Open Source Security Information Management

Posted on 20 June 2009 by [email protected]

السلام عليكم ورحمة الله وبركاته

منذ فترة لم نكتب عن حاجة جديدة والسبب العمل، ولهذا قررت أكتب عن بعض الأمور التي أستعملها في عملي وبعض التقنيات والطرق أيضاً التي أستعملها في إدارة العمل … في البداية ربما الكثير منا يظن بإن الحماية والأمن هي فقط أمن المواقع وهذا أمر ليس صحيحاً، ولهذا نرى الكثيرين يهتمون بهذا الجانب وينسون جوانب أخرى كثيرة … المحافظة على Assets الشركة هي أمن، المراقبة والمتابعة للخدمات وكيف هو عملها وأداءها هو أمن، المتابعة والمراقبة لسجلات الأنظمة والخدمات هو أيضاً أمن، ومعرفة ما يدخل الى شبكتك وماذا يخرج منها هو أيضاً أمن وغيرها الكثير من الأمور …

طيب لمراقبة الشبكة تستعمل ntop ولمراقبة الخدمات والخوادم تستعمل Nagios ولمراقبة الحزم ربما تستعمل tcptrack ولمراقبة الـ MAC Addresses تستعمل ArpWatch ولمراقبة هل هناك هجمات أو لا من خلال IDS تستعمل Snort وغيرها من الأدوات التي تستعملها للمراقبة والمتابعة لما يخص الشبكة التي تشرف عليها … طيب أنظر الى حجم العمل الذي سيكون على كاهلك والسبب وجود عدة برامج وعدة روابط وبرامج للمتابعة … ستتنقل بين متابعة Nagios و Snort وغيرها من البرامج كل مرة … متعب صح ؟

وأيضاً لو كانت الإدارة تطلب منك تقارير إسبوعية عن حالة الشبكة والخدمات التي عليها كيف ستعمل ذلك وأنت تستعمل هذه البرامج بهذه الطريقة؟ الجواب مهلك بصراحة وأكثر من ما تتوقعون حتى لو كانت الشبكة صغيرة جداً فما بالك حين يكون حجمها عشرات من الخوادم ومئات الموظفين وأجهزتهم !!!

هنا يأتي نظام OSSIM والذي هو إختصار لـ Open Source Security Information Management … والذي يصفه المطورون بإنه الهدف من عمله هو لتوفير تجميع شامل من البرامج حين تعمل مع بعضها البعض توفر لمدير الشبكة أو المسؤول الأمني عنها تفاصيل كاملة عن كل النواحي الموجودة في شبكته سواءاً الشبكة، الأجهزة، الوصول الفيزيائي لها، الخوادم، الى آخره.

أيضاً ما يوفره هذا النظام بالإضافة الى البرمجيات مفتوحة المصدر التي يستعملها هو نظام إرتباط لعدة مستويات من التصورات بالإضافة الى إمكانية عمل التقارير وأدوات لإدارة الحوادث وكل هذا يعمل على مجموعة معرفة من الـ Assets مثل الأجهزة، الشبكات، المجموعات والخدمات.

جميع هذه المعلومات ممكن أن يتم حصرها بناءاً على الشبكة أو الـ Sensor وذلك لعرض المعلومات التي تريدها فقط … وأيضاً إمكانية إستعمال عدة مستخدمين للنظام وذلك لإعطاء مثلاً كل مستخدم وظيفة معينة (مثلاً فريق الحماية في الشركة، يعطى لكل شخص في الفريق إمكانية العمل على وظائفه الخاصة فقط، ولن يرى باقي التفاصيل) بناءاً على بيئة العمل … مع إمكانية إستعمال النظام للعمل كـ IPS أي Intrusion Prevention System وذلك بناءاً على نظام الإرتباط المبني على المعلومات التي لديه … كل هذا بالنهاية سيعطي إضافة حقيقية لأي Security Professional …

النظام مبني على دبيان أعتقد 4.10 والله أعلم، وكان يستعمل بالسابق رخصة BSD وقبل فترة أنتقل مطوروه الى رخصة GPL وذلك حسب ما فهمت لإعطاء حرية أكبر … النظام يحتوي على البرامج التالية:

* Arpwatch, used for mac anomaly detection.
* P0f, used for passive OS detection and os change analisys.
* Pads, used for service anomaly detection.
* Nessus, used for vulnerability assessment and for cross correlation (IDS vs Security Scanner).
* Snort, the IDS, also used for cross correlation with nessus.
* Spade, the statistical packet anomaly detection engine. Used to gain knowledge about attacks without signature.
* Tcptrack, used for session data information which can grant useful information for attack correlation.
* Ntop, which builds an impressive network information database from which we can get aberrant behaviour anomaly detection.
* Nagios. Being fed from the host asset database it monitors host and service availability information.
* Osiris, a great HIDS.
* OCS-NG, Cross-Platform inventory solution.
* OSSEC, integrity, rootkit, registry detection and more.

تخييل كل هذه مربوطة مع بعضها البعض وكلها تحت واجهة واحدة ؟ صدقوني جربوا تستعملوا هذه البرامج بشكل منفصل وستعرفون كم هو رهيب أن تجدها في مكان واحد … أنظر الى حجم المعلومات التي ستحصل عليها من خلال هذه البرامج وكلها مفيدة بدون شك …

هذا الموضوع هو الجزء الأول فقط، من ما يخص OSSIM سأكمل الحديث عن أمور أخرى حول هذا النظام، منها:

أولاً: كيفية بناءاً المجموعات أو إضافة الأجهزة مع كيفية مراقبتها من خلال Ntop و Nagios.
ثانياً: كيفية ربط الأجهزة بالشبكة سواءاً تستعمل جنو/لينوكس أو ويندوز مع مستودع OCS-NG من خلال الـ Agent الخاص بها.
ثالثاً: كيفية إضافة الـ Agent الخاص بـ OSSEC والذي هو الـ HIDS.
رابعا: كيفية عمل Scan من خلال Nessus أو Nmap من خلال النظام وما هي فائدة ذلك.
خامساُ: غير ذلك.

أليكم بعض الصور من النظام:

صفحة المخططات الرئيسية لمختلف الأمور

صفحة برنامج Ntop

صفحة برنامج Ntop مع الـ Sessions المفتوحة حالياً

صفحة برنامج Nagios

صفحة المخططات التوضيحة للمخاطر التي عندك

صفحة إعدادات المستخدمين للنظام

صفحة الـ Correlation Directives

صفحة الأحداث التي يعرضها لنا BASE (لمن أستعمل Snort فبدون شك يعرف ما هو Basic Analysis & Security Engine هذا)

صفحة أنواع الحوادث

طبعاً هذا ليس كل شيء، ولكنها عبارة عن عينة فقط، إن شاء الله نتعرف على المزيد لاحقاً، وأتمنى يكون الجميع لديه النظام ليكون العمل أسهل :)

الموقع الرسمي للنظام | أضغط
لتحميل النظام (Stable) نسخة 1.0.6 | من هنا
لتحميل النظام (Beta) نسخة 1.1beta | من هنا

في الأخير لن أقوم بشرح كيفية تنصيب النظام، لأنه بصراحة سهل جداً وسهولته تصل لحد السخافة أن أقوم بأمانة بشرح ذلك … هذه المجموعة من المطورين (المدريديين :) ) عملوا إنجاز بأمانة وأنجاز صعب تتخييله إلا لو أستعملت ولو بعض هذه البرمجيات لوحدها … أنصح كل من يود التعلم أن يقوم بتركيب هذا النظام ولو على VMware والبدأ بالتعلم …

لي عودة لإكمال الشرح إن شاء الله لاحقاً … إن شاء الله يفيدكم ويكون محل فائدة لكم، ولا تنسوني من دعواتكم :$

دمتم بود …

About [email protected]

[Between Teams of Red and Blue, I'm with the Purple Team]
This entry was posted in Footprinting, Linux Security, Linux Services, Networks, PenTest, Security and tagged , , , , , , , , , , , , , , , , . Bookmark the permalink.

23 Responses to Open Source Security Information Management

  1. XxRa3eDxX says:
    20 June 2009 at 10:43 am

    السلام عليكم

    والله يا دكتور إنك رائع بكل ما تقدمه رزقك الله وأعطاك مما عنده ونفعك بما تنفعنا به

    والله أني كل يوم أزداد إعجابا بك ولهذا أضفت هذا التعليق لأخبرك أني أحبك في الله

    أخي الكريم أتمنى منك المزيد من الإبداع والرقي في مواضيعك والحركات الحلوة دي

    وما تنسى رجاء موضوع الربط مع السيرفرات الي حتكون في مجال العمل الويب سيرفر وكذلك الinternet server سواء أكانو على نظام لينكس او وندوز

    ولك مني كل التحية وأكرر شكري

    تحياتي

  2. ايمن العوادي says:
    20 June 2009 at 11:03 am

    السلام عليكم، بلتوفيق اخوي ابو محمد…بلفعل نظام راقي مع كل هذه الامكانات..موفق يا غالي ولاتحرمنه من مواضيعك.تحياتي

  3. ابراهيم says:
    21 June 2009 at 7:28 am

    السلام عليكم … يعطيك العافية علي المواضيع المميزه اخوي

    وياليت تتكلم اكثر عن Nagios + Cacti

    وعملية الاضافات لكل من البرنامجين :)

    وتقبل تحياتي ولمزيد من التقدم

  4. محمد حكيم says:
    21 June 2009 at 8:00 am

    والله أني كل يوم أزداد إعجابا بك

    الي الامام وفي انتظارالمزيد من الشرح

    بالتوفيق وحفظك ربي من كل سوء

  5. محمد حكيم says:
    21 June 2009 at 8:06 am

    ولي استفسار

    هل استطيع الاعتماد عل هذه التوزيعة الجبارة في ادارة شبكة الانترنت الخاصة بي بدلا من الميكروتيك

    ارجو الاجابة فأنا كالغريق متعلق بلوح هش من الخشب في امل النجاة

  6. mrloong says:
    21 June 2009 at 12:39 pm

    شـكــ وبارك الله فيك ـــرا لك … لك مني أجمل تحية .

    والله لك وحشه ونا بصراحه قلت الرجال خلاص نسانا ::19

    بس الحمد لله رجعت لنا مع موضوع اكثر من رائع والله يعطيك الف عافيه

  7. امجد says:
    21 June 2009 at 2:32 pm

    بصراحة اليوم امضيت اكثر من ساعة ونصف اقراء المواضيع القديمية ووجدت العيدي منها شيق ….ارغب في مشاركتك اية ابحاث او مشاريع …كما اني مهتم بمعرفة معلومات اكثر عن الاطروحة ….موفق ان شا الله

  8. B!n@ry says:
    22 June 2009 at 5:48 pm

    XxRa3eDxX @ وعليكم السلام ورحمة الله وبركاته
    الله يخليك يارب أخي الكريم، هذا من لطفك وذوقك وأشكرك جداً على كلامك ودعواتك الطيبة … إن شاء الله أقوم بإنهاء موضوع الربط ولا يهمك، أمرها سهل ليس بذلك الصعوبة … شكراً لمرورك يا خوي مرة أخرى ولا تحرمنا من زياراتك الطيبة …

    ايمن العوادي @ وعليكم السلام ورحمة الله وبركاته
    تسلملي يالغالي وإن شاء الله يكون محل فائدة لك … مشكور أخوي أيمن على المرور ودوام الدعم والتشجيع …

    ابراهيم @ وعليكم السلام ورحمة الله وبركاته
    الله يعافيك يارب أخوي، ولا يهمك إن شاء الله احاول انهي ما بدأته … وعملية إضافة Nagios سهلة للغاية … شكراً لمرورك اخي الكريم …

    محمد حكيم @ الله يخليك يارب أخوي محمد هذا من لطفك وذوقك … بخصوص إستفسارك أخي، أنت ممكن تركب عليها الذي تريده، لكن هذه التوزيعة للمراقبة والتعامل مع المعلومات الأمنية والمعلومات التي تخص شبكتك … يعني توزيعة لإدارة المعلومات الأمنية والشبكة وهكذا … وإن شاء الله ما حد غريق وإن شاء الله ربنه يوفقنا جميعاً لكل ما يحبه ويرضاه … شكراً لمرورك اخوي محمد …

    mrloong @ ويبارك بيك أخوي العزيز … شكراً لسؤالك وإهتمامك يا خوي، لا تقلق لم انسى أحد ولكن وقتي لم يعد كالسابق، ولهذا لا اجد الكثير من الوقت للمدونة أو لاي شيء خارج نطاق العمل …

    امجد @ الله يخليك يارب أخوي أمجد، هذا من لطفك وذوقك … عادي إذا عندك أفكار تقدر تطرحها هنا او بالمجتمع وإن شاء الله نتواصل قدر المستطاع … بخصوص أطروحتي إن شاء الله حال إنتهائي منها ستعرف عنها كلها وليس بعضها شكراً لمرورك اخوي امجد وبالتوفيق للجميع …

  9. youssef says:
    24 June 2009 at 2:41 am

    رائع جدآ وشرح واضح ~
    وان شاء الله نحترف الحماية لانها اصعب من الاختراق بعينه::18

    بالتوفيق في العملْ ::wink::

  10. B!n@ry says:
    25 June 2009 at 7:52 am

    youssef @ حياك الله اخي يوسف وإن شاء الله يكون محل فائدة لك … كلا الجانبين ليس سهلاً الإختراق والحماية …

    شكراً لك ولدعواتك الطيبة ولمرورك أيضاً …

  11. unex says:
    26 June 2009 at 3:56 am

    السلام عليكم
    جميلة جدا ان اصحاب المشروع مدريدين هههههه ::teeth:: ستكون تكلفة المماية كبيرة فلرتينو بيريز يحب التباهي و جمع الاعبيبن … كالطوابع البريدية
    ::18
    ::hehe::

  12. B!n@ry says:
    26 June 2009 at 9:28 am

    unex @ وعليكم السلام ورحمة الله وبركاته
    هذا الي طلع من أمرك؟ هذا أقصى شيء؟

  13. unex says:
    27 June 2009 at 12:12 am

    السلام عليكم

    اخي ابو محمد انا اضحك معاك لا تتقلق و لا تتعصب

    تقبل اعتداري ان كنت قلل احترامي .. احوك و محبك في الله يونس

    اسف و حقك علي
    ::17

  14. B!n@ry says:
    27 June 2009 at 8:49 pm

    unex وعليكم السلام ورحمة الله وبركاته
    يونس الموضوع هذا عن حاجة وردك السابق كان عن حاجة أخرى، يعني أنت تركت جميع الموضوع الذي على ما يبدو تافه بالنسبة لك وعلقت على مسألة أكثر أهمية ولهذا قلت لك هل هذا أقصى شيء عندك !!!
    شكرا على كل حال لمرورك وتأكد بإني لست متعصب ولازلت أحبك في الله واحترمك …

  15. unex says:
    28 June 2009 at 3:17 am

    هلا فهمت الان .. لا الموضوع ممتاز اخي ابو محمد كيف تافه يارجل النخلة لا ثثمر الا الثمر الحلو و خصصوصا ان كانت عراقية .. استفدت من الموضوع كالعادة و جزاك الله خيرا ..
    انا اظن والله اعلم ان لكل مقال مقام اي لكل حالة ادوات المناسبة .

  16. B!n@ry says:
    28 June 2009 at 6:49 pm

    unex @ الله يخليك ويجزيك الخير يارب اخوي يونس هذا من لطفك وذوقك … إن شاء الله يكون محل فائدة لك وإن شاء الله نراك قريباً … نورت الزون كعادتك ::wink::

  17. محب سينين says:
    30 June 2009 at 1:26 am

    السلام عليكم
    كيف حالك استاذ أبو محمد
    لى سؤال
    هل سأستفيد أنا كشخص عادى فى الشبكة (وليس مدير) من هذا النظام
    وما مدى تلك الإستفادة

  18. محب سينين says:
    30 June 2009 at 1:49 am

    معلش أبو محمد حته كمان

    Taking an empty host (even a virtual machine) this installer will erase and partition the disk and install everything you need to have an OSSIM up and running in under ten minutes. This installer includes all the software as well as the operating system, so you don’t need anymore to install the components separately.

    All you have to supply is an ip address for the host, the listening interface and a password, everything else gets taken care of. After installtion just point your browser at the selected IP and start enjoying your brand new SIM. IDS, Network Monitors, Availability Monitors, Vulnerability Scanner, Anomaly detection, Inventory and a powerful correlation engine centralizing everything are optimally pre-configured.

    هذا من الموقع بتاعهم
    شبكتنا فيها سيرفر ميكروتك كيف سأعطى ip له

  19. B!n@ry says:
    3 July 2009 at 4:27 pm

    محب سينين @ وعليكم السلام ورحمة الله وبركاته
    أنا بخير ولله الحمد واعتذر عن ردي المتأخر … بخصوص سؤالك حول الإستفادة من النظام، فالجواب هل يهمك الأمور الأمنية؟ إن كان نعم، إذن ستستفيد إن كان لا ؟ فلا داعي له …

    بخصوص إعطائك IP له؟ فهي بنفس الطريقة التي يعطي مايكروتيك IP الى غيره :)

  20. wedo_ksa says:
    4 July 2009 at 3:03 pm

    السلام عليكم

    دكتور
    كل موضووع تطرحه احس من جد اني ما اعرف اي شي وان قداامي صعوباات عشان اتعلم

    لاكن كل ما افتكرك ابي اصير مثلك ::18
    وهو اللي يشجعني

    تدري اني كل مااخش مدونتك اخش على شهاداتك وابدا ابحث عنها واحاول اني ادرسها ::teeth::

    تقدر تقوول اني صرت مهووس ::hehe::

    على العموم احنا وراك وراك يا نتعلم منك يا نتعلم ::14 ::hehe::

  21. B!n@ry says:
    9 July 2009 at 12:40 am

    wedo_ksa @ وعليكم السلام ورحمة الله وبركاته
    الله يخليك يارب هذا من لطفك وذوقك … يارجل إن شاء الله تصير أحسن مني بمليون مرة … أنا لازلت مثلي مثلك اتعلم وإن شاء الله أموت وأنا على هذا المنوال ::17

    شكراً أخوي وليد على كلامك الطيب، وأتمنى ربنه يوفقك لكل ما يحبه ويرضاه … وإن شاء الله تحصل على شهادات أحسن من الي عندي … وأهم شي لا تحرمنا من مرورك ::wink::

  22. محب سينين says:
    10 July 2009 at 1:57 pm

    :::::بخصوص إعطائك IP له؟ فهي بنفس الطريقة التي يعطي مايكروتيك IP الى غيره :)::::

    ليس هذا ما أقصده
    أنا لا اريد اعطائه ip جديد
    ما أقصده هو هل يمكن أن أنصبه على جهاز تخيلى واعطيه نفس ال ip الذى أستعمله أنا … أم أن هذا لا يمكن لأن السيرفر لايسمح ب2 ip

  23. B!n@ry says:
    11 July 2009 at 12:14 pm

    محب سينين @ يمكن أخي عمل ذلك، ولكن: كيف ستقوم بإستخدامه وهو يستعمل نفس الـ IP ؟ لأنني أتوقع حين ستقوم بإستعمال نفس الـ IP للجهاز يعني إنك ستستعمل NAT وبالتالي ستكون المسألة معقدة خاصة في التعامل مع المنافذ وما الى ذلك … أنصحك لو تحب تنصبه على منصة تخيلية أن تعطيه IP منفصل … بالتوفيق لك …

Comments are closed.