OSSEC Nedir?






OSSEC(Open Source HIDS Security) ücretsiz, açık kaynaklı bir ana bilgisayar tabanlı saldırı tespit sistemidir. Günlük analizi, bütünlük denetimi, Windows kayıt defteri izleme, rootkit algılama, zamana dayalı uyarı ve etkin yanıt gerçekleştirir(kaynak: wikipedia).

Rootkit Detection: OSSEC belirli zamanlarda sistemlerde rootkit taraması yapar, eğer sunucuların herhangi birinde rootkit, virüs, trojan gibi zararlı yazılımlar tespit edilirse anında bildirilir.

Log Analysis: Kayıt dosyalarını görüntüleyebilmemizi sağlamaktadır. Bu kontrolde saldırıları analiz edebiliriz.

Active Response: OSSEC'in active response özelliği sistemde oluşan bir problem için otomatik aksiyonlar almak üzere kullanılmaktadır. Örneğin web sunucunuzu tarayan bir saldırgan'ı, loglarından tespit edip, saldırganın ip adresinin güvenlik duvarı üzerinden bloklanması OSSEC'in active response özelliği ile mümkündür.



OSSEC Mimarisi





OSSEC çoklu parçalardan oluşur. Server(manager), agent, agentless bunlardan bazılarıdır.

Server : Server ya da manager olarak adlandırılan bileşen, OSSEC sisteminin merkezi yönetim yeridir.
Agent : Agent ise sisteme gelen logları toplar ve OSSEC Server'a gönderir.
Agentless : İzlenmesini istediğimiz ve agent kuramadığımız yerleri izlemek için kullanılır. Güvenlik duvarı gibi cihazlara agent kurulamadığı için bu bileşen kullanılır.



Dosya Bütünlük Kontrolü



Bütünlük kontrolü, sistem bütünlüğündeki değişiklikleri algılar ve izinsiz girişleri bildirir. Sistemde ve kayıt defterinde bulunan anahtar dosyaların MD5 değerleri belirli zamanlarda taranır ve OSSEC sunucuya depolanması için gönderilir. Checksum değerlerinde değişiklik olup olmadığı kontrol edilerek dosya bütünlük kontrolü sağlanmış olur.

OSSEC Web Sayfası

Bugün size OSSEC'in ne olduğunu anlatmaya çalıştım, hatam varsa affola. Umarım birilerine faydalı olabilmişimdir.