Framework OSSIM - Open Source Security Information Management

Nesta coluna irei apresentar uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management) ,ferramenta para gerenciamento de segurança da informação de código fonte aberto.

Framework OSSIM - Open Source Security Information Management

Nesta coluna irei apresentar uma fantástica ferramenta para administradores de rede, a qual defendi como trabalho de conclusão de curso (TCC) em minha graduação. É o framework OSSIM (Open Source Security Information Management), ferramenta para gerenciamento de segurança da informação de código fonte aberto.

Hoje a informação é zelada por qualquer organização, pois dependendo do grau de insegurança que venha acarretar sobre esta, o preço pela perda de informações críticas pode ser alto, muitas vezes pago com a queda da empresa no cenário de atuação. Com os avanços da tecnologia a informação definitivamente passou a ser armazenada digitalmente, exigindo grandes responsabilidades à TI (tecnologia da informação), a qual necessita ser vista como uma área estratégica para qualquer organização.

OSSIM é um framework que agrega as principais ferramentas de segurança e monitoramento de rede em uma única estrutura, permitindo a correlação entre as funcionalidades de cada uma, trazendo muitas possibilidades aos administradores de rede.

Atualmente o segmento de aplicações open source vem a contribuir de forma significativa com softwares de qualidade, que possuem uma boa adaptabilidade e, na maioria das vezes, um baixo custo de implantação.


O objetivo do framework Ossim é fornecer uma ampla compilação de ferramentas, que, ao trabalhar juntos, concedem um gerenciamento de segurança ao administrador, obtendo uma visão detalhada sobre todo e qualquer aspecto das suas redes, hosts, acesso físico, dispositivos, servidor etc. Além de ser formada pelas ferramentas de código aberto mais conhecidas no gerenciamento e monitoramento de redes. Alguma que o compõe:

  • Arpwatch
  • P0f
  • Pads
  • Nessus
  • Snort
  • Spade
  • Tcptrack
  • Ntop
  • Nagios
  • Osiris.
  • OCS-NG.
  • OSSEC,


entre outras...

A suíte OSSIM, apresenta um centro de operação de segurança, coleta as informações e eventos críticos e apresenta estes em uma central de monitoramento. Através de configuração de sensores, que podem ser softwares ou hardwares instalados na rede, os dados são coletados e enviados. Para isso existe o agente que é um processo que funciona no sensor para coletar e emitir dados ao servidor. O agente, para sua operação, possui plug-ins que são partes de softwares responsáveis por estender funcionalidades deste. Por exemplo, um plug-in que conheça o formato de um sistema de log específico, reservando-se a coletar estes dados. Desta forma, o agente reside no sensor e o coletor no servidor.

A arquitetura como um todo do OSSIM, vista na figura abaixo, consiste em quatro elementos:

  • Sensores;
  • Servidor de gerenciamento;
  • Banco de dados;
  • Frontend.




Os sensores são responsáveis por monitorar as atividades da rede, também realizam varreduras ativas através de scanners de hosts, em busca de vulnerabilidades na rede. O ossim agent, recebe dados de hosts da rede, por exemplo, um roteador ou um firewall comunicam e enviam seus eventos ao servidor de gerência pai, ossim server. Na prática, uma configuração típica de sensores, faria as seguintes funções em um monitoramento:

  • IDS (snort);
  • Scanner de vulnerabilidades (Nessus);
  • Detector de anomalias (Spade, Arpwatch, Pads, RRD);
  • Monitoramento de uso dos recursos de rede (ntop) e outros..



O servidor de gerenciamento inclui os seguintes componentes:

  • Framework, um daemon de controle que une diversos serviços;
  • Centraliza as informações recebidas dos sensores;
  • Coleta níveis de risco, prioridades, correlação, inventário, programar tarefas externas de apoio entre outros;
  • A base de dados armazena eventos e informações úteis para a gerência do sistema. Possui uma base de dados SQL.


O Frontend ou o console, é a visualização da aplicação aos olhos do administrador de redes, os componentes são módulos autônomos e podem ser configurados conforme a necessidade do administrador. Todos estes componentes poderiam estar separados aplicação por aplicação, mas de forma gerencial o OSSIM os coloca todos em um console central. Toda estrutura organizacional do sistema OSSIM pode ser vista na figura abaixo:



O monitoramento pelo sistema OSSIM, pode ser dividida entre detectores e monitores. Os detectores são grupos de eventos e normalizações contínuas. Assim que os eventos são normalizados as informações são enviadas ao servidor e análises são realizadas em tempo real. Já nos monitores, os agentes permanecem em stand-by, até que o servidor solicite informação sobre o status de qualquer recurso. Esta requisição provoca a ativação do agente, que cumpre o pedido recolhendo e emitindo dados pretendidos ao servidor.

Todo o conjunto da suíte OSSIM, demanda muito recurso de hardware principalmente em sua capacidade de armazenamento devido aos eventos de logs.

O sistema OSSIM é modular, ou seja, possui uma escalabilidade, permitindo a fácil integração de novos elementos, sem a necessidade de reestruturar ou substituir o existente. A arquitetura com vários níveis é uma é uma estrutura redundante.

Esta arquitetura permite servidores redundantes, como por exemplo, no uso do Keepalived, aplicação que tem a implementação de uma VRRP (Virtual Router Redundancy Protocol). Quando na existência de diversas bases de dados, podem-se agregar todos os eventos em uma base de dados central. Caso ocorra uma falha em um dispositivo da rede, os eventos são mantidos em uma fila do coletor, até que o outro servidor tornar-se disponível, desta forma, nenhum evento é perdido durante o ajuste.

O OSSIM permite autenticação de seus usuários de gerência, utilizando o protocolo LDAP para localizar os usuários corporativos.

A confiabilidade e a prioridade fixadas dos eventos, estão atribuídos as seguintes maneiras: Quando o evento é normalizado e armazenado na base de dados, um valor inicial de prioridade e de confiabilidade é atribuído, quando o evento é gerado pelo módulo de correlação, a regra combinada desta, atribui seus próprios valores predefinidos da prioridade e da confiabilidade. Usando políticas gerais, o administrador pode ajustar a prioridade e a confiabilidade de um evento.

A recepção dos eventos no coletor e a transmissão ao servidor de correlação ocorrem em tempo real, enquanto os eventos são recebidos no coletor, ocorre a transferência imediata ao motor da correlação. Assim, o processamento e análise são imediatos.

Apresentado o framework open source OSSIM, para quem quiser maiores informações bem como baixar e instalar a ferramenta, o site para comunidade é www.ossim.net, e o site do desenvolvedor é www.ossim.com. Não posso deixar de frisar aqui os direitos também do conteúdo de meu colega de estágio Pablo Schrammel, parceiro de muitas noites em claro estudando o OSSIM.

O melhor celular intermediário para importar?

Conteúdo relacionado

Realme GT Master: Celular Premium da marca chega ao Brasil; confira preços e ficha
Celulares

Realme GT Master: Celular Premium da marca chega ao Brasil; confira preços e ficha

Lançado dia 19 de outubro de 2021 no Brasil, o Realme GT Master Edition chega para ser o carro-chefe de tecnologias da fabricante.

O que é Wireless e quais as diferenças entre redes A B G N AC AX?
Hardware

O que é Wireless e quais as diferenças entre redes A B G N AC AX?

Você já deve ter se deparado com o termo Wi-Fi em vários lugares, para tanto, nunca buscou realmente o seu significado. Portanto, vamos conhecer hoje o que realmente significa essa palavra, o seu funcionamento e também as diferenças desse tipo de rede.

Samsung anuncia SSDs capazes de comprimir 12TB em uma unidade de 4TB
Hardware

Samsung anuncia SSDs capazes de comprimir 12TB em uma unidade de 4TB

Samsung anuncia durante a 2020 Flash Memory Summit sua nova linha de SSDs inteligentes. Confira como os Computational Storage Drives irão mudar a forma como os dados são processados.