|
|
|
|
移动端

1.1.3 OSSIM的前世今生(3)

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍OSSIM的前世今生。

作者:李晨光来源:清华大学出版社|2016-01-14 16:07

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


1.1.3 OSSIM的前世今生(3)

7.配置snort.conf

Snort.conf文件时配置Snort的重点,必须指定要监控的IP地址范围,启用的预处理程序以及使用的输出插件和采用的规则。

8. 运行Snort

Snort通过一些命令选项来控制,需要用命令行给Snort传递以下内容:

Snort.conf配置文件路径

日志文件夹路径

网络接口(作抓包用)

Snort用户和组的UID(用户ID)和GID(组ID)

当Snort正常运行后需要查看报警,下面介绍几种Web入侵分析控制台。

9.安装Apache

不管哪种Web 入侵控制台,在前端须安装LAMP环境。下载:http://httpd.apache.org/

10. 配置mod_ssl

mod_ssl是Apache和OpenSSL之间的接口,Apache可以通过各种模块扩展功能。Apache有几百种模块,mod_ssl只是其中之一。

11. 安装GD

如果想在Snort的前端控制台上看到各种图形显示,那么就必须安装GD库,它是一种图形库,可以让PHP绘制出各种复杂图形,GD库还可以创建JPG、PNG和BMP图像,可以分析大量的数据集合,然后将这些数据绘制成图表,将图表动态的展现给管理员。如果打算发挥GD库的功能就必须要有以下3个库的支持。

Zlib压缩库,zlib-1.2.7.tar.gz

libPNG创建PNG文件库libpng-1.2.44.tar.gz

Jpegsrc JPEG压缩库,jpegsrc.v8.tar.gz

只有在以上三个库安装完毕之后才能开始安装GD库,其下载路径:http://pkgs.org/download/php-gd

12.安装PHP

Snort服务器管理图形用户接口ACID采用PHP语言编写,主要用途是将传感器收集的入侵数据制作成动态Web页,此外查询接口也是PHP编写。

13.安装ADODB

由于PHP不能直接访问MySQL数据,中间必须通过一个接口库,这个接口库就是ADODB,它在两者间起到桥梁作用。它的位置通常都在PHP目录下,以Ossim系统为例,它的路径为/usr/share/php/adodb/,配置文件为:/usr/share/php/adodb/adodb.inc.php

14. 安装ACID

ACID(入侵数据库分析控制台)是一个基于PHP的分析引擎,它通过Web界面来查看Snort所产生的安全事件。ACID能运行在多种操作系统中,为了使用ACID,用户系统中必须安装Snort、Apache、MySQL、PHP,它们之间的关系如下:

1):当入侵者进入监控网段内并进行各种攻击行为,Snort会根据规则检测到入侵行为然后,根据其配置文件/etc/snort/snort.conf的配置,将告警信息记录到MySQL数据库。

2):用户使用Web浏览器连接到Snort服务器。

3):PHP连接到数据库,提取告警信息。

4):用户在浏览器中查看告警信息。

在OSSIM系统中这些工具包已经集成到系统中。

为了监控完整,可根据网络分布情况,在多个网络关键节点上分别部署IDS传感器。当传感器Snort获得记录信息后有几种处理方式:

存储到本地日志。

转发到Syslog。

存储到Mysql。

Snort日志记录仅包含网络数据包的原始信息,对于这些大量信息进行人工分析,显然不太可能,所以产生了一个能够操作查询数据库的分析平台,目前更新到BASE(Basic Analysis and Security Engine,http://base.professionallyevil.com/,最新版本1.4.5)版本。初学者独立架构这样一套复杂系统会遇到各种问题,有什么办法可以将这些组件一次性安装配置好,形成即装即用的产品呢?在2003年8月,OSSIM的雏形便产生,经过十多年的演进,目前已发展成为一套功能齐全的安全管理与分析平台,其开发公司Alienvault,在2012年7月获3440万美元融资,发展势头喜人,下面我们看看OSSIM各版本变迁,见表1-1

表1-1  OSSIM版本变迁

2003

8

OSSIM 0.1~0.4

9

OSSIM 0.5

10

OSSIM 0.6

11

OSSIM 0.7

2004

1

OSSIM 0.8

2005

2

OSSIM0.9.8

2006

6

OSSIM 0.9.9rc2

2007

6

OSSIM 0.9.9rc3

2008

2

OSSIM0.9.9

2009

1

OSSIM 2.0

7

OSSIM 2.1

2010

2

OSSIM 2.2

2011

7

OSSIM 2.3.1

9

OSSIM 3.0

2012

1

OSSIM 3.1

12

Alienvault OSSIM 4.1

5

AlienvaultOSSIM 4.2

11

AlienvaultOSSIM 4.3

12

AlienvaultOSSIM 4.4

2014

3

AlienvaultOSSIM 4.5

4

AlienvaultOSSIM 4.6

5

AlienvaultOSSIM 4.7

6.

AlienvaultOSSIM 4.8

AlienvaultOSSIM 4.9

7

AlienvaultOSSIM 4.10

9

AlienvaultOSSIM 4.11

10

AlienvaultOSSIM 4.12

11

AlienvaultOSSIM 4.13

12

AlienvaultOSSIM 4.14

2015

1

AlienvaultOSSIM 4.15

4

AlienvaultOSSIM 5.0

6

AlienvaultOSSIM 5.0.3


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

大道至简:软件工程实践者的思想

本书是在“思想方法学”这一软件工程尚未涉足过的领域中的实习之作。作者亲历国内软件工程的英雄时代、泡沫时代,从失败中醒觉而创建独特的...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊