OSSEC

Host-basiertes IDS auf Open-Source-Basis

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Die Host-basierte Eindringlingserkennung mit OSSEC bietet sogar eine Web-Oberfläche, die aber erst eingerichtet sein will.
Die Host-basierte Eindringlingserkennung mit OSSEC bietet sogar eine Web-Oberfläche, die aber erst eingerichtet sein will. (Bild: Thomas Joos)

Mit OSSEC können Unternehmen ein kostenloses Intrusion-Detection-System aufbauen. Dieses Host-basierte IDS prüft die Dateiintegrität, erkennt Rootkits und alarmiert den Admin, was Echtzeit-Reaktionen ermöglicht. Um die Sicherheit in Netzwerken zu gewährleisten, ist das System ein idealer Einstieg.

OSSEC ist ein Host-based Intrusion Detection System (HIDS), welches auf Grundlage verschiedener Quellen mögliche Angriffe auf Netzwerk und Server erkennt. Sobald ein Angriff registriert wird, kann das System entsprechende Warnungen per E-Mail versenden, aber auch selbstständig reagieren. Auf diesem Weg lassen sich selbst Brute-Force-Angriffe verhindern.

Großer Vorteil von OSSEC ist die heterogene Überwachung von Netzwerken. Neben Linux-Servern lassen sich mit der Lösung auch Windows, Mac-OS- und Unix-Server überwachen. Es eignet sich daher hervorragend als zusätzliche Sicherheitslösung in Netzwerken. Alle Möglichkeiten von OSSEC zeigen die Entwickler in der Dokumentation.

Richtig konfiguriert kann die Lösung durchaus auch kommerzielle Antivirus-Lösungen ersetzen, allerdings sollten sich Administratoren in diesem Fall recht gut mit OSSEC auseinandersetzen. Da die Lösung Änderungen in Dateisystemen erkennt – ebenso wie ungewöhnliche TCP-Pakete, neue Ports und Protokolldateien – lassen sich alle Einfallstore von Viren überwachen

OSSEC-Infrastruktur verstehen

OSSEC besteht aus mehreren Teilen. Der Server-Part überwacht das Netzwerk. Hier lassen sich mehrere Informationsquellen hinterlegen. Auf diesen eingebundenen Server-Systemen können Administratoren einen Agenten installieren, der Informationen an den Haupt-Server sendet. Der Server kann durchaus agentenlos arbeiten, liest dann aber auch nicht so viele Informationen ein.

Über Agenten lassen sich auf Windows-Servern zum Beispiel auch die Registry auf Änderungen überwachen. Darüber hinaus kann der HIDS-Server auch Daten aus Protokolldateien von Systemen auslesen. Alle diese Daten aggregiert der Server und führt im Alarmfall Aktionen oder Benachrichtigungen aus.

Administratoren können OSSEC entweder installieren oder auch als virtuelle Appliance als herunterladen. Server und Agents lassen sich getrennt herunterladen und an einen OSSEC-Server anbinden. Die Verwaltung kann auch über ein Webinterface erfolgen. Im Gegensatz zu vielen Live-DVDs oder einfacheren Open-Source-Lösungen ist OSSEC in der Installation, Einrichtung und Betrieb nicht ganz einfach. Administratoren sollten sich daher Zeit lassen und sich umfassend in das Produkt einarbeiten.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43347047 / Intrusion-Detection und -Prevention)