3. 技术特点
OSSEC除了前面介绍的具有典型的主机型入侵检测系统的特性外,还有其他一些特点:
Drop and Detect技术
Drop and Detect 测试函数特性的预先定义方案使得安全管理人员能够快速简单地安装入侵报警系统。使管理员能够避免最常见的危险的威胁,以保护您的Windows、Unix、Linux或其他关键的企业系统。同时,Drop and Detect 测试函数让安全管理员不必等待新“hard-coded”版的软件包就可以升级系统。
监视操作系统种类全面
Administrator可以运行于Linux、BSD、Sun Solaris;
Manager可以运行于Linux、BSD、Sun Solaris;
Agent可以运行于Linux、BSD、Sun Solaris、Windows 等。
在选择主机型入侵检测系统的时候,需要特别注意的是Agent可以适应的平台。主机型入侵检测系统的基础是Agent,只有Agent安装好了,相应的主机才能得到监控与保护。在选择时,仔细考虑好该入侵检测系统产品是否能满足您目前管理的所有操作系统平台的需要,还有将来发展的需要。
防火墙联动
防火墙联动主要是由防火墙厂商提供开放标准接口协议,其他厂商根据接口协议开发相应的通讯模块,实现彼此间的联动。Check Point最早推出了联动联盟OPSEC,通过提供开放接口标准,与其他厂商进行紧密合作,实现防火墙与内容、Web资源、入侵检测、认证等多个层次的联动。
防火墙与入侵检测系统联动是联动体系中重要的一环,这是因为这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证,还需要经过入侵检测,判断是否具有攻击性,以达到真正的实时阻断,这实际上是把两个产品合成一体。由于入侵检测系统本身也是一个很庞大的系统,所以无论从实施难度、合成后的性能等方面都会受到很大影响。这种方式仍处于理论研究阶段。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通信、警报和传输。目前开放协议的常见形式有:安全厂家提供IDS的开放接口,供各个防火墙厂商使用,以实现互动。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
日志管理
OSSEC可以读取Network Intrusion Detection 日志(snort) 以及 Apache和 IIS 得日志,从而确定你的系统有没有定期检测,以及有没有未知的入侵情况发生。Linux下的防火墙Iptable、BSD、AIX和Solaris 防火墙ipf都可以和OSSEC入侵检测系统联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。
本文介绍了OSSEC作为HIDS的技术特点下面我们开始实战配置在Solaris 10 平台下。