Hoje vou apresentar uma ferramenta para vocês bastante util para o dia-a-dia de um analista de segurança, o OSSEC. O OSSEC hids é um Host-Based Intrusion Detection System opensource que possui como desenvolvedor principal, o brasileiro Daniel Cid. Ele realiza operações de Analise de Logs, Integridade de Sistemas, Detecção de rootkits, alertas e resposta ativa (regras no firewall ou TCP Wrappers).

Em 2007 foi eleita, pela Linuxworld, a melhor ferramenta de segurança Open Source.

Fácil  de instalar(totalmente intuitivo) e configurar (arquivo em formato xml), multiplataforma e sob a licensa GPLv3,  o OSSEC suporta uma vasta gam de logs, tais como:

Unix pam, sshd (OpenSSH) , Unix telnetd, Samba, Su, Sudo, Proftpd, Pure-ftpd, vsftpd, Solaris ftpd, Imapd and pop3d, Horde imp, Named (bind), Postfix, Sendmail, Iptables firewall, Solais ipfilter firewall, AIX , ipsec/firewall, Netscreen firewall, Snort IDS, Apache web server (access log and error log), IIS web server, Squid proxy, Windows event logs, Generic unix authentiction (adduser, logins, etc).

Ele possui os seguintes modos de atuação:

• Local – como o nome diz somente na maquina localmente.


• Agente – funciona como cliente e envia todas as informações para o servidor processar e analisar


• Servidor – analisa e une os logs e informes de vários agentes.

Atualmente o OSSEC está na versão 2.1 e pode ser encontrado no seguinte endereço:

http://www.ossec.net/main/downloads/

Utilizamos esta ferramenta  no último curso de hardening e todos os alunos gostaram muito.

Excelente ferramenta para que deseja manter o controle sobre o sistema, realizando um monitoramento ostensivo e eficáz, pois o OSSEC monitora o sistema em tempo real, avisando o administrador sobre possíveis ataques, mudança ou alguma ameaça no sistema, sem
a necessidade de análise total dos logs.

OBS: Amanhã 08:00 no segundo dia de Proteção de Perímetro I, que está sendo muito legal. :) !!!

Abs.[ ]