simplificada para xestionar políticas en varios sistemas operativos. Entre as súas principais ferramentas e vantaxes atopamos:
- Centralización do servizo de rexistro de eventos (logs) baseado en rsyslog.
- Mecanismo de resposta activa fail2ban.
- Sistema de monitorización de ficheiros tripwire.
- O detector de kits de intrusión (rootkit) rkhunter.
- Sistema de alertas e análise de logtash.
OSSEC ofrece a través de configuración a posibilidade de definir as adaptacións específicas no servidor para escribir políticas máis finas para certos hosts concretos. Integrarase cos investimentos actuais de clientes como a SIM/SEM (Xestión de incidentes de seguridade e a Xestión de eventos de seguridade) para os informes centralizados e a correlación de eventos.
OSSEC posibilita monitorizacións baseada en axentes pero tamén sen axentes de sistemas e compoñentes de redes como enrutadores e firewalls. A supervisión sen axentes permite que os clientes que teñan restricións ao instalar o software nos sistemas cumpran tamén as necesidades de seguridade.
Se o que nos preocupa é a detección de intrusos ou a modificación non autorizada dos nosos sistemas, OSSEC realiza a comprobación de integridade dos ficheiros de sistema e aplicación. O obxectivo da comprobación da integridade de ficheiros (ou FIM) é detectar estes cambios e avisalos cando ocorran. Pode ser un ataque, ou un mal uso por parte dun empregado ou mesmo un erro tipográfico por parte dun administrador, calquera ficheiro, directorio ou cambio de rexistro son notificados por OSSEC.
Pero OSSEC non se queda aquí e profunda na monitorización e alerta fronte a instalación de rootkits maliciosos instalados por eventuais hackers criminais que queren ocultar as súas accións. Usando a detección de rootkits OSSEC pódese notificar a existencia de rootkits no sistema.
Todo o comentado ata aquí, ten unha aplicación práctica concreta da PCI DSS. Como OSSEC nos reflicte calquera cambio ou evento nos ficheiros de rexistro dos produtos comerciais e das aplicacións personalizadas, convértese nunha solución perfectamente válida para a detección e alerta sobre as modificacións do sistema de ficheiros non autorizadas e o comportamento malicioso. Esta característica particular cubre as seccións PCI DSS 11.5 e 10.5.5 do Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).
O comentado no parágrafo anterior non se trata de algo menor. A norma de seguridade de datos da industria de tarxetas de pagamento ou PCI DSS foi desenvolvida por un comité composto polas grandes compañías de tarxeta de crédito e débito, un comité chamado PCI SSC Industry Security Standards Council) como guía para axudar ás organizacións que procesan, almacenan ou transmiten datos (ou titulares de tarxetas) de tarxeta para garantir tales datos, a fin de evitar fraudes que afecten débito e crédito.
Calquera empresa que procese, almacene ou transmita datos de tarxetas deben cumprir o estándar ou arriscarse perdendo os seus permisos para procesar tarxetas de crédito e débito, facer auditorías rigorosas ou pagar multas por non validar regularmente a súa conformidade co estándar.
Para ir rematando con esta introdución a OSSEC chegamos ao tema das alertas e notificacións. As notificacións en OSSEC poden personalizarse axustando os eventos aos que se queren dar relevancia permitindo enfocar e aumentar a prioridade para incidentes críticos sobre o ruído habitual en calquera sistema. A integración con SMTP, SMS e Syslog permite que os clientes estean encima das alertas enviándoos a dispositivos habilitados por correo electrónico. Tamén están dispoñibles as opcións de resposta activa para bloquear un ataque inmediatamente. O sistema de notificacións compleméntase coa función de resposta activa que permite que OSSEC tome medidas inmediatas cando se dan as circunstancias específicas que a activan. Isto pode evitar que un incidente se espanda antes de que un administrador poida tomar medidas.
Ata aquí o que podemos considerar como unha revisión por enriba do que é OSSEC e as súas virtudes. En vindeiras entregas entraremos en algo máis de detalle nas funcións que OSSEC ofrece e pararémonos un chisco máis de tempo en cada unha delas.
