مقال : حماية الشبكة باستخدام نظام OSSIM
منذ فترة لم نكتب عن حاجة جديدة والسبب العمل، ولهذا قررت أكتب عن بعض الأمور التي أستعملها في عملي وبعض التقنيات والطرق أيضاً التي أستعملها في إدارة العمل … في البداية ربما الكثير منا يظن بإن الحماية والأمن هي فقط أمن المواقع وهذا أمر ليس صحيحاً، ولهذا نرى الكثيرين يهتمون بهذا الجانب وينسون جوانب أخرى كثيرة … المحافظة على Assets الشركة هي أمن، المراقبة والمتابعة للخدمات وكيف هو عملها وأداءها هو أمن، المتابعة والمراقبة لسجلات الأنظمة والخدمات هو أيضاً أمن، ومعرفة ما يدخل الى شبكتك وماذا يخرج منها هو أيضاً أمن وغيرها الكثير من الأمور …
طيب لمراقبة الشبكة تستعمل ntop ولمراقبة الخدمات والخوادم تستعمل Nagios ولمراقبة الحزم ربما تستعمل tcptrack ولمراقبة الـ MAC Addresses تستعمل ArpWatch ولمراقبة هل هناك هجمات أو لا من خلال IDS تستعمل Snort وغيرها من الأدوات التي تستعملها للمراقبة والمتابعة لما يخص الشبكة التي تشرف عليها … طيب أنظر الى حجم العمل الذي سيكون على كاهلك والسبب وجود عدة برامج وعدة روابط وبرامج للمتابعة … ستتنقل بين متابعة Nagios و Snort وغيرها من البرامج كل مرة … متعب صح ؟
وأيضاً لو كانت الإدارة تطلب منك تقارير إسبوعية عن حالة الشبكة والخدمات التي عليها كيف ستعمل ذلك وأنت تستعمل هذه البرامج بهذه الطريقة؟ الجواب مهلك بصراحة وأكثر من ما تتوقعون حتى لو كانت الشبكة صغيرة جداً فما بالك حين يكون حجمها عشرات من الخوادم ومئات الموظفين وأجهزتهم !!!
هنا يأتي نظام OSSIM والذي هو إختصار لـ Open Source Security Information Management … والذي يصفه المطورون بإنه الهدف من عمله هو لتوفير تجميع شامل من البرامج حين تعمل مع بعضها البعض توفر لمدير الشبكة أو المسؤول الأمني عنها تفاصيل كاملة عن كل النواحي الموجودة في شبكته سواءاً الشبكة، الأجهزة، الوصول الفيزيائي لها، الخوادم، الى آخره.
أيضاً ما يوفره هذا النظام بالإضافة الى البرمجيات مفتوحة المصدر التي يستعملها هو نظام إرتباط لعدة مستويات من التصورات بالإضافة الى إمكانية عمل التقارير وأدوات لإدارة الحوادث وكل هذا يعمل على مجموعة معرفة من الـ Assets مثل الأجهزة، الشبكات، المجموعات والخدمات.
جميع هذه المعلومات ممكن أن يتم حصرها بناءاً على الشبكة أو الـ Sensor وذلك لعرض المعلومات التي تريدها فقط … وأيضاً إمكانية إستعمال عدة مستخدمين للنظام وذلك لإعطاء مثلاً كل مستخدم وظيفة معينة (مثلاً فريق الحماية في الشركة، يعطى لكل شخص في الفريق إمكانية العمل على وظائفه الخاصة فقط، ولن يرى باقي التفاصيل) بناءاً على بيئة العمل … مع إمكانية إستعمال النظام للعمل كـ IPS أي Intrusion Prevention System وذلك بناءاً على نظام الإرتباط المبني على المعلومات التي لديه … كل هذا بالنهاية سيعطي إضافة حقيقية لأي Security Professional …
النظام مبني على دبيان أعتقد 4.10 والله أعلم، وكان يستعمل بالسابق رخصة BSD وقبل فترة أنتقل مطوروه الى رخصة GPL وذلك حسب ما فهمت لإعطاء حرية أكبر … النظام يحتوي على البرامج التالية:
- Arpwatch, used for mac anomaly detection.
- P0f, used for passive OS detection and os change analisys.
- Pads, used for service anomaly detection.
- Nessus, used for vulnerability assessment and for cross correlation (IDS vs Security Scanner).
- Snort, the IDS, also used for cross correlation with nessus.
- Spade, the statistical packet anomaly detection engine. Used to gain knowledge about attacks without signature.
- Tcptrack, used for session data information which can grant useful information for attack correlation.
- Ntop, which builds an impressive network information database from which we can get aberrant behaviour anomaly detection.
- Nagios. Being fed from the host asset database it monitors host and service availability information.
- Osiris, a great HIDS.
- OCS-NG, Cross-Platform inventory solution.
- OSSEC, integrity, rootkit, registry detection and more.
تخييل كل هذه مربوطة مع بعضها البعض وكلها تحت واجهة واحدة ؟ صدقوني جربوا تستعملوا هذه البرامج بشكل منفصل وستعرفون كم هو رهيب أن تجدها في مكان واحد … أنظر الى حجم المعلومات التي ستحصل عليها من خلال هذه البرامج وكلها مفيدة بدون شك …
هذا الموضوع هو الجزء الأول فقط، من ما يخص OSSIM سأكمل الحديث عن أمور أخرى حول هذا النظام، منها:
- كيفية بناءاً المجموعات أو إضافة الأجهزة مع كيفية مراقبتها من خلال Ntop و Nagios.
- كيفية ربط الأجهزة بالشبكة سواءاً تستعمل جنو/لينوكس أو ويندوز مع مستودع OCS-NG من خلال الـ Agent الخاص بها.
- كيفية إضافة الـ Agent الخاص بـ OSSEC والذي هو الـ HIDS.
- كيفية عمل Scan من خلال Nessus أو Nmap من خلال النظام وما هي فائدة ذلك.
- غير ذلك.
أليكم بعض الصور من النظام:
صفحة المخططات الرئيسية لمختلف الأمور
صفحة برنامج Ntop
صفحة برنامج Ntop مع الـ Sessions المفتوحة حالياً
صفحة برنامج Nagios
صفحة المخططات التوضيحة للمخاطر التي عندك
صفحة إعدادات المستخدمين للنظام
صفحة الـ Correlation Directives
صفحة الأحداث التي يعرضها لنا BASE (لمن أستعمل Snort فبدون شك يعرف ما هو Basic Analysis & Security Engine هذا)
صفحة أنواع الحوادث
طبعاً هذا ليس كل شيء، ولكنها عبارة عن عينة فقط، إن شاء الله نتعرف على المزيد لاحقاً، وأتمنى يكون الجميع لديه النظام ليكون العمل أسهل 🙂
الموقع الرسمي للنظام | أضغط
لتحميل النظام (Stable) نسخة 1.0.6 | من هنا
لتحميل النظام (Beta) نسخة 1.1 | من هنا
في الأخير لن أقوم بشرح كيفية تنصيب النظام، لأنه بصراحة سهل جداً وسهولته تصل لحد السخافة أن أقوم بأمانة بشرح ذلك … هذه المجموعة من المطورين (المدريديين 🙂 ) عملوا إنجاز بأمانة وأنجاز صعب تتخييله إلا لو أستعملت ولو بعض هذه البرمجيات لوحدها … أنصح كل من يود التعلم أن يقوم بتركيب هذا النظام ولو على VMware والبدأ بالتعلم …
لي عودة لإكمال الشرح إن شاء الله لاحقاً … إن شاء الله يفيدكم ويكون محل فائدة لكم، ولا تنسوني من دعواتكم.
دمتم بود …
عن الكاتب:
علي الشمري, معروف بلقب B!n@ry مختص بادارة ومراقبة سيرفرات لينكس كما يملك خبرة كبيرة في مجال الحماية والـ Penetration Testing. يمكنكم قراءة هذا المقال في مدونته بالاضافة للعديد من المواضيع الأخرى.
ماشاء الله عليك أخي علي, شرح أكثر من رائع وان شاء الله سأقوم بتجربة النظام قريبا 🙂
– لفت نظري وجود Free Plugin Feed لبرنامج Nessus و OpenVAS في موقع OSSIM!
مشكور اخوي على النظام ،،
اخذت جولة في الموقع الرسمي له وصراحة نظام رائع جدا للإدارة الشبكات ،،
حتكون لي تجربة معها في القريب العاجل .
شي اكثر من رائع
كونه جمع كل هذه الادوات تحت واجهة واحدة
سـأقوم بتجربته بأقرب وقت ان شاء الله
و منتظربن باقي الاجزاء
مشكور اخي و عاشت الايادي
رائع جدا اخي باينري 🙂
أشكرك على هذه اللفتة المميزة ، فعلا البرنامج يختصر الكثير من المسافات على اي security administrator وخصوصا نقطة الـ Reporting 🙂
اشكرك جزيلا ، وجاري تجربة البرنامج.
عبد المهيمن@ أهلا أخوي، إن شاء الله جربت النظام وعجبك. بخصوص الـ Plugin Feed فلا أتوقع إنهم يعطونك سوى المجانية التي من Nessus أو الحرة التي من OpenVAS لان الـ Feed الإحترافية أنت تعلم إنها ليست مجانية (أتمنى يكون هذا هو مقصدك !!!). وبالمناسبة في النسخة الجديدة تستطيع إختيار إستعمال OpenVAS أو إستعمال Nessus أنت حر … إن شاء الله اكمل باقي المواضيع المهمة لتهم الفائدة.
شكراً على وقتك الثمين في ترتيب المقالة لاني وضعتها هنا كعادتي مخربطة :$
صديق يوسف عبدالرحمن @ حياك الله يا خوي إن شاء الله يعجبك النظام أكثر بعد إستعماله … فوائده كثييييييرة جداً جداً … شكراً لمرورك …
Zaid @ إنت العايش أخوي زيد … بالفعل الجميل إنه يجمع كل تلك الأمور في منصة واحدة وهذه هي أكبر ميزة بصراحة … إن شاء الله يعجبك بعد تجربته … شكراً لمرورك اخي …
Abdulmajeed Almuharib @ الله يخليك يارب أخي عبد المجيد … نعم إمكانية إصدار تقارير حاجة مميزة فيه وتساعدك وتساعد الإدارة في تقييم الكثير من الأمور …
بالتوفيق للجميع وإن شاء الله نكمل باقي الأجزاء إن كان لنا عمر جديد …
دمتم بود جميعاً …
الاضافات التي أقصدها الموجودة في موقع OSSIM يتم توفيرها عن طريق Telefonica VRT.
كما تعلم برنامج Nessus مجاني لكن تغيير ترخيص الاضافات هو الذي اختلف فقط. أي شخص يستطيع برمجة الاضافات التي يريد, تطويرها ومتابعتها ثم استخدامها مع Nessus عوضا عن الاضافات الأصلية وهذا مافعله فريق Telefonica VRT كما ذكر في الصفحة: http://www.alienvault.com/free_feed_for_nessus.php
طبعا تبقى الاضافت الأصلية هي الأفضل ومن المؤكد أن دعمها أكبر, لكن هذا خيار مجاني آخر بجانب برنامج OpenVAS.
بخصوص التنسيق ولايهمك أخي هذا واجبي وأهلا بك معنا 🙂
كلك ذوقك اخوي وما هي بحاجة جديدة عليك.
بخصوص الـ Free Feed اليوم ذهبت لأتصفح الموقع أكثر وفهمت عن ماذا تقصد … نعم هي حاجة جميلة وجيدة ولكن أنا عندي Professional Feed من شركة Tenable Security وفيها إمكانيات وإضافات مخيفة بصراحة … ولكن هذا لا يعني إنه مستقبلاً وحسب ما فهمت بإنهم يراسلون المطورين بأن لا تصبح بقوة التي تقدم من Tenable Security …
هناك إضافات رائعة جداً بإذن الله أشرحها وذلك لأني أستعملها في عملي، وبدون شك سيكون لي كل الشرف بأن تنشر هنا.
تحياتي لك اخوي عبدو الوردة.
مشكور على هذا الموضوع الأكثر من رائع جاري تحميل النظام واختباره على virtualbox
أحب تجربة كل ماهو جديد يبدو أنها أصبحت عادة مفيدة موقع رائع وأرجو النجاح الدايم إن شاء الله ,واشكر بالأخص عبد المهيمن على إكتشاف كم هو رائع عالم جنو/ لنكس والمصادر الحرة التي لا تقيدنا بل تعطينا أجنحة لنطير إلى أفق بلا حدود ولا سقف وأسف على الإطالة
مشكور أخي على شرحك
و قمت بتجربته على VMware لكن أريد أن أتأكد هل لهم Support في الشرق الأوسط ؟
بالذات في السعودية ؟!
و شكراً لكـ مقدماً
الله يحفظك