OSSIM 安裝、使用常見錯誤舉例
初學者往往帶著已有的操作經驗來安裝和使用OSSIM往往會遇到一些棘手的問題,下面舉一些例子和大家分享:
(1) 禁止OSSIM Server以及Sensor的非法關機,這將有可能造成數據庫損壞。下圖1例舉某一OSSIM系統在非法關機後,重開機的畫面,左邊為啟動系統畫面,但長期停留在此畫面,但F2進入命令後發現右邊的提示,這就是非法關機後果,最後幾經周折修復文件系統後才恢復系統。
圖1 非法關機後的啟動界面
(2)禁止在硬件配置較低的機器上安裝、運行OSSIM系統。
前面也談到過OSSIM內存消耗問題,但大家在測試中還很可能在2GB或者4GB內存的舊服務器上安裝
(3)將OSSIM串聯在防火墻鏈路之後運行。
如果想利用OSSIM中的iptables+TC做安全網關和簡單的流量控制這種方案是可行的,如果將它作為網絡數據包審計和日誌收集分析那麽就不適合串聯在防火墻之後,這種部署方式就是錯誤的。
(4)OSSIM流量收集分析口在交換機沒有正確設置SPAN。
這種也屬於初學者常見的問題之一,在使用
(5)安裝時只安裝了Sensor組件。
初學者在初次安裝OSSIM系統時只安裝了Sensor,導致無法使用。這是應該避免的錯誤。
(6)OSSIM裝好了系統,長期置之不理。
OSSIM它是一套智能分析提供,同時也需要每天對其進行維護,否則真的要“罷工”啦!筆者建議指定專門的網絡安全分析師每天觀察OSSIM搜集的情報,以便及時進行調整。
(7)畫蛇添足-安裝SELinux。
SELinux全稱是Security Enhanced Linux安全強化
#apt-get install selinux-basics
#apt-get install selinux-utils
#apt-get install setools
當完成這些操作之後,系統安全性加強了嗎?從安全角度考慮,這種想法沒有錯,但是alienvault公司並沒有為OSSIM 組件做這方面的設置,也就是說如果在沒有完全多OSSIM所有組件做好這方面準備之前,冒然啟用了SELinux,那麽後果很嚴重。SeLinux不但改變了文件權限,而且還禁止了so庫的調用,所以整個OSSIM系統無法啟動。
(8)計算機硬件配置與軟件要求不匹配問題,例如在低配置的計算機上安裝了較新的OSSIM版本。
不少用戶會嘗試在低配置的計算機上安裝OSSIM 高版,這樣抓包流量過來之後不但起不到然和作用反而會讓系統內部負荷大到足以停滯的程度。表1列出了OSSIM版本和所需內存的關系。
表1運行OSSIM 內存要求
版本 | 最低內存 | 推薦內存 |
OSSIM 2.3.1 | 1GB | 4GB |
OSSIM 3.0~3.1 | 2GB | 8GB |
OSSIM 4.0~4.3 | 4GB | 16GB |
OSSIM4.3~4.6 | 8GB | 16GB |
OSSIM4.6~4.15+ | 16GB | 32GB |
9)用OSSIM系統來管理客戶機
OSSIM適合管理機房服務器和網絡設備而不宜用來管理大量客戶機。
10)Server和Sensor的角色能通過軟件添加刪除而互換?
不能,除了重裝沒有其它方法。
11)啟用過多插件
對於新手常常喜歡將一些自己認識的插件全加載到系統中(尤其是混合式安裝的OSSIM要承擔更多壓力),要知道插件內主要是正則表達式,當它在處理事件是是要消耗內存、磁盤空間和CPU等資源,加載的越多消耗越大,當Sensor將事件歸一化處理完之後還需傳給後續關聯引擎多次分析這樣進一步加大系統負載,所以並不是添加越多越好。
12)能否將OSSIM當成堡壘機使用?
不能。
13)Ossim錯誤部署方式
不要用Ossim系統收集負載均衡服務器日誌,以為每臺負載均衡服務器每天會產生數百GB的訪問日誌,全網負載均衡服務器的日誌量幾十TB,即使是通過Gzip壓縮也有3-4TB,這麽大的負載會將Ossim系統壓垮。
14)反復調整系統的時間/時區
一定要設置好時區、時間,一旦調整好,系統運行一定階段後,禁止在修改這各時間。否則SIEM,日誌會發生故障。
OSSIM 安裝、使用常見錯誤舉例