2.4.5.1. Architecture
OSSEC est composé de plusieurs pièces. Il
dispose d'un gestionnaire central pour la
surveillance et la réception d'informations provenant
d'agents, de syslog, de bases de données et de
périphériques sans agent.
2.4.5.1.1. Gestionnaire (ou serveur)
Le manager est la pièce maîtresse du
déploiement OSSEC. Il stocke les bases de données de
vérification de l'intégrité des fichiers, les journaux,
les événements et les entrées d'audit du système.
Toutes les règles, décodeurs et principales options de
configuration sont stockés de manière centralisée dans le
gestionnaire; ce qui facilite l'administration, même d'un grand nombre
d'agents.
57
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Les agents se connectent au serveur sur le port 1514 / udp.
La communication vers ce port doit être autorisée pour que les
agents puissent communiquer avec le serveur.
Le gestionnaire peut être appelé serveur OSSEC,
ou même simplement serveur dans cette documentation.
2.4.5.1.2. Agents
L'agent est un petit programme, ou un ensemble de programmes,
installé sur les systèmes à surveiller. L'agent collectera
les informations et les transmettra au responsable pour analyse et
corrélation. Certaines informations sont collectées en temps
réel, d'autres périodiquement. Par défaut, sa
mémoire et son encombrement CPU sont très faibles, ce qui
n'affecte pas l'utilisation du système.
Sécurité de l'agent: Il s'exécute avec
un utilisateur disposant de peu de privilèges
(généralement créé lors de l'installation) et dans
une prison chroot isolée du système. La majeure partie de la
configuration de l'agent peut être poussée du gestionnaire.
OSSEC peut uniquement être installé en tant
qu'agent sur les plates-formes Microsoft Windows. Ces systèmes
nécessiteront un serveur OSSEC, fonctionnant sous Linux ou un autre
système de type Unix.
2.4.5.1.3. Sans agent
Pour les systèmes sur lesquels un agent ne peut pas
être installé, le support sans agent
peut permettre d'effectuer des vérifications
d'intégrité. Les analyses sans agent peuvent être
utilisées pour surveiller les pare-feu, les routeurs et même les
systèmes Unix.
2.4.5.1.4. Virtualisation / VMware
OSSEC vous permet d'installer l'agent sur les systèmes
d'exploitation invités. Il peut également être
installé dans certaines versions de VMWare ESX, mais cela peut
entraîner des problèmes de support. Avec l'agent installé
dans VMware ESX, vous pouvez recevoir des alertes sur le moment où un
invité VM est installé, supprimé, démarré,
etc. Il surveille également les connexions, les déconnexions et
les erreurs sur le serveur ESX. En plus de cela, OSSEC effectue les
vérifications CIS (Center for Internet Security) pour VMware, en
avertissant si une option de configuration non sécurisée est
activée ou tout autre problème.
58
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
2.4.5.1.5. Pare-feux, commutateurs et
routeurs
OSSEC peut recevoir et analyser des événements
syslog provenant d'une grande variété de pare-feu, de
commutateurs et de routeurs. Il prend en charge tous les routeurs Cisco, Cisco
PIX, Cisco FWSM, Cisco ASA, les routeurs Juniper, le pare-feu Netscreen,
Checkpoint et bien d'autres.
Figure 20.4: architecture d'OSSEC
Ce diagramme montre le gestionnaire central qui reçoit
les événements des agents et les journaux système des
périphériques distants. Lorsqu'un élément est
détecté, les réponses actives peuvent être
exécutées et l'administrateur est averti.
|