UNIVERSIDADE SALVADOR REDES DE COMPUTADORES

FERRAMENTAS DE GERNCIA DE REDE Uma abordagem sobre o OSSIM

Salvador 2009

UNIVERSIDADE SALVADOR REDES DE COMPUTADORES

Davi Santos Eduardo Cruz Fernando Cruz Rafael Marconi Bruno Luis Santos

FERRAMENTAS DE GERNCIA DE REDE Uma abordagem sobre o OSSIM

Trabalho sobre Ferramentas de Gerncia, do curso de Gerncia e Administrao de Redes, ministrada pelo Professor Christian Guerreiro, da turma do 4o semestre do Curso de Redes de Computadores da UNIFACS, para obteno da terceira nota.

Salvador 2009

INTRODUO
No mundo atual, quando se fala em redes de computadores, um dos quesitos onde h uma preocupao imediata, a segurana da informao. Com o crescimento tecnolgico, as empresas cada vez mais concentram suas informaes em locais centralizados, por conta de eficincia e simplicidade. Fato este, que se configura como uma vulnerabilidade um pouco maior, pois caso ocorra um ataque contra a empresa, o invasor pode saber onde especificamente se encontra estas informaes. Uma analogia ao mundo real, seria como uma pessoa entrasse pela porta da frente de um escritrio, fosse direto ao setor de arquivos em papel mesmo, abrisse as gavetas, retirasse o que lhe interessava, e fosse embora sem que fosse percebido pelos funcionrios, isso porque, tais funcionrios estariam to ocupados com seus trabalhos, que mal perceberiam a presena de um intruso. No mundo digital, tambm pode acontecer de forma parecida, algumas ferramentas de monitorao da rede esto to preocupadas em monitorar determinadas aes, que as vezes se passam na deteco prioritria, ou at mesmo podem criar alarmes falsos, o que chamados de falso positivos, ou ento gerar relatrios com falsos negativos. Por isso, este trabalho vai focar numa ferramenta de gerncia completa, onde so definidas prioridades de gerenciamento, bem como anlises de falsos positivos e negativos, e viso da rede dos mais variados nveis de gerncia.

O QUE O OSSIM?
O OSSIM (Open Source Security Information Management), ou (Gerenciador de informaes de segurana de cdigo aberto) uma ferramenta de gerenciamento Open Source, que agrega vrias ferramentas de gerncia de forma integrada, ferramentas estas, que por sua vez so softwares de cdigo aberto. Seu desenvolvimento sempre tenta seguir os padres do mundo Open Source. A proposta do OSSIM, no reinventar a roda, ou seja, com vrias ferramentas abertas na internet, no se viu a necessidade de fazer um novo produto. A ideia do projeto na verdade, a integrao dos melhores softwares de gerenciamento que existem hoje, todos claro, de cdigo aberto. O OSSIM, tem por objetivo, fornecer uma infra-estrutura de gerenciamento centralizada, onde se pode ter uma viso abstrata do ambiente, bem como melhorar a capacidade de deteco e visibilidade no acompanhamento de eventos de segurana da rede corporativa. Considerada como uma soluo completa, o OSSIM pode fornecer ferramentas que vo desde o acompanhamento dos nveis mais baixos de gerenciamento, como por exemplo, relatrios de IDS (Sistema de deteco de Intrusos) para os tcnicos de segurana, como tambm dos nveis mais altos, direcionados para as pessoas que querem ter uma viso estratgica. Alm de controle de inventrio e outras ameaas. Alm da viso abstrata, o OSSIM, permite que se tenha um detalhamento de cada dispositivo da rede, como hosts, switches, roteadores, modems, impressoras, dentre outros. Com foi dito anteriormente, o OSSIM agrega as malhares ferramentas Open Sources de gerenciamento existentes. Dentre elas, podemos citar: Arpwatch Arpwatch uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereos ethernet (MAC) e seus respectivos endereos IP. Essa ferramenta tem a capacidade de reportar via email certas mudanas. O p0f uma ferramenta de fingerprinting passivo que obtm informaes interessantes de outros sistemas, sem gerar nenhum trfego na rede. O Nessus uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidade nos PCs da rede local. Considerado o melhor dentre os softwares livres utilizados quando se trata de IDS (Intrusion Detection System) ou Sistemas de Deteco de Intrusos. O tcptrack um software utilizado para monitorar conexes de rede baseado no tcpdump. Seu uso baseia-se totalmente em linha de comando. O Ntop um programa que monitora passivamente uma rede, coletando dados sobre os protocolos e sobre os hosts da rede. Sistema que consegue tirar relatrios de acesso, status das

P0f

Nessus Snort

Tcptrack

Ntop Nagios

mquinas, problemas que podem estar ocorrendo na sua mquina antes que eles afetem gravemente o sistema, etc. Osiris OCS-NG OSSEC Osiris um sistema integrado de monitorao de hosts que periodicamente monitora as alteraes em um ou mais hosts. um software, Open Source, que tem a finalidade de fazer o inventrio automtico das estaes de trabalho. Um Host IDS que monitora eventos e logs de hosts e servidores para detectar atividades suspeitas. Ele aplica anlise de assinatura contra mltiplos eventos de log e de comportamento do sistema.

PROCESSOS DO OSSIM
DETECTORES A definio para detectores no OSSIM, pode ser qualquer software que tem a capacidade de processar informaes de baixo nvel, como por exemplo, trfego ou eventos do sistema, e a partir da, enviar essas informaes a um local especificado. DEFICINCIA DE COLETA DE DADOS. Apesar das ferramentas de gerncia terem ao longo dos anos um desenvolvimento robusto e seguro, ainda podem existir falhas, umas das preocupaes do OSSIM, evitar que seja coletados dados inconsistentes, como exemplificado abaixo: Falsos positivos: A falta de confiabilidade em detectores, podem fazer com que alguns coletores, relatem alertas falsos sobre determinados eventos. Falsos negativos: Define que eventos mais graves e mais espertos, podem passar despercebidos por estes coletores de dados. PROCESSO DE DETECO O OSSIM, basicamente em sua deteco de eventos ou alertas, dividido em trs fases distintas: 1. Pr processamento: Se trata da deteco em si, onde so apenas gerados os relatrios ou os alertas antes de enviar tais informaes 2. Consolidao: Trata-se da fase onde todas as informaes so enviadas a um ponto central, que pode ser um servidor, que tomar as decises a partir da anlise dos dados recebidos. 3. Ps processamento: Tendo ento os dados, o software central pode ento tomar as decises de tratamento a ser realizado focando nos eventos e alertas. PROCESSO DE TRATAMENTO. Uma vez recebidos os alertas, o OSSIM foi desenvolvido com tratamento de trs formas diferenciadas. 1. Priorizao: Neste mtodos, a ideia priorizar eventos, de acordo com polticas, ou qualquer outro tipo de contextualizao, desta forma, o servidor

central trata eventos mais crticos, de forma prioritria. 2. Avaliao de Risco: Cada evento avaliado, ser avaliado tambm seu risco, ou seja, uma proporo entre os ativos onde se aplicam os eventos, bem como as ameaas e a probabilidade de um evento 3. Correlao: Onde se analisa um conjunto de eventos, para se der um valor maior.

ARQUITETURA DO OSSIM
Basicamente, a implementao do OSSIM, composto por 4 elementos, que so os sensores, servidores de gerenciamento, banco de dados e o Console (Fronted), como mostra a figura abaixo.

SENSORES Os sensores, nada mais so do que dispositivos que podem ficar monitorando as atividades da rede, no qual inclui. Monitores Passivos: so sensores que apenas escutam o trfego, analisando e definindo padres da rede, poderamos chamar de reconhecimento da rede. Monitores Ativos: os sensores podem trabalhar ativamente, mandando e recebendo mensagens para avaliar a vulnerabilidade da rede. Pode incluir alm disso, um agente OSSIM que recebe dados de outros equipamentos, como firewalls e roteadores, e passam estes relatrios ao servidor OSSIM. IDS (detector de intruso), utilizado pelo snort. Analisador de vulnerabilidade, usado pelo Nessus. Detector de anormalidade, utilizado por ferramentas como: Spade, p0F, arpwatch

Um tpico sensor OSSIM, tem as seguintes funes/caractersticas:

Monitoramento da rede e o perfil da rede, trabalho feito pelo Ntop Coleta de eventos locais de roteadores e firewalls, IDS, etc.

MAGNAMENT SERVER O Magnament Server, ou simplesmente Server do OSSIM onde se concentra toda a informao coletada pelos sensores, o server engloba basicamente e principalmente os seguintes componentes: FrameworkDir: Conjunto de controles das vrias partes integradas do OSSIM. OSSIM Server: Centraliza as informaes recebidas pelos sensores. As principais funes do server so: padronizao, priorizao, coleta, anlise de risco, etc. Tarefas de manuteno externa, como backups, backups programados, ativos de inventrios, etc.

As principais funes do server OSSIM, so:

BANCO DE DADOS O banco de dados armazena dados recebidos pelos sensores, assim como logs, OSSIM utiliza um banco de dados SQL de cdigo aberto. CONSOLE O console, ou Fronted como chamado pelos desenvolvedores do OSSIM, nada mais do que o console de gerenciamento do OSSIM para a interao com o administrador da rede. O console uma aplicao web, escrito em php e feito em mdulos configurveis pelo administrador de acordo com suas necessidades.

DETECTORES
Como j foi dito, os detectores podem ser qualquer programa que tenha a capacidade de escutar a rede, procurando padres e eventos de segurana quando ocorridos. A funcionalidade mais tradicional de um detector, baseado em padres, que temos como exemplo, o IDS do OSSIM, que pode detectar algum tipo de desvio do padro da rede, para detectar intrusos. Quase todos os elementos de uma rede, como hosts, firewalls, roteadores, tem a capacidade de detectar padres de segurana. Estes equipamentos geram logs teis dos eventos detectados, esses dados so coletados pelos detectores e repassados aos servidores. Os detectores OSSIM podem ser os de padres abertos, ou os proprietrios, que so classificados como externos.

DETECTORES PADRES O OSSIM possui em seus detectores, padres nativos, todos de cdigos abertos, como por exemplo o Snort NIDS (deteco de intruso na rede). DETECTORES EXTERNOS O OSSIM possui um sistema de coleta que permite coletar dados de qualquer dispositivo externo. Este sistema funciona com a instalao de plugins nos agentes, que da ento permitem a coleta de informaes de sistema como: Windows, Linux, Firewalls, roteadores, etc.

PRINCIPAIS FUNCIONALIDADES DO OSSIM

DETECTORES DE ANOMALIAS
A capacidade de deteco de anomalias pelo OSSIM, um recurso altamente robusto, que visa analisar o comportamento da rede, de acordo com seu padro de desempenho e configurao. O sistema aprende, por si s, e alerta quando o comportamento desvia-se de forma significativamente e estatisticamente, baseado no comportamento normal aprendido . Esta tcnica proporciona uma soluo bastante eficaz, quando o assunto segurana, podemos citar por exemplo, o controle de acesso de usurio privilegiado e para detectar ataques internos, como funcionrio desleal, onde a poltica de segurana violada. Os detectores de anomalias podem ser muito teis, como veremos alguns exemplos abaixo: Como um dos padres definidos, so de assinaturas de usurios, um novo ataque para qual no exista assinatura, essa identificao pode levar a anomalias evidentes de invaso A deteco de um worm que foi introduzida na organizao. Identificao de malwares e uso de programas P2P que geram muitas conexes anormais da rede, e que so fceis de identificar. Uso se servios de rede fora do normal Utilizao de tempo de conexo que foge do padro para determinado usurio Excesso de trfego ou ento de conexes de hosts Mudanas de sistemas operacionais, endereos MACs, endereos IP, servios, dentre outros.

Voltando a frisar, o OSSIM, nada mais do que o conjunto de vrias ferramentas de gerenciamento, logo, as ferramentas mais utilizadas para a deteco dessas anomalias, so principalmente: Spade Arpwatch P0F Nmap Ntop

MONITORES
Vejamos os principais monitores do OSSIM, como o monitor de rede, monitor de

disponibilidade . MONITOR DE REDE O monitoramento da rede, talvez seja o principal foco dos administradores de rede, e sem ele o responsvel pela segurana, talvez nem enxergue quando ocorrerem eventos anmalos, e no consegue distinguir atividades normais das anormais. O OSSIM possui a capacidade de cruzar dados de diferentes fontes, como os detectores e os monitores, permitindo uma melhor anlise dos eventos gerados, para justamente poder dar uma resposta mais slida, se adequando aquela primeira premissa do objetivo da ferramenta, no qual consegue com mais eficincia, evitar os falsos positivos e os falsos negativos. ACOMPANHAMENTO DE SESSO O OSSIM tem a capacidade de criar perfil de cada usurio da rede, na utilizao web, com as seguintes informaes: uso da rede por aquela mquina, com nmeros em tempo real. Informaes sobre servios utilizados, como ftp, email, por http.

O acompanhamento da sesso em tempo real fornece um quadro geral do estado das conexes que a mquina est participando. FLUXOS Informaes de fluxo de dados fornece estatsticas de trfego de origem/destino, portas utilizadas, largura de banda consumida, tempo de conexo, etc. Tanto o acompanhamento de sesso por mquina e as avaliaes de fluxos, so processadas e analisadas pelo Ntop. MONITORAMENTO DA DISPONIBILIDADE O monitoramento de disponibilidade das informaes pode ser muito importante para detectar algum tipo de ataque, no qual pode identificar que algum servio no est mais ativo. Com a ajuda do Nagios, este monitor capaz de verificar a disponibilidade da rede assim como disponibilidade de equipamentos e servios.

ANALISADOR DE VULNERABILIDADES
Os analisadores de vulnerabilidade, so importantes, para se ter uma viso de

invasor da rede, para descobrir falhas de segurana e corrigi-las. O analisador, simula um ataque a rede, e tem por objetivo, descobrir as vulnerabilidades por acaso existentes. Utilizando o Nessus Security Analyzer, o analisador pode ser instalado em cada sensor implantado ou em um servidor central da rede. Os resultados so colhidos pelo servidor central OSSIM, que mantm uma lista de vulnerabilidades de cada computador da rede, deixando ento o administrador da rede ciente da falha de segurana e tomar as medidas necessrias para san-las.

INVENTRIOS
O OSSIM implementa um tipo de inventrio automtico de forma passiva. O mecanismo de inventrio, tambm pode ser implantado de forma ativa, onde so executados no servidor, utilizando analisadores de rede ativos em equipamentos da rede. Ambos os mtodos alimentam o banco de dados de inventrios automaticamente com as seguintes informaes: Tipo de Sistema Operacional e sua verso Tipo de servio disponvel bem como sua verso Endereos Ips e endereos Macs. O OSSIM utiliza o recurso de inventrio, com as seguintes ferramentas: Nmap P0f Pads Detector Arpwatch SCO

RESPOSTA AUTOMTICA
Assim que for detectado um alarme de um ataquem em andamento, O OSSIM oferece um mecanismo de reposta automtica que ser configurado pelo administrador da rede, para cada evento especfico. Podemos destacar alguns mecanismos de resposta automtica associada a cada evento: envio de email para o administrador da rede em alta prioridade bloqueio da conexo automaticamente atravs de um firewall desabilitando uma porta de um determinado switch

Com a adoo desta tcnica de resposta automtica, os administradores da rede poupam tempo em descobrir o que fazer em um determinado ataque, ou evita que por ausncia do administrador, a rede se torne autnoma em resolver certos tipos de problemas.

GERENCIAMENTO DE INCIDENTES
O OSSIM, possui um gerenciador de incidentes, que informa quem responsvel por tomar determinada medida, de acordo com o alerta gerado. De acordo com as anlises feitas pelo OSSIM, ele controla a atribuio de aes que devem ser tomadas. O OSSIM, permite incorporar ao console de gerenciamento, um tipo de bilhete, painis de alarmes, mtricas de riscos, e outros recursos. Os administradores podem criar bilhetes, e associar a determinados alertas, cada bilhete guarda informaes como: a um determinado evento, ele informa quem a pessoa responsvel, o estado do evento, como tambm, quais aes devem ser tomadas. Isso pode ser muito til, caso a pessoa responsvel no esteja presente, outra pessoa capacitada, esteja apta a resolver determinado problema.

GUIA DE INSTALAO DO OSSIM NO DEBIAN

Veremos nesta sesso, como instalar o OSSIM no Debian, sistema operacional mais

indicado para a instalao da ferramenta. Configurao do APT Edita o arquivo no caminho e coloca a lista de repositrio que o desenvolvedor informa no site. Caminho do arquivo a ser editado: [root@firewall root]# vi /etc/apt/sources.list Repositrios a ser adicionado: deb http://ftp.debian.org/debian/ etch main contrib non-free deb http://security.debian.org etch/updates main contrib nonfree deb http://www.ossim.net/download/ debian/ Atualizar a lista de pacotes disponivel no novo repositorio: [root@firewall root]# apt-get update Instalando a base de dados do OSSIM [root@firewall root]# apt-get install mysql-ossim Configurando a senha do banco de dados: [root@firewall root]#mysqladmin-u root password novasenha Reiniciando o banco de dados: [root@firewall root]# /etc/init.d/mysql reload [root@firewall root]#mysql-u root-p mysql> create database ossim; mysql> create database ossim_acl; mysql> create database snort; mysql> create database osvdb; mysql> exit;

Um show databases no mysql mostrando todos os banco de dados que o OSSIM era usar:

Criar as tabelas nos banco de dados: Dentro do diretrio /home/ossim/dist fica vrios scripts, que vamos utilizar para a criao das tabelas.

Um desses scripts sendo editado:

Usando estes scripts para a criao das tabelas: [root@firewall root]cat /home/ossim/dist/ossim.orig.sql | mysql ossim -u root -p

Instalando os pacotes necessrios: Para instalar e configurar o OSSIM SERVER: Instalando: [root@firewall root] apt-get install OSSIM-server Configurando: [root@firewall root] dpkg-reconfigure ossim-server

Por favor, digite o nome do seu servidor OSSIM: OSSIM (no importa se voc usar

um servidor, mas voc precisa digitar um nome diferente para cada servidor instalado em ambientes de vrios servidores)

2 - Por favor, indique o endereo IP do seu servidor OSSIM ser a escutar: 0.0.0.0 (ir escutar todos os endereos IP)

3 - Por favor, digite o nome do seu Framework OSSIM: OSSIM (o Framework ser instalado mais tarde)

4 - Por favor, indique o endereo IP do seu OSSIM Framework: 127.0.0.1 (Se voc instalar o enquadramento em um servidor diferente, voc precisar colocar um endereo IP diferente. Nesse exemplo, corremos o quadro no mesmo host.)

5 - Por favor, indique a porta padro onde o seu quadro OSSIM Framework deve

escutar:

6 - OSSIM configurao do banco de dados: OSSIM (ou se voc usou um nome diferente acima, insira-o.)

7 - OSSIM hostname configurao do banco: localhost (se o banco de dados

executado em um host diferente, digite o endereo IP do host)

8 - Usurio de banco de dados que ir se conectar ao banco de dados OSSIM: root (ou o nome que voc configurou para se conectar ao banco de dados)

9 - Por favor, digite a senha para a conexo do banco: digite a senha que voc usou

para configurar o usurio para o banco de dados OSSIM.

10 - Snort nome do banco: snort (ou digite o nome do banco de dados voc est usando para o snort)

11 - SNORT hostname configurao do banco: localhost (ou o endereo IP da

mquina que tem o banco de dados snort)

12 - Usurio de banco de dados que ir se conectar ao banco de dados snort: root (ou o nome que voc configurado para se conectar ao banco de dados snort).

13 - Por favor, digite a senha para a conexo do banco: digite a senha que voc

usou para configurar o usurio para o banco de dados SNORT.

14 - OSVDB (ou digite o nome do banco de dados voc est usando para OSVDB.

15 - OSVDB hostname configurao do banco: localhost (ou o endereo IP da

mquina que tem o banco de dados OSDVB)

16 - Usurio de banco de dados que ir se conectar ao banco de dados OSVDB: root (ou o nome que voc configurado para se conectar ao banco de dados OSVDB).

17 - Por favor, digite a senha para a conexo do banco: digite a senha que voc usou para configurar o usurio para o banco de dados OSVDB.

Para instalar o OSSIM AGENT e configurar:

[root@firewall root] apt-get install OSSIM-agent

Veja o diretorio do arquivo de configurao [root@firewall root]cd /etc/ossim/agent

Modifica os parmetros ip colocando o ip do servidor, senha do banco de dados e portas: [root@firewall root]vi /etc/ossim/agent/config.cfg

RESULTADOS OBTIDOS
Depois de uma apresentao do OSSIM e uma descrio do que ele capaz de fazer, agora sero apresentadas de forma prtica algumas dessas funcionalidades. A documentao oferecida pelo sistema muito completa, onde, em cada funcionalidade temos um help que contem todo passo a passo de como visualizar ou configurar as funcionalidades do OSSIM, assim sendo, vamos descrever de forma breve algumas caractersticas do sistema. Como foi falado anteriormente, o OSSIM oferece uma viso tcnica e uma viso estratgica, onde as informaes so mostradas de forma sinttica em grficos e relatrios. Ao logar no sistema, a viso que se tem justamente essa, focando mostrar de imediato, grficos que apresentam o estado do ambiente monitorado.

DashBoards:

De forma simples o administrador navega no sistema atravs das abas e visualiza grficos especficos, e esses grficos podem ser ordenados da forma que o administrar queira, apenas arrastando os grficos. Vejamos alguns exemplos:

Security(Segurana):

Network(Rede):

As informaes podem ser analisadas na forma de grficos ou se for necessrio uma analise mais detalhada, podemos clicar no grfico e assim visualizar as informaes puras, como no exemplo abaixo, onde ao clicar no grfico Internal network 12h traffic(Trafego da rede interna em 12h) nos apresentada a seguinte tela:

Assim o administrador pode analisar ou apresentar informaes de forma micro ou macro. O que comprova o que foi dito anteriormente sobre a viso tcnica e estratgica que o OSSIM oferece.

Incidents(Incidentes):
Nessa pgina so visualizados e gerenciados os incidentes no ambiente monitorado. So mostrados os incidentes detectados automaticamente e os inseridos manualmente. Podem ser adicionadas informaes no incidente, direcion-lo a algum, alterar seu status, titulo, prioridade, entre outras informaes.

Tambm possvel visualizar em forma de grfico os incidentes: E editar o modelo de email para incidentes:

Events(Eventos): Nessa sesso pode-se visualizar os eventos do ambiente, sejam, vulnerabilidades, anomalias. Uma funcionalidade interessante fica em, SIM events na aba Real Time. Onde possvel visualizar os eventos que esto ocorrendo em tempo real.

Ou ento aplicar filtros para buscar um evento mais especifico em CUSTOMIZED VIEW. Sendo possvel filtrar por Firewalls, Anomalies, Windows Events, Unix Events ou de um host especifico em um determinado perodo ou simplesmente visualizar a aba Statistics, onde, so mostrados grficos..

O guia de anomalias mostra quatro tipos de anomalias RRD (anomalias de comportamento aberrante, tanto por hospedeiro e nvel mundial), mudanas no sistema operacional, alteraes de endereo MAC, alterao de verso de servio.

Monitors(monitores): Usage & Profile Na sesso de monitores, pode-se visualizar informaes da rede obtidas com o NTOP, como trafego e protocolos usados na rede. Tambm so visualizadas as sesses de cada host e as comunicaes entre si.

Availability Outra possibilidade oferecida nessa sesso o monitoramento de disponibilidade com informaes obtidas atravs do nagios.

Reports(Relatrios): Nessa sesso pode-se visualizar alguns relatrios, tais como: Host Reports:

Security Report:

Alem de poder gerar relatrios em PDF. Policy(Poltica): Boa parte das configuraes do OSSIM so feitas nessa sesso. Polticas de host, network, network groups, Sensors, Servers, portas, Plugin group. Aqui so inseridas dados de host, rede, etc e informar como vo ser monitoradas. E na aba Actions (aes), so definas aes a serem executadas ao detectar um evento. Essa ao pode ser o envio de uma mensagem ou a execuo automtica de um comando ou programa.

Correlation(Corelao): Directives(diretivas), so um mecanismo do OSSIM para gerar alarmes. Ao coletar a mensagem a mesma relacionada a uma diretiva para a gerao do alerta de uma forma mais clara. Cross Correlation a capacidade de relacionar atravs de 2 plugins diferentes. Tornando a informao mais solida.

Configuration (Configurao): A pgina principal da seo de configurao permite definir configuraes gerais do sistema(language, OSSIM Server, etc).

Em users possvel fazer a administrao dos usurios, modificando, adicionando ou removendo usurios com suas permisses.