Suchen

OSSEC Host-basiertes IDS auf Open-Source-Basis

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Mit OSSEC können Unternehmen ein kostenloses Intrusion-Detection-System aufbauen. Dieses Host-basierte IDS prüft die Dateiintegrität, erkennt Rootkits und alarmiert den Admin, was Echtzeit-Reaktionen ermöglicht. Um die Sicherheit in Netzwerken zu gewährleisten, ist das System ein idealer Einstieg.

Firma zum Thema

Die Host-basierte Eindringlingserkennung mit OSSEC bietet sogar eine Web-Oberfläche, die aber erst eingerichtet sein will.
Die Host-basierte Eindringlingserkennung mit OSSEC bietet sogar eine Web-Oberfläche, die aber erst eingerichtet sein will.
(Bild: Thomas Joos)

OSSEC ist ein Host-based Intrusion Detection System (HIDS), welches auf Grundlage verschiedener Quellen mögliche Angriffe auf Netzwerk und Server erkennt. Sobald ein Angriff registriert wird, kann das System entsprechende Warnungen per E-Mail versenden, aber auch selbstständig reagieren. Auf diesem Weg lassen sich selbst Brute-Force-Angriffe verhindern.

Großer Vorteil von OSSEC ist die heterogene Überwachung von Netzwerken. Neben Linux-Servern lassen sich mit der Lösung auch Windows, Mac-OS- und Unix-Server überwachen. Es eignet sich daher hervorragend als zusätzliche Sicherheitslösung in Netzwerken. Alle Möglichkeiten von OSSEC zeigen die Entwickler in der Dokumentation.

Richtig konfiguriert kann die Lösung durchaus auch kommerzielle Antivirus-Lösungen ersetzen, allerdings sollten sich Administratoren in diesem Fall recht gut mit OSSEC auseinandersetzen. Da die Lösung Änderungen in Dateisystemen erkennt – ebenso wie ungewöhnliche TCP-Pakete, neue Ports und Protokolldateien – lassen sich alle Einfallstore von Viren überwachen

OSSEC-Infrastruktur verstehen

OSSEC besteht aus mehreren Teilen. Der Server-Part überwacht das Netzwerk. Hier lassen sich mehrere Informationsquellen hinterlegen. Auf diesen eingebundenen Server-Systemen können Administratoren einen Agenten installieren, der Informationen an den Haupt-Server sendet. Der Server kann durchaus agentenlos arbeiten, liest dann aber auch nicht so viele Informationen ein.

Über Agenten lassen sich auf Windows-Servern zum Beispiel auch die Registry auf Änderungen überwachen. Darüber hinaus kann der HIDS-Server auch Daten aus Protokolldateien von Systemen auslesen. Alle diese Daten aggregiert der Server und führt im Alarmfall Aktionen oder Benachrichtigungen aus.

Administratoren können OSSEC entweder installieren oder auch als virtuelle Appliance als herunterladen. Server und Agents lassen sich getrennt herunterladen und an einen OSSEC-Server anbinden. Die Verwaltung kann auch über ein Webinterface erfolgen. Im Gegensatz zu vielen Live-DVDs oder einfacheren Open-Source-Lösungen ist OSSEC in der Installation, Einrichtung und Betrieb nicht ganz einfach. Administratoren sollten sich daher Zeit lassen und sich umfassend in das Produkt einarbeiten.

(ID:43347047)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist