OSSIM安装注意事项
1.如何选择OSSIM版本
SIEM (安全信息和事件管理)是软件和服务的组合,是安全信息管理和安全事件管理的融合体。SIEM可以管理企业IT资源产生的安全信息(包括日志、告警等)进行统一的实时监控误操作行为进行监控、审计分析、调查取证、出具各种报表报告。OSSIM就是开源版的SIEM,对大型企业有商业版,对于社区有开源版OSSIM,他们主要区别见表1所示。
表1
注意:OSSIM USM ALL-IN-ONE (包含Sensor、Framework、Server、Database)
由于低版本的OSSIM架构相对简单,运行环境要求比较低,所以初学者建议使用低版本的OSSIM,当你对OSSIM原理有深刻理解之后可以在AlienVault官网下载新版继续研究。假如一个初学者使用OSSIM的最新版,你会遇到一些你无法解释通的困惑。
[OSSIM4网盘下载(https://pan.baidu.com/s/1i3l9COH) (适用于机器内存小于8G的用户)
[OSSIM5网盘下载 (https://pan.baidu.com/s/1ptphG) (适用于机器内存小于16G的用户)
2.OSSIM安装准备
凡事预则立,不预则废,下面几个问题需要你慎重考虑:
(1)首先确定监控范围,需要监控几个网段的多少台服务器,每台设备的日最高流量为多大(需要按峰值考虑),每台设备都需要能联系到相应的管理员。
(2)确定监控对象,虽说OSSIM能够监控多台设备,以及各种网络服务器等,但实际上为了保证性能符合我们的要求,不能无节制的开启服务,例如使用OSSIM的流量监控那么需要启动Ntop、Nagios等相关服务,使用OSSIM的漏洞扫描功能只需要启动Openvas、Nessus和Nmap等相关服务,使用Ossec作为HIDS使用,情况也是如此,如果硬件配置出众,那么再多启动一些服务也无妨,但是有一点,MySQL数据库承载和响应速度是有个极限的,即便是硬件配置高,服务开启多了,照样会出现系统延迟。
(3)从操作人员配备上看,必须由专人负责,熟悉Linux系统+网络架构+MySQL+PHP的中、高级网络工程师来担任OSSIM的管理员。在OSSIM系统投入初期有个机磨合期,之后系统运行走向正轨后,将会给企业网络运营审计工作带来收益。
(4)硬件选择,可以采用品牌服务器l例如DELL PowerEdgeR610、720等。对于中小企业也可以根据自己需求,但总体配置有个要求,这里以OSSIM 4.8系统为例,目前系统对多核性能支持的比较好,推荐采用至强E系列处理器,OSSIM在漏洞扫描,Ossec扫描,Snort事件分析时会消耗大量CPU,所以要尽量选择高性能CPU,尤其是在OSSIM USM发展到5.0之后,数据库采用了MySQL 5.6,对多CPU需求更高。
就内存而言 ,只有一个道理:越大越好 。当数据库的全部数据页能保存在缓冲池中,那么其性能 理论上是最优状态。 对于新版本OSSIM,建议需要配备16G以上内存,经过长期测试,对于OSSIM 4(64位)版本系统而言,如果内存分配小于6G在实际测试中系统工作一段时间之后,由于内存溢出等问题,可能出现某些服务自动重启或没有响应的情况。
所以16G内存是稳定运行的一个经验值(而且监控选项和插件选项是有正对性的开启)另外系统还需要2T的存储空间,有能力配备32G就为比较理想的选择。笔者在测试环境中采用自己攒的服务器,配置如下:华硕P8Z87-K+Intel I7 4770K+32G内存+双千兆Intel网卡+4T硬盘的配置下安装OSSIM 4.8一次性通过,运行效果比较理想,有条件的企业建议采用固态硬盘。
3.什么服务器适合安装OSSIM?
选择服务器必须注意该款服务器所支持的操作系统,它决定了是否能安装服务器的硬件驱动。通常联想、IBM、HP、DELL的服务器均不支持Debian Linux,但他们很多款型号的服务器都支持VMware ESX,所以初学者通过虚拟化方式部署OSSIM服务器。
3.1服务器网卡的选择问题
通常,大家在实体服务器上通过光盘安装OSSIM过程中,没有提示输入IP、网关等配置,进入系统后才发现网卡没有加载驱动,这时候你再回过头去下载服务器网卡驱动,比较麻烦,那到底OSSIM系统需要什么样的网卡呢?如果OSSIM工作在千兆网络环境,建议加装一块性能优异的网卡,首推Intel Pro网卡,它是著名品牌且性能稳定,可显著的改善服务器网络性能的特性,解决网络传输瓶颈。
Intel推出了最新一代的千兆万兆网络适配器芯片:82575/82576以及82598/82599,代号分别为Zoar/Kawela/Oplin/Niantic。其中代号为Kawela的Intel 82576芯片在千兆网卡里面属于功能最强大的,它支持PCIe 2.0 x4界面,具备多个RSS队列的网卡,可以将不同的网络连接分成不同的队列,进而分别发送到不同的CPU核心上进行处理,从而将负荷分散,充分利用多核处理器的能力。
到底哪种网卡最适合OSSIM呢?从安装方便程度和价格上看当属Intel Pro 10/100/1000网卡,但它的吞吐量并不是最好,OSSIM自带Intel Pro网卡驱动,另外选择Realtek瑞昱8169芯片(OSSIM直接带驱动)网卡也是一种选择比Intel略逊一筹,比它更好的例如Intel Gigabit ET Quad Port Server Adapter,型号是E1G44ET,这需要你手动安装驱动,这块基于两个82576芯片的强大四口千兆网卡,适和大流量网络环境下监控,但价格比较贵。
3.2 CPU的选择
对于CPU的选择,尽量选择多路志强处理器,因为在OSSIM框架内的绝大多数服务都支持多线程,如表2所示。
在多核运算上,从整体而言也不是CPU越多越好,比如我们选择一款Xeon E5-2680 CPU,八核心十六线程20M三级缓存强大处理器。如果在增加CPU对于提升系统性能并不明显,另外我们也需要知道如何查看CPU指标,主要是通过在系统中查看/proc/cpuinfo文件获取,我们会发现以下信息:
Ø CPU的物理个数。
Ø 具有几个逻辑核。
Ø CPU是否启用超线程。
Ø CPU的主频。
Ø 逻辑CPU、CPU型号。
3.3 RAID模式
如果选用 RAID 5 安装OSSIM会遇到启动问题,在测试中发现RAID 0是一种非常不错的选择。其他RAID模式在安装Grub时会报错。
4.准备虚拟机软件
采用虚拟机安装OSSIM是最方便快捷的一种方式,虚拟机工具推荐VMware workstations、VirtualBOX。如果你选择Xen Server或KVM等其他虚拟化工具会耽误很多宝贵的时间。
5.安装常见故障
对于OSSIM的安装过程比较简单和其Linux没有本质区别,贴一大堆图在这里没有必要,这里需要说明的是下面安装故障的处理方法。
下面笔者列举了一些常见的OSSIM安装错误,以便大家在今后安装中少走弯路,实例例举如下:
(1) 禁止OSSIM Server以及Sensor的非法关机,这将有可能造成数据库损坏。
OSSIM系统在非法关机后,重开机的画面,左边为启动系统画面,但长期停留在此画面,但F2进入命令后发现右边的提示,这就是非法关机后果,最后几经周折修复文件系统后才恢复系统。
(2)将OSSIM串联在防火墙链路之后运行。
如果想利用OSSIM中的iptables+TC做安全网关和简单的流量控制这种方案是可行的,如果将它作为网络数据包审计和日志收集分析那么就不适合串联在防火墙之后,这种部署方式就是错误的。
(3) 切勿轻易对系统进行升级
在OSSIM中升级系统很简单,只需在命令行下输入alienvault-update,此时如果你的系统又恰逢没有备份,很可能找成一些系统服务配置被重置(这是内部框架BUG造成),此时在打开WebUI会造成数据错误无法读取。所以升级系统最佳时机在刚安装完OSSIM时,其他时间切勿再用这条命令。
(4)OSSIM流量收集分析口在交换机没有正确设置SPAN。
这种也属于初学者常见的问题之一,在使用OSSIM做IDS分析时一定要将所检测网段的全部流量镜像过来,方法之一就是SPAN,当然对于流量很大的情况可以采用网络分流器(Net-TAP)这种硬件卡实现分流目的。
(5)安装时只安装了Sensor组件。
初学者在初次安装OSSIM系统时只安装了Sensor,导致无法使用。这是应该避免的错误。
(6)OSSIM装好了系统,长期置之不理。
OSSIM它是一套智能分析提供,同时也需要每天对其进行维护,否则真的要“罢工”啦!笔者建议指定专门的网络安全分析师每天观察OSSIM搜集的情报,以便及时进行调整。
(7)画蛇添足-安装SELinux。
SELinux全称是Security Enhanced Linux安全强化Linux,是MAC(Mandatory Access Control强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(包括文件,网络端口等)。有些朋友考虑加固OSSIM系统,因为系统默认没有启用SELinux,所以想手工安装SELinux。从安全角度考虑,这种想法没有错,但是alienvault公司并没有为OSSIM 组件做这方面的设置,也就是说如果在没有完全多OSSIM所有组件做好这方面准备之前,冒然启用了SELinux,那么后果很严重。SeLinux不但改变了文件权限,而且还禁止了so库的调用,所以整个OSSIM系统无法启动。
(8)计算机硬件配置与软件要求不匹配问题,例如在低配置的计算机上安装了较新的OSSIM版本。
不少用户会尝试在低配置的计算机上安装OSSIM 高版,这样抓包流量过来之后不但起不到然和作用反而会让系统内部负荷大到足以停滞的程度。表3列出了OSSIM版本和所需内存的关系。
9)用OSSIM系统来管理客户机
OSSIM适合管理机房服务器和网络设备而不宜用来管理大量客户机。
10)Server和Sensor的角色能通过软件添加删除而互换
要更换角色,除了重装没有其它方法。
11)启用过多插件
对于新手常常喜欢将一些自己认识的插件全加载到系统中(尤其是混合式安装的OSSIM要承担更多压力),要知道插件内主要是正则表达式,当它在处理事件是是要消耗内存、磁盘空间和CPU等资源,加载的越多消耗越大,当Sensor将事件归一化处理完之后还需传给后续关联引擎多次分析这样进一步加大系统负载,所以并不是添加越多越好。
12)Ossim错误部署方式
不要用Ossim系统收集负载均衡服务器日志,以为每台负载均衡服务器每天会产生数百GB的访问日志,全网负载均衡服务器的日志量几十TB,即使是通过Gzip压缩也有3-4TB,这么大的负载会将Ossim系统压垮。
13)反复调整系统的时间/时区
一定要设置好时区、时间,一旦调整好,系统运行一定阶段后,禁止在修改这各时间。否则SIEM,日志会发生故障。
14) 最重要的放到最后,你的网络中必须有够顺利访问Google站点的主机
只有通过这台能够访问google的主机,才能开到将IP信息OTX信息可视化方式展示在地图上。