OSSIM安裝註意事項
1.如何選擇OSSIM版本
SIEM (安全信息和事件管理)是軟件和服務的組合,是安全信息管理和安全事件管理的融合體。SIEM可以管理企業IT資源產生的安全信息(包括日誌、告警等)進行統一的實時監控誤操作行為進行監控、審計分析、調查取證、出具各種報表報告。OSSIM就是開源版的SIEM,對大型企業有商業版,對於社區有開源版OSSIM,他們主要區別見表1所示。
表1? ?商業版和免費版主要區別
OSSIM
USM All-in-One
USM? Enterpprise
適應人群
安全研究人員和學生
中型企業
大型企業和組織
價格
Open source
收費
收費
應用案例
網絡流量、協議分析
網絡資產管理、漏洞掃描
安全事件管理
可用性管理、完整性檢查
報告輸出(Alarm、Asset、PCI-DSS等)
合規管理和報告((PCI,、HIPAA、ISO 27002 (SOX))、事件響應、日誌管理、
技術支持
社區
廠商支持
規則/插件數量
少量
豐富並持續更新
管理
集中管理和配置
集中管理和配置
威脅情報
社區的開發組織
Alienvault實驗室威脅智能訂閱(每周更新)。
報 告
社區提供的基本功能
廠家提供數千種威脅報告。
訪問控制
基於角色的訪問控制權限
基於角色的訪問控制權限以及豐富的模板。
可擴展性&性能
單機/分布式
可在線提供擴展支持,包括單機部署和多機分布部署。
註意:OSSIM USM ALL-IN-ONE? (包含Sensor、Framework、Server、Database)
由於低版本的OSSIM架構相對簡單,運行環境要求比較低,所以初學者建議使用低版本的OSSIM,當你對OSSIM原理有深刻理解之後可以在AlienVault官網下載新版繼續研究。
OSSIM4網盤下載? ?(適用於機器內存小於8G的用戶)
OSSIM5網盤下載? ? ?(適用於機器內存小於16G的用戶)
2.OSSIM安裝準備
凡事預則立,不預則廢,下面幾個問題需要你慎重考慮:
(1)首先確定監控範圍,需要監控幾個網段的多少臺服務器,每臺設備的日最高流量為多大(需要按峰值考慮),每臺設備都需要能聯系到相應的管理員。
(2)確定監控對象,雖說OSSIM能夠監控多臺設備,以及各種網絡服務器等,但實際上為了保證性能符合我們的要求,不能無節制的開啟服務,例如使用OSSIM的流量監控那麽需要啟動Ntop、Nagios等相關服務,使用OSSIM的漏洞掃描功能只需要啟動Openvas、Nessus和Nmap等相關服務,使用Ossec作為HIDS使用,情況也是如此,如果硬件配置出眾,那麽再多啟動一些服務也無妨,但是有一點,MySQL數據庫承載和響應速度是有個極限的,即便是硬件配置高,服務開啟多了,照樣會出現系統延遲。
(3)從操作人員配備上看,必須由專人負責,熟悉Linux系統+網絡架構+MySQL+PHP的中、高級網絡工程師來擔任OSSIM的管理員。在OSSIM系統投入初期有個機磨合期,之後系統運行走向正軌後,將會給企業網絡運營審計工作帶來收益。
(4)硬件選擇,可以采用品牌服務器,對於中小企業也可以根據自己需求,但總體配置有個要求,這裏以OSSIM 4.8系統為例,目前系統對多核性能支持的比較好,推薦采用至強E系列處理器,OSSIM在漏洞掃描,Ossec掃描,Snort事件分析時會消耗大量CPU,所以要盡量選擇高性能CPU,尤其是在OSSIM USM發展到5.0之後,數據庫采用了MySQL 5.6,對多CPU需求更高。
就內存而言 ,只有一個道理:越大越好 。當數據庫的全部數據頁能保存在緩沖池中,那麽其性能 理論上是最優狀態。 對於新版本OSSIM,建議需要配備16G以上內存,經過長期測試,對於OSSIM 4(64位)版本系統而言,如果內存分配小於6G在實際測試中系統工作一段時間之後,由於內存溢出等問題,可能出現某些服務自動重啟或沒有響應的情況。
所以16G內存是穩定運行的一個經驗值(而且監控選項和插件選項是有正對性的開啟)另外系統還需要2T的存儲空間,有能力配備32G就為比較理想的選擇。筆者在測試環境中采用自己攢的服務器,配置如下:華碩P8Z87-K+Intel I7 4770K+32G內存+雙千兆Intel網卡+4T硬盤的配置下安裝OSSIM 4.8一次性通過,運行效果比較理想,有條件的企業建議采用固態硬盤。
3.什麽服務器適合安裝OSSIM?
選擇服務器必須註意該款服務器所支持的操作系統,它決定了是否能安裝服務器的硬件驅動。通常聯想、IBM、HP、DELL的服務器均不支持Debian?Linux,但他們很多款型號的服務器都支持VMware?ESX,所以初學者通過虛擬化方式部署OSSIM服務器。
? ? ?3.1服務器網卡的選址問題
通常,大家在實體服務器上通過光盤安裝OSSIM過程中,沒有提示輸入IP、網關等配置,進入系統後才發現網卡沒有加載驅動,這時候你再回過頭去下載服務器網卡驅動,比較麻煩,那到底OSSIM系統需要什麽樣的網卡呢?如果OSSIM工作在千兆網絡環境,建議加裝一塊性能優異的網卡,首推Intel Pro網卡,它是著名品牌且性能穩定,可顯著的改善服務器網絡性能的特性,解決網絡傳輸瓶頸。
Intel推出了最新一代的千兆萬兆網絡適配器芯片:82575/82576以及82598/82599,代號分別為Zoar/Kawela/Oplin/Niantic。其中代號為Kawela的Intel?82576芯片在千兆網卡裏面屬於功能最強大的,它支持PCIe?2.0?x4界面,具備多個RSS隊列的網卡,可以將不同的網絡連接分成不同的隊列,進而分別發送到不同的CPU核心上進行處理,從而將負荷分散,充分利用多核處理器的能力。
到底哪種網卡最適合OSSIM呢?從安裝方便程度和價格上看當屬Intel Pro 10/100/1000網卡,但它的吞吐量並不是最好,OSSIM自帶Intel Pro網卡驅動,另外選擇Realtek瑞昱8169芯片(OSSIM直接帶驅動)網卡也是一種選擇比Intel略遜一籌,比它更好的例如Intel?Gigabit?ET?Quad?Port?Server?Adapter,型號是E1G44ET,這需要你手動安裝驅動,這塊基於兩個82576芯片的強大四口千兆網卡,適和大流量網絡環境下監控,但價格比較貴。
? ??3.2?CPU的選擇
? ? ? ?對於CPU的選擇,盡量選擇多路誌強處理器,因為在OSSIM框架內的絕大多數服務都支持多線程,如表2所示。
表2? OSSIM中的多線程與單線程服務
支持多線程服務
MySQL、RabbitMQ、Suricata、Nmap、Memcached、ossim-framework、ossim-server、Ntop、Nagios、Apache、OpenVas
單線程服務
Snort、Squid、Redis、iptables
在多核運算上,從整體而言也不是CPU越多越好,比如我們選擇一款Xeon E5-2680 CPU,八核心十六線程20M三級緩存強大處理器。如果在增加CPU對於提升系統性能並不明顯,另外我們也需要知道如何查看CPU指標,主要是通過在系統中查看/proc/cpuinfo文件獲取,我們會發現以下信息:
?? CPU的物理個數。
?? 具有幾個邏輯核。
?? CPU是否啟用超線程。
?? CPU的主頻。
?? 邏輯CPU、CPU型號。
? ? 3.3?RAID模式
? ?如果選用 RAID 5 安裝OSSIM會遇到啟動問題,在測試中發現RAID 0是一種非常不錯的選。
4.安裝常見故障
對於OSSIM的安裝過程比較簡單和其Linux沒有本質區別,這裏需要說明的是下面安裝故障的處理方法。
下面筆者列舉了一些常見的OSSIM安裝錯誤,以便大家在今後安裝中少走彎路,實例例舉如下:
(1)?????? 禁止OSSIM Server以及Sensor的非法關機,這將有可能造成數據庫損壞。下圖例舉某一OSSIM系統在非法關機後,重開機的畫面,左邊為啟動系統畫面,但長期停留在此畫面,但F2進入命令後發現右邊的提示,這就是非法關機後果,最後幾經周折修復文件系統後才恢復系統。
(2)將OSSIM串聯在防火墻鏈路之後運行。
如果想利用OSSIM中的iptables+TC做安全網關和簡單的流量控制這種方案是可行的,如果將它作為網絡數據包審計和日誌收集分析那麽就不適合串聯在防火墻之後,這種部署方式就是錯誤的。
(3)OSSIM流量收集分析口在交換機沒有正確設置SPAN。
這種也屬於初學者常見的問題之一,在使用OSSIM做IDS分析時一定要將所檢測網段的全部流量鏡像過來,方法之一就是SPAN,當然對於流量很大的情況可以采用網絡分流器(Net-TAP)這種硬件卡實現分流目的。
(4)安裝時只安裝了Sensor組件。
初學者在初次安裝OSSIM系統時只安裝了Sensor,導致無法使用。這是應該避免的錯誤。
(5)OSSIM裝好了系統,長期置之不理。
OSSIM它是一套智能分析提供,同時也需要每天對其進行維護,否則真的要“罷工”啦!筆者建議指定專門的網絡安全分析師每天觀察OSSIM搜集的情報,以便及時進行調整。
(6)畫蛇添足-安裝SELinux。
SELinux全稱是Security Enhanced Linux安全強化Linux,是MAC(Mandatory Access Control強制訪問控制系統)的一個實現,目的在於明確的指明某個進程可以訪問哪些資源(包括文件,網絡端口等)。有些朋友考慮加固OSSIM系統,因為系統默認沒有啟用SELinux,所以想手工安裝SELinux。從安全角度考慮,這種想法沒有錯,但是alienvault公司並沒有為OSSIM 組件做這方面的設置,也就是說如果在沒有完全多OSSIM所有組件做好這方面準備之前,冒然啟用了SELinux,那麽後果很嚴重。SeLinux不但改變了文件權限,而且還禁止了so庫的調用,所以整個OSSIM系統無法啟動。
(7)計算機硬件配置與軟件要求不匹配問題,例如在低配置的計算機上安裝了較新的OSSIM版本。
不少用戶會嘗試在低配置的計算機上安裝OSSIM 高版,這樣抓包流量過來之後不但起不到然和作用反而會讓系統內部負荷大到足以停滯的程度。表3列出了OSSIM版本和所需內存的關系。
表3? OSSIM對內存的要求
版本
最低內存
推薦內存
OSSIM 2.3.1
1GB
4GB
OSSIM 3.0~3.1
2GB
8GB
OSSIM 4.0~4.3
4GB
16GB
OSSIM4.3~4.6
8GB
16GB
OSSIM4.6~4.15+
16GB
32GB
8)用OSSIM系統來管理客戶機
OSSIM適合管理機房服務器和網絡設備而不宜用來管理大量客戶機。
9)Server和Sensor的角色能通過軟件添加刪除而互換?
不能,除了重裝沒有其它方法。
10)啟用過多插件
對於新手常常喜歡將一些自己認識的插件全加載到系統中(尤其是混合式安裝的OSSIM要承擔更多壓力),要知道插件內主要是正則表達式,當它在處理事件是是要消耗內存、磁盤空間和CPU等資源,加載的越多消耗越大,當Sensor將事件歸一化處理完之後還需傳給後續關聯引擎多次分析這樣進一步加大系統負載,所以並不是添加越多越好。
11)Ossim錯誤部署方式
不要用Ossim系統收集負載均衡服務器日誌,以為每臺負載均衡服務器每天會產生數百GB的訪問日誌,全網負載均衡服務器的日誌量幾十TB,即使是通過Gzip壓縮也有3-4TB,這麽大的負載會將Ossim系統壓垮。
12)反復調整系統的時間/時區
一定要設置好時區、時間,一旦調整好,系統運行一定階段後,禁止在修改這各時間。否則SIEM,日誌會發生故障。
OSSIM安裝註意事項