Académique Documents
Professionnel Documents
Culture Documents
Ossim
Ossim
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
SECURINETS
Prsente
Atelier : OSSIM
Formateurs:
1. 2. 3. 4.
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
1. Prsentation :
OSSIM est une solution offrant une infrastructure pour le monitoring de la scurit rseau. Ses objectifs consistent : Fournir un cadre centralis Fournir une console dorganisation Amliorer la dtection et laffichage des alarmes de scurit
2. Outils utiliss :
Les outils utiliss sont : un serveur OSSIM version 1.0.6 tlchargeable partir du site : http://www.ossim.net/docs/INSTALL.Debian.quick.html Lagent PADS Lagent TCPTRACK Lagent P0F Lagent SNORT Lagent NTOP Les dernires versions de ces agents peuvent tre installes laide de la commande : atpget install. 3. Architecture OSSIM : Larchitecture dOSSIM est divise en 2 principaux tages : Pr-processing : remonte dvnements des moniteurs et dtecteurs dans une base de donnes commune. Post- processing : analyse centralise. La figure ci-dessous illustre le fonctionnement en 2 tages. Nous remarquons que ces deux tages disposent de diffrentes bases de donnes permettant la sauvegarde des informations intermdiaires (corrles).
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
Dfinitions des bases de donnes : EDB : La base de donnes des vnements (la plus grande), stockant toutes les alarmes individuelles. KDB : La base de donnes des connaissances, sauvegardant les configurations tablies par ladministrateur en charge de la scurit. UDB : La base de donnes des profils, stockant toutes les informations du moniteur de profile. Nous dtaillons lacheminement dune alarme dans larchitecture dfinie par la figure ci-dessus.
1. Dtection dun vnement suspect par un dtecteur (par signatures ou par lheuristique). 2. Si ncessaire, des alarmes seront regroupes (par le dtecteur) afin de diminuer le trafic rseau. 3. Le collecteur reoit la/les alarme(s) via diffrents protocoles de communications ouverts. 4. Le parser normalise et sauve les alarmes dans la base de donnes dvnements (EDB). 5. Le parser assigne une priorit aux alarmes reues en fonction de la configuration des polices de scurits dfinies par ladministrateur scurit. 6. Le parser value le risque immdiat reprsent par lalarme et envoie si ncessaire une alarme interne au Control panel 7. Lalerte est maintenant envoye tous les processus de corrlation qui mettent jour leurs tats et envoient ventuellement une alerte interne plus prcise (groupe dalerte provenant de la corrlation) au module de centralisation. 8. Le moniteur de risque affiche priodiquement ltat de chaque risque calcul par CALM.
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
9. Le panneau de contrle affiche les alarmes les plus rcentes et met jour les indices des tats qui sont compars aux seuils dfinis par ladministrateur. Si les indices sont suprieurs aux seuils configurs, une alarme interne est mise. 10. Depuis le panneau de contrle, ladministrateur a la possibilit de visualiser et rechercher des liens entre les diffrentes alarmes laide de la console forensic.
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
Le script Perl rrd plugin.pl effectue la liaison entre Ntop et lagent Ossim. Celui-ci interroge priodiquement la base de donne RRD laide de loutil RRDtool. Il rcupre les seuils des compteurs dfinis par ladministrateur rseau laide du framework de configuration et les compare aux donnes prcdemment rcupres. Les ventuels dpassements des seuils sont ensuite stocks dans un fichier de log (/var/log/ossim/rrd plugin.log) qui sera rcupr par lagent Ossim afin de permettre lenvoi temps rel des informations au serveur. La corrlation des ces informations peut ensuite tre effectue sur le serveur.
Le logiciel PADS reportera simplement toutes les informations rcoltes dans le fichier de log /var/log/ossim/pads.csv (indiqu dans la configuration du plugin, fichier /etc/ossim/agent/plugins/pad.xml). Lagent Ossim se chargera ensuite de les rcolter et de les envoyer de manire temps rel au serveur.
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
Le principe de communication dune sonde P0f avec le serveur OSSIM est illustr par la figure ci-dessous.
Celui-ci est assez simple. P0f crit ses logs dans le fichier /var/log/ossim/p0f.log (chemin fournit P0f par lagent Ossim lors du lancement de P0f). Ce chemin se trouve donc dans la configuration du plugin P0f (/etc/ossim/agent/plugins/p0f.xml) de lagent. Le daemon agent (ossim-agent) soccupera ensuite de les rcuprer afin de les envoyer au serveur Ossim pour une analyse temps rel.
Le principe de communication dune sonde TCPTrack avec le serveur OSSIM est illustr par la figure ci-dessous.
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
TCPTrack fonctionne dune manire similaire laffichage Web des informations de Ntop. En effet, aucune information nest spontanment envoye vers le serveur Ossim. TcpTrack ouvre simplement un port serveur sur la loopback de lagent. Cest ensuite le serveur Ossim, qui lors du procd de corrlation, interrogera si ncessaire lagent afin quil interroge son tour TCPTrack). Une fois les informations rcoltes par lagent, celui-ci ce chargera de les remettre au serveur qui les utilisera pour la corrlation. Lagent joue donc un rle dintermdiaire entre le serveur et le sonde TCPTrack.
Nous remarquons que lIDS Snort est indpendant du programme client dOSSIM (nomm : ossim-agent) et que deux flux dinformations sont mis en direction du serveur.
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
5. Installation et configuration
a. Server OSSIM : On tlcharge et on installe le serveur OSSIM partir du site officiel d'OSSIM
http://www.ossim.org/OSSIM/Downloads.html
b. Agent OSSIM: On install avec apt-get install ossim-agent: # apt-get install ossim-agent On configure lagent ossim en effectuant des modifications sur son fichier /etc/ossim/agent/config.cfg: # vi /etc/ossim/agent/config.cfg
sensor = 127.0.0.1 interface = eth0 # interface from where the event has come date_format = %Y-%m-%d %H:%M:%S ; format, not date itself ossim_dsn=mysql:localhost:ossim:root:yoursecretpassword
enable = True ip = 127.0.0.1 port = 40001 GRANT ALL PRIVILEGES ON *.* TO 'snort_database_user'@sensor_ip identified by 'mysql_password';
c. Outils supplmentaires :
NTOP : # apt-get install librrd2 ntop # ntop -u ntop >> Please enter the password for the admin user: # ^C # /etc/init.d/ntop start
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
Aprs chaque installation on utilise la commande suivante pour activer loutil chez lagent : # dpkg-reconfigure ossim-agent