OSSIM 安装使用常见错误举例
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OSSIM 安装使用常见错误举例相关的知识,希望对你有一定的参考价值。
OSSIM 安装、使用常见错误举例
初学者往往带着已有的操作经验来安装和使用OSSIM往往会遇到一些棘手的问题,下面举一些例子和大家分享:
(1) 禁止OSSIM Server以及Sensor的非法关机,这将有可能造成数据库损坏。下图1例举某一OSSIM系统在非法关机后,重开机的画面,左边为启动系统画面,但长期停留在此画面,但F2进入命令后发现右边的提示,这就是非法关机后果,最后几经周折修复文件系统后才恢复系统。
图1 非法关机后的启动界面
(2)禁止在硬件配置较低的机器上安装、运行OSSIM系统。
前面也谈到过OSSIM内存消耗问题,但大家在测试中还很可能在2GB或者4GB内存的旧服务器上安装OSSIM 4.10.0 64位版本,这种配置肯定没法使用。笔者在大量实践经验总结得出,至少16GB内存的服务器,V4.10系统才能稳定运行。如果读者在实验时,没有大内存的机器,那么只能选择低版本的32位OSSIM系统。例如2~4GB内存的单CPU服务器能够安装OSSIM 2.3、OSSIM 3.1版。
(3)将OSSIM串联在防火墙链路之后运行。
如果想利用OSSIM中的iptables+TC做安全网关和简单的流量控制这种方案是可行的,如果将它作为网络数据包审计和日志收集分析那么就不适合串联在防火墙之后,这种部署方式就是错误的。
(4)OSSIM流量收集分析口在交换机没有正确设置SPAN。
这种也属于初学者常见的问题之一,在使用OSSIM做IDS分析时一定要将所检测网段的全部流量镜像过来,方法之一就是SPAN,当然对于流量很大的情况可以采用网络分流器(Net-TAP)这种硬件卡实现分流目的。
(5)安装时只安装了Sensor组件。
初学者在初次安装OSSIM系统时只安装了Sensor,导致无法使用。这是应该避免的错误。
(6)OSSIM装好了系统,长期置之不理。
OSSIM它是一套智能分析提供,同时也需要每天对其进行维护,否则真的要“罢工”啦!笔者建议指定专门的网络安全分析师每天观察OSSIM搜集的情报,以便及时进行调整。
(7)画蛇添足-安装SELinux。
SELinux全称是Security Enhanced Linux安全强化Linux,是MAC(Mandatory Access Control强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(包括文件,网络端口等)。有些朋友考虑加固OSSIM系统,因为系统默认没有启用SELinux,所以想手工安装SELinux。
#apt-get install selinux-basics
#apt-get install selinux-utils
#apt-get install setools
当完成这些操作之后,系统安全性加强了吗?从安全角度考虑,这种想法没有错,但是alienvault公司并没有为OSSIM 组件做这方面的设置,也就是说如果在没有完全多OSSIM所有组件做好这方面准备之前,冒然启用了SELinux,那么后果很严重。SeLinux不但改变了文件权限,而且还禁止了so库的调用,所以整个OSSIM系统无法启动。
(8)计算机硬件配置与软件要求不匹配问题,例如在低配置的计算机上安装了较新的OSSIM版本。
不少用户会尝试在低配置的计算机上安装OSSIM 高版,这样抓包流量过来之后不但起不到然和作用反而会让系统内部负荷大到足以停滞的程度。表1列出了OSSIM版本和所需内存的关系。
表1运行OSSIM 内存要求
版本 | 最低内存 | 推荐内存 |
OSSIM 2.3.1 | 1GB | 4GB |
OSSIM 3.0~3.1 | 2GB | 8GB |
OSSIM 4.0~4.3 | 4GB | 16GB |
OSSIM4.3~4.6 | 8GB | 16GB |
OSSIM4.6~4.15+ | 16GB | 32GB |
9)用OSSIM系统来管理客户机
OSSIM适合管理机房服务器和网络设备而不宜用来管理大量客户机。
10)Server和Sensor的角色能通过软件添加删除而互换?
不能,除了重装没有其它方法。
11)启用过多插件
对于新手常常喜欢将一些自己认识的插件全加载到系统中(尤其是混合式安装的OSSIM要承担更多压力),要知道插件内主要是正则表达式,当它在处理事件是是要消耗内存、磁盘空间和CPU等资源,加载的越多消耗越大,当Sensor将事件归一化处理完之后还需传给后续关联引擎多次分析这样进一步加大系统负载,所以并不是添加越多越好。
12)能否将OSSIM当成堡垒机使用?
不能。
13)Ossim错误部署方式
不要用Ossim系统收集负载均衡服务器日志,以为每台负载均衡服务器每天会产生数百GB的访问日志,全网负载均衡服务器的日志量几十TB,即使是通过Gzip压缩也有3-4TB,这么大的负载会将Ossim系统压垮。
14)反复调整系统的时间/时区
一定要设置好时区、时间,一旦调整好,系统运行一定阶段后,禁止在修改这各时间。否则SIEM,日志会发生故障。
以上是关于OSSIM 安装使用常见错误举例的主要内容,如果未能解决你的问题,请参考以下文章