はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/
今回は第二弾としまして、OSSECのアーキテクチャについて読んでいきます。
https://www.ossec.net/docs/docs/manual/ossec-architecture.html
OSSECアーキテクチャ
マネージャー(またはサーバー)
マネージャーは、OSSECの展開の中心的な部分です。
・ファイルの整合性チェックのデータベース
・ログ
・イベント
・システム監査のエントリ
を保存します。
すべてのルール、デコーダ、主要な設定オプションは、マネージャに一元的に保存されます。
エージェントは、ポート1514/udpでサーバに接続します。
エージェントがサーバと通信するためには、このポートへの通信が許可されている必要があります。マネージャーはOSSECサーバーと呼ばれることもあり、この文書では単にサーバーと呼ぶこともある。とのことですので、エージェントはクライアントで、マネージャーはサーバのことだと思います。
エージェント
エージェントは、監視対象のシステムにインストールされる小さなプログラム、またはプログラムの集合体である。エージェントは情報を収集し、それをマネージャ(OSSECサーバ)に転送して解析と相関をとる。ある情報はリアルタイムで収集され、他の情報は定期的に収集されます。デフォルトで非常に小さなメモリとCPUフットプリントを持ち、システムの使用率に影響を与えません。
エージェントのセキュリティ 低権限のユーザ(通常、インストール時に作成されます)で、システムから隔離された chroot jail 内で実行されます。エージェントの設定のほとんどは、マネージャ(OSSECサーバ)からプッシュすることができます。
OSSECは、Microsoft Windowsプラットフォームにのみ、エージェントとしてインストールすることができます。このようなシステムでは、Linuxやその他のUnix系システム上で動作するOSSECサーバーが必要になります。
エージェントレス
エージェントがインストールできないシステムについては、エージェントレス対応により、完全性チェックを行うことができる場合があります。エージェントレススキャンは、ファイアウォール、ルーター、さらにはUnixシステムの監視に使用することができます。
仮想化/VMware
OSSECでは、ゲストOSにエージェントをインストールすることができます。また、VMWare ESXの一部のバージョンにインストールすることもできますが、サポート上の問題が発生する可能性があります。VMware ESX内部にインストールされたエージェントを使用すると、VMゲストのインストール、削除、起動などの際にアラートを受け取ることができます。また、ESXサーバー内部でのログイン、ログアウト、エラーも監視します。さらに、OSSECはVMwareのCIS(Center for Internet Security)チェックを行い、安全でない設定オプションが有効になっているか、その他の問題があれば警告を発します。
ファイアウォール、スイッチ、ルーター
OSSECは、多種多様なファイアウォール、スイッチ、ルーターからsyslogイベントを受信し、分析することができます。すべてのCiscoルーター、Cisco PIX、Cisco FWSM、Cisco ASA、Juniperルーター、Netscreenファイアウォール、Checkpoint、その他多くのルーターに対応しています。
おわりに
今回はここまで。では、また。