OSSEC
OSSEC — хостовая система обнаружения вторжений (HIDS), свободное и открытое программное обеспечение. Программа осуществляет анализ системных логов, проверку целостности файлов, мониторинг реестра Windows, обнаружение руткитов, а также может оповещать о событиях в зависимости от настроек. OSSEC предоставляет функции обнаружения вторжений для большинства операционных систем, включая Linux, OpenBSD, FreeBSD, macOS, Solaris и Windows. Кроссплатформенная архитектура позволяет осуществлять централизованное управление и наблюдение за разными операционными системами. Программа написана Даниэлем Б. Сидом и доступна с 2004 года.
Общие сведения
| OSSEC | |
|---|---|
| Тип | защита информации / HIDS |
| Разработчик | Даниэль Б. Сид |
| Написана на | Си[2] |
| Операционная система | кроссплатформенное программное обеспечение |
| Последняя версия | 3.7.0[1] (17 января 2022) |
| Репозиторий | github.com/ossec/ossec-h… |
| Лицензия | GPL v3 |
| Сайт | ossec.github.io |
История
Возможности OSSEC соответствуют требованиям PCI DSS[3]. Более подробная информация представлена в PDF-документе на официальном сайте OSSEC[3].
В июне 2008 года проект OSSEC и все права на него, которыми владел Даниэль Б. Сид, были приобретены компанией Third Brigade[4]. Компания продолжила совместную разработку вместе с сообществом Open Source и предоставила коммерческую поддержку и обучение пользователям OSSEC.
В мае 2009 года компания Trend Micro приобрела Third Brigade и проект OSSEC, а также обязалась сохранить его открытым и свободным[5].
OSSEC состоит из основного приложения, программы-агента для Windows и веб-интерфейса.
- Основное приложение: работает как в распределённых сетях, так и автономно. Поддерживаются Linux, Solaris, BSD и macOS.
- Агент для Windows: предназначен для ОС Windows. Для серверного режима основного приложения требуется программа-агент.
- Веб-интерфейс: графический интерфейс пользователя. Поддерживает Linux, Solaris, BSD и macOS.
Возможности
OSSEC осуществляет подробный анализ логов, умеет сравнивать и анализировать журналы сразу нескольких приложений в разных форматах. Поддерживаются следующие приложения и службы:
- Unix-специфичные:
- FTP-серверы:
- ProFTPd
- Pure-FTPd
- vsftpd
- Microsoft FTP Server (Internet Information Services)
- Solaris ftpd
- Почтовые серверы:
- imapd и pop3d
- Postfix
- Sendmail
- vpopmail
- Microsoft Exchange Server
- Базы данных:
- Веб-серверы:
- Apache HTTP Server (журналы доступа и ошибок)
- IIS web server (включая расширения NSCA и W3C)
- Логи ошибок Zeus Web Server
- Веб-приложения:
- Horde IMP
- SquirrelMail
- ModSecurity
- Фаерволлы:
- iptables
- Solaris IPFilter
- AIX ipsec/firewall
- Netscreen
- Windows Firewall
- Cisco PIX
- Cisco FWSM
- Cisco ASA
- NIDS:
- Утилиты для обеспечения безопасности:
- Norton AntiVirus
- Nmap
- Arpwatch
- Cisco VPN Concentrator
- Прочие:
- Named (BIND)
- Squid (прокси)
- Zeus eXtensible Traffic Manager
- Логи событий Windows (вход в систему, логон, аудит и многое другое)
- Логи маршрутизации и удалённого доступа Windows
- Средства аутентификации Unix (adduser, входы в систему и другие)