книги хакеры / журнал хакер / 130_Optimized

•Advisory Check — Аналогичные установки, только для агентов, ищи в файле advchk.unixgu.ru. agent/config.cfg. Для подключения к серверу OSSIM агенты

•Свозможностями используют порт 40001; изменить его можно, отредактиро-

Теперь открываем веб-браузер и заходим на страницу http://server; для регистрации используем admin/admin. После небольшого, но весьма полезного ликбеза по использованию дистрибутива попадаем в консоль управления. Практически сразу будет доступен ряд отчетов.

Панель визуально разбита на три области. Справа находится список функций OSSIM: Dashboards (выводятся риски, здесь видно появление новой ОС или сервиса), Incidents, Events (аномалии, события), Monitors (мониторинг сети

и систем), Reports (отчеты по узлам, оборудованию, ПО, сети), Policy (настройка политик и действий, запуск программы или отправка e-mail), Correlation, Configuration, Tools (бэкап, ссылки для закачки клиентов, сканер сети). Настроек достаточно много. Первым делом следует правильно указать сети, контролируемые OSSIM. Это можно сделать в Policy ÆPolicy. Далее переходим во вкладку Network и запускаем сканирование сети Tools — NetScan, активация Enable full scan позволит провести более глубокое сканирование. Заносим найденные системы в список контроля, все они будут показаны во вкладке Policy

ÆPolicy ÆHost. При необходимости заносим данные о системах вручную. Информацию по сетям и хостам затем можно использовать при настройке политик. Чтобы установить агента на удаленную систему, переходим в Tools

ÆDownloads, где в зависимости от версии ОС выбираем компоненты, качаем и ставим.

Хочу обратить внимание, что в каждой вкладке доступен Help; там со скринами показано назначение основных настроек. Даже при базовом знании английского разобраться будет несложно.

SIGVI: КОНТРОЛЬУГРОЗПроект SIGVI (sigvi.upcnet. es) разрабатывается в политехническом университете Каталония и представляет собой Open Source приложение (лицензия GNU GPL), предназначенное для обнаружения,

предупреждения и управления угрозами. Принцип работы SIGVI прост: программа периодически загружает новые оповещения об уязвимостях (для этого используются стандарты CVE, CPE и CVSS протокола SCAP, — см. врезку), а затем полученная информация в соответствии с настройками фильтров отправляется администратору. Источники, откуда берутся сообщения, настраиваются во вкладке Tools — Sources. Чтобы не рассылать лишние данные, SIGVI должен знать об используемых сервисах. Это можно настроить вручную или использовать инструмент NSDi (Network Services Discoverer), который автоматизирует

OSSIM ПРЕДОСТАВЛЯЕТВЕСЬМАНАГЛЯДНЫЕГРАФИКИ

процесс сбора данных. Для каждой уязвимости, затрагивающей одну из используемых на серверах программ, SIGVI создает сообщение тревоги (alert). Принимается во внимание фактор риска и свойства сервиса. Фактор риска рассчитывается на основании вектора CVSS. Вектор применяет классификацию по шкале критичности 0 — 10, определяющей степень риска (кстати, эти данные использует сканер Nessus и другие подобные решения). При этом учитывается доступ (локальный, удаленный), сложность атаки (квалификация атакующего, настройки систем и т.п.), аутентификация, наличие рабочего эксплоита,

обновлений, закрывающих уязвимость и прочие параметры. Полное описание стандарта CVSS ты найдешь на сайте Security Lab (www.securitylab.ru/analytics/355336.

php). А вот чтобы определить, в каких случаях оповещать администратора, используются фильтры. Например, их можно настроить так, что сообщение будет генерироваться только при наличии готового эксплоита. Все полученные предупреждения заносятся в базу данных и доступны в любое время. Реализован поиск по нескольким критериям и большое количество отчетов.

Интерфейс SIGVI написан при помощи PHP5, и для установки подойдет любая LAMP (Linux+Apache+MySQL+PHP5) система. В качестве базы данных могут быть использованы MySQL, PostgreSQL, SQL Server, Oracle, Informix и некоторые другие СУБД. Сам процесс установки, можно сказать, стандартен для программ такого рода. Распаковываем архив в корневой каталог веб-сервера и устанавливаем нужные права (веб-сервер у меня работает от имени wwwdata):

$ sudo tar xzvf sigvi-1.3.02b.tgz -Ñ /var/www/ $ sudo chown -R www-data:www-data /var/www/

$ sudo chmod -R 750 /var/www/sigvi

Создаем базу данных с таблицами:

$ mysql -u root -p < sigvi-1.3.02b.sql

mysql> UPDATE user SET Password=PASSWORD ('NEWpassword') WHERE user='sigvi';

Как видно из конфига, доступ к SIGVI возможен по записям внутренней базы пользователей или внешней (LDAP, СУБД).

В программе реализовано три группы пользователей

ГРАФИКИ, ПРЕДОСТАВЛЯЕМЫЕ

SIGVI

LWP::UserAgent и Storable, затем распаковать архив и запустить «./install.sh». Для мониторинга WinNT/2k/XP/2k3 используется WinExe, который можно скачать с сайта eol. ovh.org/winexe. Список источников описан в файле advchk_addfeeds.sh, и при необходимости его можно уточнить.

RogueScanner (www.paglo.com/ opensource/roguescanner) предназначен для обнаружения несанкционированного подключения устройств к WiFi-ñåòè. При работе используется система классификации устройств (Collaborative Device Classification System, имеет данные о более чем 1 млн. устройств), которая позволяет автомати- чески обнаруживать и идентифицировать типы устройств в реальном времени. Чтобы собрать максимальное количество данных об устройстве, используется несколько методов, — в результате исследователь получает сведения о производителе, модели, IP/MAC-адрес, DNS èëè NetBIOS-èìÿ. Собранная информация отправляется на сервер. RogueScanner также подходит для инвентаризации устройств в сети.z