OSSIM平台部署前奏

工欲善其事,必先利其器。作为OSSIM的使用者,对于企业网中部署OSSIM你真的准备好了吗?从软件方面看对于系统维护、网络管理以及安全管理知识体系是否全面了解呢?在本文中部署OSSIM是需要使用者具有系统工程师、网络架构师和安全分析师多种角色的知识,下面重点从硬件选型上讲解OSSIM准备安装前的注意事项。

1. 软硬件配备

(1)首先确定监控范围。需要监控几个网段内的多少台服务器,每台设备的日最高流量为多大(需要按峰值考虑),每台设备都需要能联系到相应的管理员。

(2)确定监控对象,虽说OSSIM能够监控多种设备,但实际上为了保证性能,不能无节制的打开各种服务。

(3)从人员配备上看,需由专人负责管理,维护OSSIM的人员,首先因该是具有一定工作经验的Linux工程师,熟悉Linux系统+网络架构+MySQL+PHP,即熟悉Linux系统运维、MySQL数据库运维、信息安全管理、对于网络编程也需要掌握。

(4)硬件选择,可以采用品×××服务器,对于中小企业也可以根据自己需求,以OSSIM 4.8系统为例,目前系统对多核性能支持的比较好,推荐采用至强E系列处理器,OSSIM在漏洞扫描、Ossec扫描、Snort事件分析时会消耗大量CPU,所以要尽量选择高性能CPU,尤其是在OSSIM USM发展到5.0之后,数据库采用了MySQL 5.6,对多CPU处理能力需求更高。

就内存而言,只有一个道理,越大越好。当数据库的全部数据页能保存在缓冲池中,那么其性能 理论上是最优状态。 对于新版本OSSIM,建议需要配备16G以上内存,经过长期测试,对于OSSIM 4.3(64位)版本系统而言,如果内存分配小于6G在实际测试中系统工作一段时间之后,由于内存溢出等问题,可能出现某些服务自动重启或没有响应的情况。

    所以16G内存是稳定运行的一个经验值(而且监控选项和插件选项是针对性的打开)另外系统还需要2T的存储空间,有条件内存配备32G比较理想。笔者在测试环境中采用自己攒的服务器,配置如下:华硕P8Z87-K+Intel I7 4770K+32G内存+双千兆Intel网卡+4T硬盘的配置下安装OSSIM 4.11一次性通过,运行效果比较理想。

在持久存储上通常使用多块硬盘组成RAID阵列,OSSIM系统中常采用RAID 1+0模式,但机械磁盘本身的特性决定了其IOPS性能比较低,而通过多块盘做RAID虽能提升IOPS,但对于OSSIM系统而言依然缓慢,所以对于有条件的企业建议采用固态硬盘,当前SSD能轻松达到50000。

固态硬盘可分为PCIe和SAS(SATA)接口。PCIe有着最好的性能,但价格较贵。而SAS接口的一个好处是易于安装,升级当前服务器的存储到SAS接口的固态硬盘仅需拆卸原来的机械硬盘即可。而PCIe需要拆开服务器的背板,工程量较大,普通系统工程师恐难胜任。

(5)对于Broadcom Netxtreme网卡所遇到的问题

市面上有一些HP和Dell的服务器采用Broadcom Netxtreme网卡,这时安装OSSIM2.3这样低版本的系统就会遇到找不到网卡驱动到的问题,因为Debian系统无法加载firemware bnx2模块这时,需要到Broadcom官网下载For Debian的驱动,然后通过U盘安装 。

成功加载驱动后,在系统内就能查看到详细信息:

# dmesg | grep bnx2

[    1.909228] Broadcom NetXtreme II Gigabit Ethernet Driver bnx2 v1.7.5

[    2.634060] firmware: requesting bnx2-06-4.0.5.fw

[    3.185810] firmware: requesting bnx2-06-4.0.5.fw

新版本的OSSIM在这方面进行了改进,增加了firmware-bnx2包,这样一来能够支持Broadcom Netxtreme系列网卡。

2.服务器选择

     部署OSSIM服务器时常会遇到两类问题,一类是无法识别硬盘,另一类是无法识别网卡。对于Dell、HP和IBM品×××X86服务器系列,官方默认对Windows以及Linux发行版Rad Hat、SUSE Linux提供RPM格式的驱动支持不错,它们只提供Red Hat和SUSE的硬件兼容列表,对于Debian Linux平台支持相对较差。

一些使用OSSIM的用户,为服务器Raid卡安装驱动头痛不已。经测试Dell 2950/2850 PowerEdge、HP ProLiant DL160 G6 、DL360、DL380 (G7、G8)、IBM X3100M4以及方正圆明LT200 2600等服务器都能顺利安装OSSIM 4。大家在选择一款专业服务器时,需要确认它是否支持Debian Linux系统。

OSSIM是基于Debian Linux的系统,所以并没有包含最新服务器的网卡驱动和Raid卡驱动,在厂家那里没有提供兼容列表时,大家可以在http://kmuto.jp/debian/hcl上查询机器是否适合安装。例如查询IBM X3650机器是否能安装就可以查询http://kmuto.jp/debian/hcl/IBM/x3650/。

在网卡的选择方面大家需要注意,有条件的部门可以选择带队列功能的网卡,例如Intel 82576千兆网卡,它支持PCIe 2.0 X 4,支持MSI-x中断,支持8个RSS队列。 

3.CPU内核越多越好?

在OSSIM中集成了很多优秀的抓包工具例如tcpdump、snort/suricata这些工具中都具有数据包捕获函数库例如PF_Ring,它们都是以库函数为基础的软件方式抓包,在老版本中采用libpcap抓包,由于它接收数据包时产生的中断开销,以及将接收到的数据包从网卡复制到内核,再从内核复制到用户空间消耗大量CPU资源,所以不适用高速链路。若提高抓包效率就必须减少内存复制次数,改变中断方式,减少不必要的CPU中断,PF_RING机制在这种需求下诞生。在OSSIM中采用了PF_Ring+NAPI的捕包机制。

对于一个流量监控模块来说,必须要求足够的CPU资源,来对捕获的数据包做深一层处理和分析,否则捕获的数据包会被丢弃。因此有必要测试在各种数据包大小下,包捕获有没有发生丢弃,注意观察CPU使用率。

即使使用了Suricata支持多线程,在多核平台上抓包,也没有成倍提升性能,但采用多核和Suricata后抓包效率比过去提升了不少,但还有一部分不可避免的CPU消耗主要集中在内核空间。   

4.服务器网卡注意事项

通常,大家在实体服务器上通过光盘安装OSSIM过程中,没有提示输入IP、网关等配置,进入系统后才发现网卡没有加载驱动,此时你再返回去下载服务器网卡驱动比较麻烦,那到底OSSIM系统需要什么样的网卡呢?如果OSSIM工作在千兆网络环境,建议加装一块性能优异的网卡,首推Intel Pro网卡,它是著名品×××且性能稳定,可显著的改善服务器网络性能的特性,解决网络传输瓶颈。

哪种网卡最适合OSSIM呢?从安装方便程度和价格上看当属Intel Pro 10/100/1000网卡,但它的吞吐量并不是最好,OSSIM自带Intel Pro网卡驱动,另外选择Realtek瑞昱8169芯片(OSSIM直接带驱动)网卡也是一种选择比Intel略逊一筹,比它更好的例如Intel Gigabit ET Quad Port Server Adapter,型号是E1G44ET,这需要你手动安装驱动,这块基于两个82576芯片的强大四口千兆网卡,适和大流量网络环境下监控,但价格比较贵。

对于OSSIM服务器的数据存储问题,可使用已有的存储系统,推荐专供OSSIM平台使用的存储系统,如 IBM System Storage DS4000盘阵等。另外网卡方面选用Intel的双千兆网卡比较合适,另外在交换设备上做好SPAN设置这一步至关重要,详细操作后面会讲到,需要将流量镜像到Sensor的网络接口。

你可能感兴趣的:(OSSIM平台部署前奏)