OSSEC – это хостовая система обнаружения вторжений ( HIDS ), свободная и с открытым исходным кодом . Она ведёт анализ системных логов , проверку целостности, наблюдение за реестром ОС Windows , обнаружение руткитов , оповещение в заданное время и если будет обнаружено какое-либо событие. Она предоставляет функцию обнаружения вторжений для большинства операционных систем, включая Linux , OpenBSD , FreeBSD , OS X , Solaris и Windows . Её кроссплатформенная архитектура позволяет легко управлять и наблюдать сразу за несколькими операционными системами. Она написана Даниэлем Б. Сидом, и доступна с 2004 года.

Возможности OSSEC соблюдают некоторые правила PCI DSS . Подробнее можно прочитать в предоставленном на сайте проекта OSSEC PDF-документе.

В июне 2008 года проект OSSEC и все копирайты, принадлежащие лидеру проекта, Даниэлю Б. Сиду, приобрела компания Third Brigade . Компания обязуется совмещать разработку программы вместе с сообществом Open Source и предоставлять коммерческую поддержку и обучение пользователям OSSEC.

В мае 2009 года компания Trend Micro приобрела Third Brigade и проект OSSEC, также обязуясь оставлять его открытым и свободным .

Компоненты

OSSEC состоит из основного приложения, программы-агента для ОС Windows и веб-интерфейса .

• Основное приложение: Основное приложение, OSSEC, работает и в распределённой сети, и автономно. Поддерживает ОС Linux, Solaris, BSD и Mac.
• Агент для ОС Windows: работает только в ОС Windows. Для включения серверного режима основного приложения необходима программа-агент.
• Веб-интерфейс: графический интерфейс пользователя . Как и основное приложение, поддерживает ОС Linux, Solaris, BSD и Mac.

Возможности

OSSEC ведёт очень подробный анализ логов, программа может сравнивать и анализировать логи одновременно нескольких приложений в нескольких форматах. Для наблюдения поддерживаются следующие приложения:

• Unix -специфичные:
  • Unix PAM
  • sshd ( OpenSSH )
  • Solaris telnetd
  • Samba
  • Su
  • Sudo
• FTP-серверы:
  • ProFTPd
  • Pure-FTPd
  • vsftpd
  • Microsoft FTP Server
  • Solaris ftpd
• Почтовые серверы:
  • Imapd and pop3d
  • Postfix
  • Sendmail
  • Microsoft Exchange Server
• Базы данных:
  • PostgreSQL
  • MySQL
• Web-серверы:
  • Apache HTTP Server (логи доступа и ошибок)
  • IIS web server (включая расширения NSCA и W3C)
  • Логи ошибок
• Интернет-приложения:
  • SquirrelMail
  • Modsecurity
• Фаерволлы:
  • Iptables
  • Solaris IPFilter
  • AIX ipsec/firewall
  • Netscreen
  • Windows Firewall
  • Cisco PIX
  • Cisco ASA
• NIDS:
  • Cisco IOS , модуль IDS/IPS
  • Snort IDS (snort full, snort fast и snort syslog)
• Утилиты для обеспечения безопасности:
  • Norton AntiVirus
  • Nmap
  • Cisco VPN Concentrator
• Прочие:
  • Named ( BIND )
  • Squid proxy
• Логи событий Windows (логин, логон, информация для аудита и другие)
• Логи маршрутизации и удалённого доступа Windows
• Средства аутентификации unix (adduser, логины и другие)

Примечания

Ссылки

• (англ.)
• (англ.)
• (англ.)
• (англ.)
• (англ.)

• (англ.)
• (англ.)
• (англ.)